Historien om ransomware truslen: Før, nu og fremover

Det massive WannaCry malwareangreb i maj 2017 tog overskrifter i hele verden, og bragte en ny frase ind i almindeligt brug – Ransomware.

I Cyber-sikkerhed og tekniske kredse, der har ransomware dog været samtaleemne allerede, og det længe. Faktisk, så har ransomware det sidste årti uden tvivl været den mest produktive og gennemgribende cyber trussel derude. Ifølge den amerikanske regerings tal, så har ransomware angreb siden 2005 overgået online databrud.

Det faktum, at ransomware angreb traditionelt ikke har været i global skala, har bidraget til at det har kunne flyve under radaren hos den almindelige befolkning. WannaCry ændrede alt det. Med mere end 300.000 computere påvirket på verdensplan, så lavede WannaCry overskrifter, for at have bragt store institutioner i knæ, inkluderet det engelske sundhedsvæsen (NHS).

Hvis WannaCry var den slags cyber-angreb i stor skala, som kunne få verden til at vågne op og være opmærksom, så er der indikationer i retning af hvad fremtiden kan byde på. Som ormene, der bruges til at sprede ransomware, bliver mere og mere sofistikerede, og metoderne, der anvendes til distribution af dem mere effektive, så vokser sandsynligheden for større og større angreb.

I denne artikel vil vi kigge på historien bag ransomware, spore dens udvikling indtil den dukkede op fra skyggerne, som en af de største trusler mod cyber-sikkerhed i det 21. århundrede. Vi vil kortlægge de store tilfælde, og forskellige metoder der blev brugt, de store innovationer som førte til den nylige bølge af angreb, før vi kigger på hvad vi kan forvente i fremtiden.

Hvad er ransomware?

Først og fremmest, nogle definitioner. Ransomware falder i en klasse af malware designet specifikt for finansielt vinding. Men i modsætning til virus, som anvendes i hacker angreb, så er ransomware ikke designet til at skabe adgang til en computer eller IT system, for at stjæle data fra det. Det søger ikke at snøre ofre for penge, som det er set med falske antivirus ”scareware” og phishing svindel.

Desværre for ofrene, effekten af ransomware er den rene virkelighed.

Ransomware fungere ve at forstyrre funktionaliteten af et computersystem, gøre den ubrugelig. Gerningsmændene sender så en løsesumsbesked til ejerne, hvor de kræver penge for at nulstille ændringerne.

De fleste eksempler af ransomware falder i en af to kategorier. Nogle ransomware virus vil låse en bruger ude af deres enhed, ved at fryse CPU, overtage brugerverifikationssystemet, eller lignende metode. Andre typer ransomware, normalt henvist til som crypto-ransomware, vil i stedet kryptere lagerdrevet og indholdet, og dermed gør det umuligt at åbne mapper, filer eller køre programmer.

I de fleste tilfælde, når et ransomware er startet på et system, så vil den også udløse afsendelsen af en løsesumsbesked. Den kan dukke op som popup besked på skærmen på et låst system, eller i tilfælde af crypto-angreb, der kan det være en e-mail eller en IM direkte til ofret.

Ransomware forhistorie

AIDS Trojan

Det første almindeligt anerkendte ransomware tilfælde dateres faktisk tilbage til før online trusler, som vi kender dem i dag, dukkede op, og det med næsten to årtier. I 1989 deltog en Harward akademiker ved navn Joseph L. Popp ved en Verdens Sundheds Organisations konference om AIDS. Under forberedelsen til konferencen, skabte han 20.000 discs som skulle sendes til delegerede, som havde overskriften ”AIDS Information – Introduktionsdiskette”.

Hvad intetanende delegerede ikke vidste var, at floppydisken i virkeligheden indeholdt en computervirus, som efter indholdet blev kørt, forblev skjult på offerets computer i et stykke tid. Efter 90 genstarter, så kom der liv i virussen, øjeblikkeligt krypterede filer og skjulte biblioteker. En besked blev vist, informerede brugeren om, at deres system ville returnere til normal, efter de har sendt 189 dollars til en PO Boks i Panama.

Dr. Popps opfindsomhed var forud for sin tid, og der skulle gå endnu 16 år før nogen samlede depechen op af hans ransomware ide, og gav det et forsøg i internettiden. Popp selv blev arresteret, men stod aldrig for en dommer på grund af dårligt mentalt helbred.

