Ransomware: Bliv klogere på det

Mathias DitlevBlog, Guides, Viden

ransomware hvad hvordan

Onlime hjælper dig

Ransomware: Bliv klogere på det


Læste du med i medierne d.12 maj 2017?

I så fald har du sikkert hørt om det største cyberangreb i internettets historie – nemlig WannaCry, som hurtig spredte sig til både private og virksomheders computere. Angrebet ramte blandt Telefónica og flere andre store virksomheder i Spanien, FedEx, Deutsche Bahn, Maersk og virksomheder i mere end 150 lande rundt om i verden.

Følgerne efter et sådan angreb er kolossale og skaderne store – så store, at det faktisk kan være svært at forstå.

WannaCry er blot ét af mange ransomware-angreb, der har har hærget siden det første ransomware for snart 30 år siden. Hvis du ikke er blevet ramt af ransomware endnu, så kryds dine fingre og læs denne artikel.

Vi gennemgår, hvordan du bedst beskytter dig mod ransomware og ikke risikere at miste dine værdifulde filer.

Lad os gå i gang.

Afsnit 1:

Hvad er ransomware?


Ransomware en avanceret type af malware, der ved smitte gør, at en bruger ikke kan få adgang til sine filer, medmindre en løsesum betales (hvilket dog langt fra altid giver brugeren adgang).

For at undgå at blive opdaget af myndigheder tager de kriminelle bag ransomware imod kryptovalutaer – primært Bitcoins – som betaling af løsesummen. Overførsler i Bitcoins kan ikke spores som normale bankoverførsler.

Navnet er en sammenkobling af de to ord; “Ransom” – som er det engelske ord for løsesum – og “malware” – som er et begreb, der dækker over ondsindet software.

Overordnet set findes der 3 typer af ransomware:

Krypterings-ransomware

Krypterings-ransomware anvender en algoritme til at kryptere filer på den ramte enhed. For at få nøglen til at dekryptere sine filer, bliver brugeren bedt om at betale en løsesum.

Her er to eksempler på krypterings-ransomware:

Det berygtede CryptoLocker

Da CryptoLocker udbrød, blev det kaldt “det grimmeste malware nogensinde” (oversat til dansk), og det er ikke uden grund.

CryptoLocker-bagmændene nåede at tjene omtrent 3 millioner dollars (svarende til 20 millioner danske kroner, rundt regnet), og skaderne var store. Selvom Cryptolocker var relativt nemt at fjerne, så var de krypterede filer på ofrenes computere stadig krypteret i så høj en grad, at det praktisk talt var umuligt at dekryptere dem. Flere ofre har siden berettet at betaling af løsesummen ikke ledte til gendannelse af deres filer.

CryptoLocker blev spredt til PC’er med Microsoft Windows styresystemet. Det blev typisk spredt via vedhæftninger i mails – altså PDF’er, Word-filer, Excel-filer mm, som blev afsendt som værende fra troværdige virksomheder.

CryptoLocker blev spredt mellem d. 5 september 2013 og slutningen af maj 2014. Det blev spredt af et såkaldt “botnet” (mere om det senere i artiklen) kaldet Gameover ZeuS, indtil bl.a. Interpol og FBI tog botnettet ned.

CryptoWall

CryptoWall er eftergængeren af CryptoLocker – men den er mere uhyggelig.

CryptoWall overhalede hurtigt spredningsraten for CryptoLocker. Den ene gruppe, som (måske) står bag CryptoWall, havde allerede i juni 2015 ifølge FBI tjent 325 millioner dollars – altså over svimlende 2 milliarder danske kroner. Et astronomisk beløb.

CryptoWall har siden sin oprindelse udviklet sig – helt op til version 4.0.

Udluknings-ransomware

Udluknings-ransomware er den type af malware, der lukker brugeren ud af sin enhed, så personen ikke kan tilgå sit system, filer, data mm. Derfra forespørger hackeren bag om en løsesum for at give brugeren adgang til sin enhed igen.

Et eksempel på et udluknings-ransomware er den med politi-tema.

 

I 2012 udbrød en bølge ransomware, der efterlignede politiet for at skræmme den ramte bruger. Ransomwaret lukkede ofret ud af sin computer for derefter at vise en besked om, at ofret havde brudt flere love igennem sin online aktivitet – og derfor måtte betale en “bøde”.

Generelt set er sådanne skræmmekampagner ofte brugt af de kriminelle bagmænd, da frygt er en af de måder, de kan få folk til at handle uden omtanke.

