Artikel top billede

(Foto: Computerworld)

Ransomware rammer hårdt

En bølge af ransomware rammer Europa, og det ser ikke ud til at stoppe foreløbig.

Af Tom Madsen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Her på Alt om DATA, har vi for nylig haft mulighed for et interview med Adrian Liviu Arsene, Senior E-Threat Analyst hos Bitdefender, om de trusler som de har set i det forgangne år. Vi benyttede selvfølgelig lejligheden til at spørge til, hvordan de forudser situationen udvikle sig videre her i 2017.

Stigning i ransomware-angreb

I 2016 så vi en enorm stigning i ransomwareangreb. De undersøgelser, som Bitdefender har lavet, viste, at en enkelt ransomwaregruppe tjente 1,5 millioner USD på en enkelt uge. Det er 10,5 millioner danske kroner på en uge og en tydelig årsag til den voldsomme stigning i ransomware-angreb. Der er tilsyneladende mange penge at tjene på ransomware.

Lad os kigge på et eksempel. Et ransomware-kit koster ca. 3000 USD (ca. 21.000 kroner) på et af de undergrundsfora, der handler med den slags software. Som nævnt tidligere, så kan en ransomware-gruppe, eller person, lave op til 1,5 millioner USD på en uge.

For 3000 USD kan du lave 1,5 million USD. Tænk over det et øjeblik. Selv hvis du var den bedste aktiehandler i verden, ville du ikke kunne lave den slags penge for 3000 USD.

Det amerikanske forbundspoliti FBI er kommet med en rapport, der siger, at det estimerede tab for virksomheder pga. ransomware i 2016 var på 1 milliard USD. Det er tal, der blot er baseret på de virksomheder, som er stået frem og har fortalt om hændelser, de har haft med ransomware.

Man må formode, at der er langt flere virksomheder, som holder den slags for dem selv, så den reelle omkostning er med stor sandsynlighed langt højere end den ene milliard USD, som FBI er kommet frem til.

International forskel på løsesum

Der er tydeligvis en anseelig økonomisk gevinst ved at være bagmand for ransomware-angreb. I de undersøgelser, som Bitdefender har lavet, har det tillige vist sig, at der er forskelle i, hvor meget en bruger er villig til at betale for at få deres data tilbage efter et ransomware-angreb.

En bruger i Rumænien vil betale 132 USD, mens en bruger i England er villig til at betale op til 568 USD. Et firma, der bliver ramt af ransomware, er naturligvis villige til at betale et endnu højere beløb, så det er naturligvis der, personerne bag ransomware-angreb fokuserer deres indsats.

Det er også en af grundene til, at Danmark er blevet så hårdt ramt i det seneste år. Som en del af Vesteuropa har vi flere penge, vi kan bruge på at købe nøglerne til vores data efter et ransomware-angreb.

Det betyder selvfølgelig ikke, at angriberen vil sige nej til pengene fra Rumænien, men de vil naturligvis fokusere deres indsats, der hvor pengene er størst, nemlig virksomheder og vestlige lande.

Uforudsigelige angreb

Ransomware spreder sig på mange måder, men en af de mest ubehagelige så vi i slutningen af 2016. Hvis man som bruger blev angrebet med ransomware, kunne man få nøglen til at dekryptere sine data ved at inficere to af ens venner. Hvis man gerne vil have sine data tilbage, så skulle man altså hjælpe med at sprede ransomwaren og lade det gå ud over ens venner.

Bitdefender bruger megen tid på at undersøge de mange malware-eksempler, som kommer ind hele tiden. I et enkelt eksempel så Bitdefender, at cirka en halv time efter at de havde sendt en opdatering ud til deres produkter, så det kunne detektere en ny type af malware, blev denne malware ændret af angriberne.

Bitdefender var så nødt til at undersøge malwaren igen for at opdatere deres produkter med en ny signatur for den. En halv time senere var malwaren ændret igen. Sådan gik det frem og tilbage imellem Bitdefender og angriberne, indtil Bitdefender fandt en kommentar i koden til malwaren, der sagde: Alright Bitdefender, we know you are watching.

Vi forventer, at de enkelte it-sikkerhedsselskaber holder øje med internettets undergrund for at kunne udvikle deres produkter, men her ser vi, at også malware-producenterne holder øje med de selskaber, der lever af at beskytte deres kunder imod angrebene fra malwareudbyderne.

Angreb på IoT-enheder

Hvad angår IoT, så spurgte jeg, om Bitdefender havde set nogle eksempler på, at ansattes brug af IoT, f.eks. smartwatches, havde været indgangen for nogle angribere til at kompromittere en virksomheds it-systemer.

Det havde de ikke nogle eksempler på, men de havde set eksempler på, at virksomheder, der brugte ’Bring your Own device’ BYOD, var blevet kompromitteret, fordi disse enheder var blevet angrebet, mens brugerne brugte dem derhjemme.

Det var altså ikke en IoT-enhed, der var årsagen her, men det er fuldstændig den samme baggrund for kompromitteringen, som hvis det havde været en IoT-enhed, der lå til grund for angrebet.

Efterhånden som BYOD og IoT breder sig, vil kompleksiteten af virksomhedernes netværk og systemer blive mere vanskelig at holde styr på. Vi så allerede sidste efterår, at IoT-enheder kan indrulleres i DDOS-netværk og bruges til at slå en større del af internettet ned i perioder. Liberia blev f.eks. sat af internettet i en længere periode af sådanne et netværk!

Bedre sikring af produkter og software

Hvorfor er IoT-enheder ikke bedre sikret af producenterne? Der er to dele til svaret. Det første er, at det ikke er producentens ansvar at sikre enheden hos kunden, det er kundens eget ansvar.

Når det så er sagt, så er det producentens ansvar at holde softwaren, der eksekverer på enheden, opdateret, og gøre det muligt for en slutbruger at opdatere denne enhed med softwaren, uden nødvendigvis at være i besiddelse af en Phd. i it.

Den anden del af svaret er penge. Hvis en virksomhed har en ide til en IoT-enhed, så gælder det for dem om at få denne enhed udviklet og på markedet i en fart, inden andre virksomheder får den samme ide. Her er det markedskræfterne, der iskoldt dikterer situationen for virksomheden.

Vi har set masser af eksempler over årene på, at virksomheder skipper sikkerheden i software eller hardware for at kunne spare penge på udviklingen eller for at være først på markedet med et produkt.

Hvad betyder alt dette for os, slutbrugerne? Det betyder for det første, at det bliver mere vigtigt for os at sikre vores IoT-enheder, det bedste vi kan med de midler, som producenten af enheden har givet os.

For det andet så kan vi selv forsøge at styre udviklingen af disse enheder ved kun at købe enheder, der har sikkerhed bygget ind fra starten. Markedskræfterne gælder nemlig begge veje. Hvis vi ikke er interesserede i at købe enheder uden sikkerhed, så vil producenterne begynde at fokusere på at producere enheder med sikkerhed bygget ind.