2005: År nul

Da det næste eksempel på ransomware dukkede op, var Dr. Joseph L. Popp længe glemt, og computerverden havde ændret sig ved internettet. Med alle sine fordele, internettet havde gjort distribution af alle typer malware meget nemmere for cyber-kriminelle, og de mellemliggende år havde også giver programmører mulighed for at udvikle stærkere krypteringsmetoder, end dem der blev anvendt af Dr. Popp.

GPCoder

Et af de første eksempler på ransomware distribueret online, var GPCoder Trojan. Først identificeret i 2005, GPCoder inficerede Windows systemer og sigtede efter filer med et udvalg af extensions. Når de var fundet, så blev filerne kopieret i krypteret form, og originaler slettet fra systemet. De nye krypterede filer var ikke læsbare, og brug af stærk RSA-1024 kryptering, sikrede at forsøg på at låse dem op, havde ekstrem lille chance for succes. En besked blev vist på brugerens hjemmeskærm, henviste dem til en.txt fil, så blev sendt på deres computer, der indeholdt detaljer om hvordan løsesummen skulle betales, og få låst de påvirkede filer op.

Archievus

Det samme år som GPCoder blev identificeret, dukkede en anden Trojan op på scenen, der brugte sikker 1024-bit RSA kryptering. I stedet for at målrette bestemte eksekverbare filer og filtypenavne, så krypterede Archievus ganske enkelt alt i offerets My Documents mappe. Det betød i teorien at offeret stadig kunne bruge sin computer, og enhver fil der var gemt i andre mapper, inkluderet arbejdsdokumenter, i mappen My Documents var effekten som standard stadig svækkende.

For at rydde op efter Archievus, så blev ofre ledt til en webside, hvor de skulle købe et 30-cifret password – ikke mange chancer for at gætte den.

2009 – 2012: Indkassering

Det tog et stykke tid for disse tidlige former for online ransomware at få fart i den cyber kriminelle underverden. Afkastet af Trojans som GPCoder og Archievus var relativt lille, primært fordi de nemt blev opdaget og fjernet af antivirus software, hvilket betød at deres holdbarhedstid til at tjene penge var kort.

For det meste foretrak cyber bander dengang at holde sig til hacking, phishing og at snyde folk med falske anti-virus svindel.

De første tegn på forandringer begyndte at dukke op i 2009. Det år, skiftede en kendt ”scareware” virus kaldet Vundo, taktik, og begyndte at fungere som ransomware. Vundo havde tidligere inficeret computersystemer, og så udløst sin egen sikkerhedsalarm, og derefter guidet brugere til en falsk løsning. Men i 2009 bemærkede analytikere at Vundo var begyndt at kryptere filer på ofres computere, og at sælge en ægte modgift til at låse dem op.

Det var den første indikation af, at hackere var begyndt at føle der var penge at hente ved ransomware. Støttet af udbredelsen af anonyme online betalingsplatforme, så blev det nemmere at modtage løsepenge i stor skala. Plus, ransomwaren blev naturligvis stadig mere sofistikeret.

Ved 2011 var en lille bæk blevet en stor flod. I det første kvartal det år, blev der opdaget 60.000 nye ransomware angreb. I det første kvartal 2012, var det steget til 200.000. Ved slutningen af 2012, estimerede Symantec forskere at det sorte marked for ransomware var blevet 5 millioner dollars værd.

Trojan WInLock

I 2011 dukkede en ny form for ransomware op. WinLock Trojan betragtes for at være det første almindelige eksempel på, hvad der blev kendt som ”Locker” ransomware. I stedet for at kryptere filer på et offers enhed, så gør en Locker det ganske enkelt umuligt at logge ind på enheden i det hele taget.

WinLock Trojan startede en trend for ransomware, som efterlignede ægte produkter, et ekko af den gamle scareware taktik. Inficerede Windows systemer, det kopierede Windows Product Activation systemet, og låste brugeren ude, indtil de købte en aktiveringskode. For at tilføje et strejf af ærlighed til angrebet, så fortalte beskeden på skærmen offeret, at deres Windows konto skulle genaktiveres på grund af bedrageri, før den guidede dem til at ringe til et internationalt nummer, for at løse problemet. Telefonnummeret maskeret som toldfrit, gav i virkeligheden en enorm regning, som antageligvis gik direkte i lommerne på de kriminelle, som stod bag malwaren.