Derfor skal du huske at være på vagt..

..hvis du modtager en e-mail, som overvejende får dig til at føle dig enten skyldig, heldig eller ensom.

Der er mange stærke følelser, som kan komme op i os som mennesker - men vi bør aldrig handle umiddelbart derefter. Det er netop det, de kriminelle ønsker. De er også mennesker og kender derfor vores svagheder.
Læs ogsåOnlime giver årtiets bedste computerråd 2010-2020

Leakware

Leakware (også kaldet Doxware) er en type malware, hvor brugerens personlige og hemmelige filer (fx. billeder) trues med at blive lækket til andre.

Det er farlige ved Leakware er, at det kan være en kombination af en anden type ransomware, der låser dine filer, og truslen om at udgive dine fortrolige filer.

I en tid med stor fokus på deling af nøgenbilleder er leakware blot en ekstra trussel mod privatlivet. Denne type angreb kræver dog en del forarbejde for hackeren, og derfor er politikere, berømtheder og virksomhedsledere i den største risiko.

Det var nogle af de forskellige slags ransomware.

Som du nok kan fornemme, er truslen ikke lille. De IT-kriminelle udvikler fortsat på deres digitale våbenkasse for at infiltrere brugere som dig.

Men bevar roen.

Hvis du ved, hvordan truslen smitter dig, kan du også blive bedre til at undgå den.

Derfor er det vigtigt at vide, hvordan den spreder sig!

Afsnit 2:

Hvordan smitter ransomware


De IT-kriminelle har en værktøjskasse af metoder, de anvender til at smitte brugere på. Det er vigtigt at sætte sig ind i metoderne, så man kan genkende dem, når man bliver eksponeret for dem. Du kan sikkert allerede nu nikke genkendende til i hvert fald den første.

Phishing (falske beskeder)

Phishing er en metode, som de IT-kriminelle bruger til at lokke offeret til en bestemt handling. Det kan fx være at lokke fortrolige oplysninger ud af brugeren eller at klikke på et inficeret link eller vedhæftning - som er en hyppig smittevej for ransomware.

I phishing-angrebene lader de IT-kriminelle som om, at de er en anden person eller en "troværdig" autoritet. Det kan f.eks. være NEM-ID, Danske Bank eller en offentlig instans.

De kan eksempelvis i en mail påstå, at de er fra SKAT og skrive til dig, at du har penge tilbage på din årsopgørelse - hvilke du kan indløse ved at klikke på et link. Dette skal du naturligvis ikke gøre. Slet mailen omgående.

Et andet phishing-trick er CEO-fraud (altså direktør-svindel), hvor svindleren påstår, at han er direktøren i en virksomhed. Ved at maile til virksomhedens ansatte kan svindleren få dem til at klikke på links, der er inficeret med ransomware.

Phishing er ikke bare mail, men det ses også på SMS (hvilket kaldes “smishing”), chat-beskeder på sociale medier samt mere. Hovedreglen er, at de IT-kriminelle følger efter de steder på internettet, hvor folk færdes rundt. Måske har du allerede prøvet at modtage mystiske beskeder på Facebook? Vær obs - det er nødvendigvis ikke fra en ven!

Det bedste du kan gøre her er at være varsom med de beskeder, som du modtager. Klik aldrig på links eller vedhæftninger, hvis du ikke er helt sikker på troværdigheden. Får du en mail fra en bekendt eller en "troværdig" afsender, som bare får dig til at undre dig det mindste, bør du tjekke med afsenderen ved f.eks. at ringe til vedkommende.

Se denne info-video fra skat.dk om, hvordan du spotter falske mails fra Skat.

Hvis du er i tvivl om ægtheden af en mail, du har modtaget, så er du naturligvis også altid velkommen til at kontakte os. Vi er gode til at spotte de falske mails 🙂

Sårbarheder i software

Overvej et kort øjeblik, hvor meget software (hvor mange programmer) du har på din computer, din mobil og eventuelt også din tablet.

Det kan eksempelvis være Flash, Microsoft Office-pakken, Spotify, Skype, diverse apps og meget, meget mere.

Hvert software kan indeholde sårbarheder, som de IT-kriminelle kan udnytte. Det vil sige, at jo mere software du har - fx i form af apps på din mobil - desto større risiko har du for at blive ramt af ransomware.

Opdater altid dine programmer og apps!

Udbyderne af software opdager løbende sårbarhederne og udgiver patches (altså en lappe-opdatering). Du bør holde øje med disse og sørge for altid at opdatere dine elektroniske enheder.

Derudover bør du være varsom med software fra en ukendt udbyder. Pas fx på med, hvilke apps du downloader, da det kan være, at udbyderen er dårlig til at lukke sårbarhederne.

En måde du kan komme disse sårbarheder til livs på er ved at bruge online-baserede udgaver af dine programmer. Du kan f.eks. bruge Word Online igennem Onlime og undgå at have Word installeret på din computer overhovedet.

Inficerede (“komprimerede”) hjemmesider

De IT-kriminelle kan opsætte hjemmesider, der smitter med ransomware.

I praksis fungerer det ved, at hjemmesiden - som den IT-kriminelle enten selv har opsat eller hacket - indeholder et såkaldt “exploit kit”. Et exploit kit er værktøj, der søger efter en sårbarhed på offerets computer (eller anden elektroniske enhed). Ved at finde en sårbarhed i software kan metoden bruges til at inficere offeret med ransomware.

Det smarte ved exploit kits (for de IT-kriminelle altså) er, at det inficerer offeret med ransomware automatisk, når personen besøger den ondsindede hjemmeside - i stedet for, at offeret selv aktivt skal klikke på download.

Du kan overordnet set blive ledt ind på en inficeret hjemmeside på tre måder:

  • Ved at klikke på et ondsindet link i en phishing mail, der fører over til en inficeret hjemmeside
  • Ved at klikke på en annonce på en ellers legitim hjemmeside, der fører over til den inficerede hjemmeside
  • Ved at besøge en tidligere legitim hjemmeside, som er blevet hacket at en IT-kriminel og nu leder over på en inficeret hjemmeside. Dette dækker 82% af alle inficerede hjemmesider, ifølge sikkerhedsfirmaet Sophos.

Igen bør du være opmærksom på, at al din software (computerprogrammer, apps mm.) konstant bør have de nyeste opdateringer.

Drive-by-attacks

“Drive-by-attacks” er betegnelsen for den type af angreb, hvor offeret ikke selv aktivt gør noget for at blive smittet.

De ovenstående inficerede hjemmesider via exploit kits er altså en type af drive-by-attack.

Malvertising

Malvertising (en sammentrækning af “malware” og “advertising”) er en metode, som de IT-kriminelle bruger til at sprede malware gennem reklamer på internettet.

Det fungerer ved, at reklamer, der fører over til fx en inficeret hjemmeside, skydes gennem reklame-netværk ud på ellers legitime hjemmesider.

Det store amerikanske nyhedsmedie New York Times blev eksempelvis ramt af et malvertising-angreb i 2009. Det indebar, at mange af hjemmesidens brugere fik en popup-besked, der advarede dem med, at de var ramt af en computervirus. Derudover indeholdte popup-beskeden et link, der løgnagtigt blev påstod, at det førte til et antivirus-program. I virkeligheden førte linket over til malware.

Også Spotify har været ramt af et malvertising-angreb. Det fungerede ved, at brugere af Spotify fik en annonce, som åbnede en browser op med en inficeret hjemmeside. Som om, at nogle annoncetyper ikke er irriterende nok i forvejen, så er det med at være obs på, at nogle af dem til og med kan gå hen og være direkte skadelige.

Lær mere om malvertisingHvis du vil vide mere om malvertising, så kan du gå til denne side hos Google.

Botnets

Et botnet er en gruppe af computere (eller andre elektroniske enheder), som IT-kriminelle har kontrol over og bruger til ondsindede handlinger. Det uhyggelige ved botnets er, at din computer kan være en del af et uden, at du ved det. Derfor er det en god idé at læse godt med her:

En computer der er en del af et botnet kaldes en “zombie” - men ikke i den bogstavelige forstand som det overnaturlige væsen fra gyserfilmene. De IT-kriminelle bruger zombiecomputere til enten at stjæle dine data eller at begå uhensigtsmæssige handlinger. Eller som oftest; begge dele på én gang.

At være en del af et botnet er ikke det samme som at have ransomware. Men hvis din computer er en zombiecomputer, kan de IT-kriminelle bruge den til at spamme millionvis af internetbrugere med ransomware.

Smittevejene til det malware, der sætter din computer i et botnet, er de samme som med ransomware - fx gennem inficerede links.

Et tegn på, at din computer er en del af et botnet, er, hvis din computer er sløv og reagere langsomt.

Med et godt antimalware-program kan du scanne din computer og i mange tilfælde slippe af med botnet-malware. Det er selvfølgelig ikke en garanti, men det er et godt sted at starte.