Reveton og ”police” ransomware

En variation af temaet, med at efterligne softwareprodukter, for at snyde ofte til at betale for falske abonnementer, dukkede op i form af såkaldt ”politi” ransomware. I disse angreb ville malwaren gå efter inficerede systemer med en besked, som påstår at være fra en politimyndighed og statslig autoritet, med besked om at der var bevis for at enheden var blevet anvendt til illegale aktiviteter. Enheden ville blive lås som ”konfiskeret”, indtil en form for bestikkelse eller bøde var betalt.

Disse eksempler blev ofte distribueret via pornosider, fildelings services, og enhver anden webplatform, som kunne bruges til potentielt ulovlige formål. Ideen var uden tvivl at skræmme eller ydmyge ofre til at betale bestikkelse, før de havde chancen til at tænke rationelt, om hvorvidt en trussel om retsforfølgelse var ægte eller ej.

For at gøre angrebene mere autentiske og truende, så ville politi ransomware ofte være skræddersyet i overensstemmelse med ofrets placering, vise deres IP adresse, eller i nogle tilfælde et live feed fra deres web kamera, insinuere at de blev overvåget og optaget.

Et at de mest berømte eksempler på politi ransomware blev kendt som Reveton. Som udgangspunkt spredt i Europa, men Revetons tråde blev vidt spredt, nok til at de dukkede op i USA, hvor ofre blev fortalt, at de var under overvågning af FBI, og beordret til at betale 200 dollars i bøde, for at få deres enhed låst op igen. Betaling blev modtaget gennem forudbetalte elektroniske token-tjenester som MoneyPak og Ukash. Denne taktik blev adopteret af andre politi ransomware som Urausy og Kovter.

2013 – 2015: Tilbage til kryptering

I andet halvdel af 2013 dukkede en ny variant af crypto-ransomware op, som trak en ny streg i sandet i kampen med cyber-sikkerhed. CryptoLocker ændrede spillet for ransomware på flere måder. For det første, den bekymrede sig ikke om chikanerier og bedrager taktikken ved scareware eller politi ransomware. CryptoLockers programmer var meget direkte, med hensyn til hvad de foretog sig, de sendte en besked, lige på og hårdt, som fortalte at alle deres filer var krypteret, og ville blive slettet, hvis der ikke var betalt løsesum indenfor tre dage.

For det andet, CryptoLocker demonstrerede at den styrke af kryptering, som cyber kriminelle nu kunne anvende, var betydeligt stærkere end dem der var tilgængelige, da de første crypto-ware dukkede op for næsten et årti siden. Ved brug af C2 servere på et skjult Tor netværk, så var CryptoLockers programmører i stand til at generere 2048-bit RSA offentlig og privat nøglekryptering, for at inficere bestemte filtyper. Det fungerede som et dobbelt bind – alle som ledte efter den offentlige nøgle, som grundlag for at regne ud hvordan filerne skulle dekrypteres, ville have problemer, da det var gemt på Tor netværket, mens den private nøgle i programmørernes varetægt, var ekstrem stærk i sig selv.

For det tredje, CryptoLocker startede en ny måde af distribution. Infektionen spredte sig som udgangspunkt via Gameover Zeus botnet, et netværk af inficerede ”zombie” computere anvendt specifikt til at sprede malware gennem internettet. CryptoLocker markedsførte derfor det første eksempel på ransomware, som blev spredt via inficerede websider. Men, CryptoLocker blev også spredt via spear phishing, specielt vedhæftelser på e-mails sendt til virksomheder, som var lavet, så de så ud som en kundeklage.

Alle disse funktioner blev siden dominerende karaktertræk af ransomware angreb, påvirket af hvor succesfuld CryptoLocker var. Med en afkrævning på 300 dollars pr. gang, for at dekryptere inficerede systemer, så antages det, at deres udviklere lavede så meget som 3 millioner dollars.