Afsnit 3:

Hvad er konsekvenserne af ransomware?


Ransomware-angreb målrettes mod både private, virksomheder og offentlige organisationer, og det er utvivlsomt en bøvlet oplevelse af få sine filer krypteret.

Som privat bruger kan det betyde, at dine uvurdérlige familiebilleder bliver krypteret, så du mister dem for evigt. Alene denne konsekvens kan få det til at vende i maven på de fleste. Billeder og videoer er noget af det mest dyrebare, hvis man spørger langt de fleste mennesker til deres digitale liv. Nostalgien ved at se sine minder fra før i tiden er meget værd for rigtig mange mennesker. Udover tab af billeder, kan det også betyde, at dine vigtige dokumenter, kontrakter mm. bliver krypteret, så du vil skulle gennemgå et stort besvær. For den private vil konsekvensen være bløde værdier - modsat virksomhederne.

Konsekvenserne vil være stor for virksomheder og organisationer, da disse har mange filer, der bliver krypteret. Herudover er flere computere tilkoblet hinanden gennem netværket, så ransomware kan spredes og gøre endnu større skade end ved blot at ramme en enkelt computer. Dette kan både have økonomiske konsekvenser for virksomheden og i værste tilfælde også konsekvenser for de ansatte i form af fyringer.

region syddanmark

Et eksempel på en offentlig institution, der har været ramt af ransomware, findes hos sygehusene i Region Syddanmark. Her har de på bare to måneder været ramt to gange af ransomware, og det har fået regionen til at sende 20.000 medarbejdere på et kursus, der sætter fokus på IT-sikkerhed. Kurset skal styrke medarbejderne i at kunne genkende trusler som kan resulterer i ransomware - det er fx dem, som vi har beskrevet i dette indlæg. Hvis blot én medarbejder fejler og kommer til at åbne sin computer for inficering, kan det som i dette tilfælde have vidtgående konsekvenser for rigtig mange mennesker.

Også NHS (det nationale sundhedsvæsen i England) har været ramt af ransomware. Her var katastrofen dog endnu værre, da de måtte aflyse operationer mm. Det var som følge af WannaCry - det største ransomware-angreb nogensinde.

WannaCry ramte også franske bilfabrikker for eksempel virksomheden Renault, og det resulterede i, at flere af dem måtte stoppe produktionen.

Et eksempel

Region Syddanmark

De økonomiske konsekvenser af ransomware

På verdensplan har ransomware store økonomiske konsekvenser. Både i form af de penge, som folk føler sig nødsaget til at betale de IT-kriminelle, men også de skader hos virksomheder og organisationer, som angrebene udløser i form af produktionstab, nedetid mm.

Allerede tilbage i 2015 kostede ransomware angreb hele 325 millioner dollars ifølge Microsoft, og siden da har mængden af denne type angreb været stigende. Faktisk stiger mængden af angreb årligt med 350% ifølge en rapport fra sikkerhedsfirmaet Cisco.

Sikkerhedsvirksomheden Cybersecurity Venturees forudsiger endda, at ransomware skader vil være oppe på hele 5 milliarder dollars i 2017 - hvilket er mere end 15 gange så meget som i 2015.

Varierende løsesummer

Den gennemsnitlige løsesum, som de IT-kriminelle bag ransomware kræver for at låse ofrenes filer op igen, var på 679 dollars i 2016 (svarende til 4370 danske kroner).

Dog varierer størrelsen på løsesummerne meget, og de angreb der er målrettet mod konkrete organisationer eller virksomheder har en tendens til at kræve højere summer penge.

Slemt stod det til for et sydkoreansk webfirma, der blev påkrævet 1 millioner dollars (svarende til 6,5 mio danske kroner) for at få deres IT låst op. Firmaet havde fået 153 Linux servere låst, hvor de for kunder opbevarede mere end 3400 hjemmesider, som nu var låst.

Det var altså ikke bare en katastrofe for webfirmaet, men også for deres kundebase bestående af andre virksomheder, der måtte leve med nedetid på deres hjemmesider.

På trods af, at det sædvanligvis frarådes, valgte det sydkoreanske firma alligevel at betale løsesummen til de IT-kriminelle. Der var simpelthen for meget data og for meget forretning på spil til ikke at gøre det.

Selvom de IT-kriminelle bag ransomware-angreb driver en kynisk “forretningsmodel”, så findes der eksempler, hvor de alligevel er tilbøjelige til at samarbejde og faktisk hjælpe deres ofre.

I tilfældet med de sydkoreanske webfirma tilbød ransomware-bagmændende, at firmaet kunne betale løsesummen over tre omgange. Samtidig var det lykkedes firmaet at forhandle løsesummen ned fra 1,62 millioner dollars (svarende til 10,5 millioner kroner).

Den manglende morale hos de IT-kriminelle er dog ikke til at skjule. Den kom fx til udtryk, da et hospital fik sine IT-systemer låst af ransomware. Her var løsesummen på næsten 3,7 millioner dollars (svarende til knap 24 millioner danske kroner).

Ransomware har altså varierende løsesummer, og særligt når organisationer og virksomheder rammes, ser vi de helst store beløb.

Afsnit 4:

Hvem står bag ransomware?


Barrieren for at blive en IT-kriminel, der spreder ransomware, er utroligt lav.

For blot 39 dollars kan du købe en livslang licens til et software, der kan sprede ransomware til utallige brugere.

Dette kaldes ransomware as a service (RaaS), og det betyder, at du ikke behøver at være en lusket hacker for at stå bag et angreb. Samtidig betyder det også, at der ikke blot står én bagmand bag ransomware, men at utallige skyldige står bag.

Salget af licenser til ransomware as a service foregår over “the dark web” (det mørke internet). Det er den del af internettet, som kræver specifikt software eller konfigurationer for at tilgå. Du kan altså ikke komme ind på det mørke internet blot igennem din normale internetbrowser.

På det mørke internet kan IT-kriminelle anonymt sælge og dele ulovlige besiddelser, fx våben, stoffer og her licenser til ransomware software.

Der er flere familier af ransomware, og der er også flere grupper af bagmænd bag de enkelte familier. Fra december 2015 til 2016 voksede antallet af ransomware-familier med hele 600%.

Bagmændene har altså travlt, og det tyder på, at der står flere bag.

 

En særlig markant gruppe er dog “Shadow Brokers” - en hacking gruppe, der muliggjorde det store WannaCry-angreb ved at offentliggøre en sårbarhed i Windows, som NSA (National Security Agency) havde opdaget.

Shadow Brokers er berygtet for at udgive software-sårbarheder, så IT-kriminelle frit kan udnytte disse til at målrette angreb mod uskyldige ofre. De bruger det føromtalte mørke internet til at videreformidle - og endda sælge sårbarhederne.

Shadow Brokers står altså blot for at finde sårbarheder, som andre hackere kan udnytte. Det vides ikke, om gruppen selv er indblandet i udsendelsen af ransomware-angreb.

Det er nemlig svært at spore bagmændene - hovedsageligt fordi løsesummerne betale i den anonyme Bitcoin-valuta.

Her er dog, hvad man har klargjort om et par ransomware-angreb:

  • CryptoWall 4.0 blev udsendt fra servere i Rusland, ifølge sikkerhedsvirksomheden Bitdefender. Det betyder ikke nødvendigvis, at bagmændene er herfra, men blot at deres servere, som ofrenes computere downloadede CryptoWall fra, var placeret her.
  • WannaCry er muligvis skabt af hackere, der taler flydende kinesisk, ifølge forskere fra Flashpoint. Andre har spekulationer om, at angrebet stammer fra Nordkorea, men forskerne fra Flashpoint har fundet bevis på, at beskeden var oversat fra et andet sprog til koreansk. Forskerne analyserede de 28 sproglige variationer af ransomware-beskeden, der poppede frem på ofrenes computere og opkrævede løsesummen på 300 dollars i bitcoins. De fandt frem til, at kun den engelske og kinesiske variation så ud til at være skrevet af et menneske.

Derudover kender man konkret en russisk mand, som står bag massive spredninger af Cryptolocker.

Her er den berygtede hacker:

Evgeniy Bogachev: Ruslands mest notoriske hacker og manden bag “Gameover Zeuz”-botnet

Evgeniy Bogachev siges at være hovedmanden bag Cryptolocker samt botnettet “Gameover Zeuz”, der i en høj grad spredte Cryptolocker.

Med en dusør på 3 millioner dollars (svarende til 19,3 millioner danske kroner) for oplysninger, der leder FBI til hans fangst, er Bogachev den mest eftersøgte IT-kriminelle.

På toppen havde Bogachev kontrol over mere end én million computere rundt omkring i verden, som han blandt andet brugte til at suge millioner af kroner ud af uanende private borgeres og virksomheders bankkonti. Dette netværk at computere brugte Bogachev også til at udsende Cryptolocker i massevis.