Onions og Bitcoins

CryptoLocker var stort set bragt ud af billedet i 2014, da Gameover Zeus botnet blev taget ned, men på det tidspunkt var der rigeligt af efterlignere, klar til at overtage rollen. CryptoWall var den mest fremtrædende, anvendte den samme RSA offentlig-privat nøglekryptering, som var genereret bag sløret af Tor netværket, og distribueret via phishing svindel.

The Onion Router, mere almindelig kendt som Tor, begyndte at spille en større og større rolle i udviklingen og distribueringen af ransomware. Opkaldt efter måden den leder internettrafikken rundt i et komplekst globalt netværk af servere, som siges at være arrangeret som lagene i et løg, Tor er et anonymitetsprojekt, sat op til at hjælpe mennesker med at forblive private når de arbejder online. Det har desværre tiltrukket cyber kriminelle, som er ivrige efter at holde deres aktiviteter skjulte for ordensmagten, deraf rollen som Tor har fået i ransomwarens historie.

CryptoWall bekræftede også den voksende rolle Bitcoin spillede i ransomware angreb. Ved 2014, var crypto-valutaen den foretrukne betalingsmetode. Forudbetalt elektronisk kredit var anonymt, men svært at indløse uden hvidvaskning, mens Bitcoin kunne bruges online som en normal valuta, til handel og direkte transaktioner.

Ved 2015, var CryptoWall alene estimeret til at have genereret 325 millioner dollars.

Android angreb

Et andet stort skridt i ransomwarens historie, var udviklingen af en version som sigtede efter mobile enheder. De var udelukkende rettet mod Android enheder først, hvor de gjorde brug af open source Android koden.

Det første eksempel dukkede op i 2014, og kopierede politi-ware formatet. Sypeng, som inficerede enheder via en falsk Adobe Flash opdateringsbesked, låste skærmen og viste en falsk FBI besked, hvor man blev afkrævet 200 dollars. Koler var en lignende virus, som er bemærkelsesværdig som en af de første eksempler på ransomware orm, en malware der kopierede sig selv, som skabte sine egne distributionsveje. Koler ville automatisk sende en besked til alle i en inficeret enheds kontaktliste, med et download link til ormen.

Til trods for sit navn, så var SimplLocker en tidlig type crypto-ransomware til mobiler, mens hovedparten af alle andre tog form af lock-out angreb. En anden innovation som kom med Android ransomware, var et gør-det-selv værktøjssæt, som folk, der ønskede være cyber kriminelle, kunne købe online, og selv konfigurere. Et tidligt eksempel var et sæt baseret på Pletor Trojan, som blev solgt for 5000 dollars online.

2016: Truslen udvikler sig

2016 skulle blive et skelsættende år for ransomware. Nye måder at levere på, nye platforme og nye typer malware løb alt sammen op, til at være en trussel der udviklede sig seriøst, som blev udgangspunktet for de massive globale angreb der fulgte.

CryptoWall evolutionen

I modsætning til mange eksempler på ransomware, som havde deres tid i solen, og så blev neutraliseret af en eller anden løsning, så gik truslen fra CryptoWall aldrig væk. Udviklet gennem fire forskellige udgivelser, CryptoWall var banebrydende med teknikker der blev efterlignet af andre ransomware, såsom brugen af kopierede registreringsdatabasenøgler, så malwaren startede med hver eneste genstart. Det er smart, for malware starter ikke altid øjeblikkeligt, den venter til den kan forbinde til en fjernserver, som indeholder krypteringsnøglen. Ved automatisk at starte ved genstart, så optimeres chancerne for at det sker.

Locky

Med sin aggressive phishing-baseret distribution, satte Locky en standard, som blev fulgt af blandt andet WannaCry, alene for sin hastighed og distributionsskala. På sit højdepunkt, blev det rapporteret at det inficerede op til 100.000 nye systemer om dagen, ved brug af franchise systemet, som først blev brugt af Android værktøjssæt, til motivere flere og flere kriminelle til at slutte sig til distributionen. Det var også en varsling om WannaCry angrebet, ved at sigte mod sundhedsudbydere, da ophavsmændene fik forståelse for, at vigtige offentlige services var hurtige til at betale løsesum, for at få deres systemer op og køre igen.

Multiplatform

2016 så også ankomsten af det første ransomware script der påvirkede Mac systemer. KeRanger var specielt ondsindet, da den formåede at kryptere Time Machine backups såvel som almindelige Mac filer, og overvinde Macs normale evne til at gå tilbage til tidligere versioner, når som helst et problem opstår.

Kort efter KeRanger, dukkede den første ransomware op, som var i stand til at inficere flere operativsystemer. Programmeret i JavaScript, så var Ransom32 teoretisk i stand til at påvirke enheder der kørte Windows, Mac eller Linux.

Kendte trusselsproblemer

Såkaldte ”Udnyttelsessæt” er malware leveringsprotokoller, med sigter efter kendte sårbarheder i populære softwaresystemer, for at plante virus. Angler sættet er et eksempel et et, som var kendt for at blive anvendt til ransomware angreb, så langt tilbage som til 2015, mindst. Det blev værre i 2016, med et stort antal højt profileret ransomware vira, der sigtede efter sårbarheder i Adobe Flash og Microsoft Silverlight – hvoraf en af dem var CryptoWall 4.0.

Cryptoworm

Efterfulgt innovationen af Koler virussen, så blev cryptoworms en del af ransomware mainstream i 2016. Et eksempel var ZCryptor ormen, som først blev rapporteret af Microsoft. Som udgangspunkt spredt gennem spam phishing angreb så var ZCryptor i stand til at sprede sig automatisk gennem netværksenheder, ved at kopiere sig selv og selv igangsætte.

2017: Året hvor ransomware knækkede

I betragtning af de hurtige fremskridt i raffinement og skala af ransomware angreb i 2016 så mente mange cyber-sikkerhedsanalytikere, at det kun var et spørgsmål om tid, før et rigtigt globalt tilfælde fandt sted, i en størrelse med de største hackerangreb og databrud. WannaCry bekræftede den frygt, den skabte overskrifter overalt i verden. Men WannaCry er langt fra den eneste ransomware, som truer computerbrugere dette år.

WannaCry

Den 12. maj 2017 ramte ransomwaren, som skulle blive kendt i verden som WannaCry sit første offer i Spanien. Inden for timer havde den spredt sig til hundredvis af computere i dusinvis af lande. Flere dage senere, var der tale om en total på mere end en kvart million, som gjorde WannaCry til det største ransomware angreb i historien, og sikrede at hele verden vågnede op og blev opmærksomme på truslen.

WannaCry er forkortelsen af WannaCrypt, som refererer til det faktum, at WannaCry er crypto-ware. Mere specifikt, det er en crypto orm, i stand til at formere og sprede sig automatisk.

Det som gjorde WannaCry så effektiv, og så chokerende for den almindelige befolkning, var måden den spredte sig på. Der var ingen phishing svindel, ingen downloads fra kompromitterede botnet sider. I stedet markerede WannaCry en ny fase i ransomware, og sigtede efter sårbarheder på computere. Den var programmeret til at gennemsøge nettet for computere, som kørte ældre versioner af Windows Server – som havde en kendt sikkerhedsfejl – og inficere dem. Når den havde inficeret en computer i et netværk, så søgte den hurtigt efter andre med samme fejl, og inficerede dem også.

Sådan spredte WannaCry sig hurtigt, og derfor den var så potent i angrebet af systemer i store organisationer, inkluderet banker, transportmyndigheder, universiteter og offentligt sundhedsvæsen, som Englands NHS. Det var også årsagen til at den lavede så mange overskrifter.

Men det som chokerede mange mennesker var, de faktum at de sårbarheder som WannaCry udnyttede i Windows, var allerede blevet identificeret af det amerikanske sikkerhedsagentur NSA, for flere år siden. Men i stedet for at advare verden om det, så holdt NSA mund om det, og udviklede i stedet sin egen udnyttelse, for at bruges svagheden som et cyber våben. Så i praksis, WannaCry blev bygget på et system udviklet af et statsligt sikkerhedsvæsen.

Petya

Lige i hælende på WannaCry, bragte et andet transkontinentalt ransomware angreb tusindvis af computere i knæ, i alle fire hjørner af verden. Kendt som Petya. Det mest bemærkelsesværdige ved dette angreb var, at det brugte præcist den samme Windows sårbarhed anvendt af WannaCry, og viste dermed hvor potent det NSA planlagte cyber våben kunne have været. Det viste også, på trods af en lapning der blev gjort tilgængelig som følge af WannaCry angrebet, hvor svært det er at få brugere til at holde sig opdateret om sikkerheden.

LeakerLocker

Som et tegn på hvor flydende truslen fra ransomware virkelig er, så hænger et af de største angreb, der trak overskrifter, sammen med tiden med scareware og afpresningstaktikker, men med en opdateret finte. Målrettet Android enheder, LeakerLocker truede med at dele alt indholdet af en brugeres enhed, med alle på deres kontaktliste. Så, hvis du havde noget flovt eller kompromitterende gemt på din telefon, så var det bedre at betale, ellers ville alle dine venner, kollegaer og familiemedlemmer snart kunne se, hvad du forsøgte at skjule.

Hvad rummer fremtiden for ransomware?

I lyset af den eksponentielle vækst i omsætningen, som cyber kriminelle har været i stand til at skabe ved ransomware, så er det rimeligt at antage, at vi vil høre meget mere til det i fremtiden. Succesen WannaCry havde med at kombinere teknologi, hvor orme selv formere sig og målrettet går efter kendte systemsvagheder, har sandsynligvis sæt standarden for måden angreb sker på, på den korte bane. Men det vil være naivt at tro, at ransomware udviklere ikke allerede tænker frem, og udvikler nye måder at inficere, sprede og profitere på deres malware.

Så, hvad kan vi forvente?

En stor bekymring, er muligheden for at ransomware begynder at sigte efter digitale enheder, andre end computere og smartphones. Som Internet of Things begynder, så bliver flere og flere af hverdagens udstyr digitaliseret og forbundet til internettet. Det skaber et massivt nyt marked for cyber kriminelle, som måske vil bruge ransomware til at låse bilejere ude af deres køretøjer eller sætte centralvarmetermostaten i hjem til frost, medmindre der betales løsesum. På denne måde vil muligheden for ransomware kan direkte påvirke vores daglige liv blot øges.

En anden mulighed er, at ransomware vil flytte fokus væk fra individuelle enheder og deres brugere. I stedet for at gå efter filer, der gemmes på en computer, ransomware kunne meget vel sigte efter at bruge SQL indsprøjtninger til at kryptere databaser som gemmes på en netværksserver. Resultatet kunne blive katastrofalt – hele infrastrukturen af en global virksomhed kunne blive ødelagt med et enkelt træk, eller hele internet services bringes i knæ, og påvirke hundrede tusindvis af brugere.

Uanset hvordan det udvikler sig, så bør vi forberede os på, at ransomware bliver en stor cyber trussel i årene der kommer. Så hold øje med de e-mails du åbner, websider du besøger, og hold dig opdateret med hensyn til sikkerhed, eller du vil måske ende med at lide, som alle de andre ransomware ofre før dig.

Kan en VPN forhindre ransomware angreb?

Mens brugen af en VPN ikke kan sikre dig mod malware angreb, så øger det sikkerhedsniveauet af dit system, og dermed gør det mere sikkert. Der er mange fordele ved en VPN.

• Når du anvender en VPN, så er din IP adresse skjult, og du kan tilgå nettet anonymt. Det går det sværere for malware udviklere at gå efter din computer. De er typisk på udkig efter mere sårbare brugere.
• Når du deler eller tilgår data online ved brug af en VPN, så er dataene krypteret, og det forbliver stort set uden for rækkevidde af malware producenter.
• Pålidelige VPN services sortlister også tvivlsomme URL´er.

Som følge af disse faktorer, så holder en VPN dig mere sikker mod malware, inkluderet ransomware. Der er mange VPN services at vælge imellem. Vær sikker på at den VPN udbyder som du tilmelder dig, har et godt omdømme og den nødvendige ekspertise indenfor området for online sikkerhed.

Rang

Udbyder

Vores score

Rabat

Besøg hjemmeside

1

9.9 /10

9.9 Vores score

Spar 49%!

Lær mere

2

9.2 /10

9.2 Vores score

Spar 78%!

Lær mere

3

9.7 /10

9.7 Vores score

Spar 84%!

Lær mere

Hvis du er på udkig efter en VPN, så tag et kig på vores mest anbefalede VPN fra betroede brugere.