USA holder løbende øje med Bogachev i tilfælde af, at han skulle forsøge at forlade sit hjemland Rusland. Men selvom han tidligere har rejst internationalt med tre forskellige falske pas, er det usandsynligt, at han vil tage risikoen og forlade Rusland, da han der lader til at være godt beskyttet.

Ifølge den amerikanske efterretningstjeneste har Bogachev ledtog med den russiske regering, som glædeligt vender et blindt øje til hans IT-kriminalitet for at øge deres spionage kapaciteter.

Som du nok kan fornemme, så er det ikke nemt at udpege bestemte bagmænd til alt det onde it kriminalitet som spreder sig igennem vores verden. Mange folk er 'medskyldige' uden, at de selv aner det, mens andre betaler en lille andel for at være med i 'rovet' - næsten som at købe en aktie. Etik og moral er en mangelvare i den kriminelle verden, både fysisk og digitalt set.

Afsnit 5:

Hvordan har ransomware udviklet sig igennem tiden?


Ransomware har siden det allerførste angreb udviklet sig væsentligt. Her er nogle af det markante angreb i historien.

Det første angreb nogensinde: “AIDS-trojanen”

Selvom ransomware for mange er et nyt koncept, så stammer det første angreb faktisk helt tilbage fra 1989 - fra før e-mail overhovedet fandtes. Det blev kaldt AIDS-trojanen. Den kendte old-græske fortælling om, hvordan Odysseus efter 10 års belejring har held med at erobre byen Troja med krigslist har lagt navn til den kendte "trojanske hest". Samme navn går igen i it-verden, hvor princippet er genbrugt til at erobre uskyldige computerbrugere.

Begrebet “trojan” dækker i PC-verdenen over ondsindede PC-programmer, der er designet til at snyde ofrene ved at dække over programmernes rigtige intention.

Historien bag AIDS-trojanen er næsten urealistisk. Hør bare med:

Det startede på WHO's internationale AIDS-konference, hvor mennesker fra hele verden var samlet, herunder fra Danmark. Hver en deltager på konferencen fik tilsendt en pakke fra en virksomhed kaldet “PC Cyborg Organisation”, og hver pakke indeholdte en diskette med etiketten ‘AIDS Information - Introductory Diskettes’ på.

For deltagerne på konferencen var det altså plausibelt nok; De havde deltaget i en konference om AIDS, og nu fik de tilsendt materiale om sygdommen.

Disketterne - som der samlet set var 20.000 af - havde rigtigt nok et program på sig, som kunne vurdere en persons risiko for at blive smittet med AIDS baseret personen besvarelser i en interaktiv undersøgelse. Men disketterne indeholdte også det, der senere fik navnet “AIDS-trojanen”. En virus, der krypterede offerets filer efter, at personen havde opstartet sin PC 90 gange.

Efter krypteringen blev en besked synlig på PC-skærmen. Her blev offeret bedt om at betale en løsesum på 189 dollars ved at sende pengene til at postboks i Panama.

En række markante ting adskiller AIDS-trojanen fra nutidens ransomware:

  • Det smittede gennem en diskette, frem for fx gennem e-mails ellers links
  • Løsesummen blev opkrævet i en analog valuta, den klassiske dollar, frem for den digitale valuta Bitcoin
  • Pengene skulle sendes afsted fysisk, frem for gennem en elektronisk overførsel

AIDS-trojanen havde desværre store konsekvenser - både for de private personer, men særligt for de hundredvis af medicinske forskningsinstitutioner, som disketterne med vilje var blevet spredt til. Ifølge The Independent mistede en AIDS-organisation i Italien 10 års arbejde pga virussen.

Og hvem var den skyldige bag AIDS-trojanen?

Det mærkværdige ved trojanen var, at manden bag ikke var den arketypiske kriminelle med en fortid i hårde miljøer og en plettet straffeattest.

Nej, manden bag var Dr. Joseph L. Plopp, en biolog med en PhD fra Harvard. Og med sin baggrund, kan ingen vide, hvilke motiver der fik Plopp til at udgive hans ondsindede kode.

Historien er nemlig ret paradoksal. Mange af ofrene var medlemmer af verdens sundhedsorganisations internationale AIDS konference - men Popp var selv en konsulent på deltid for selvsamme organisation i Kenya, og han var aktiv engageret i forskningen af AIDS.

Den engelske avis, The Guardian, fremførte hans motiv til at være, fordi han var blevet nægtet et job hos sundhedsorganisationen. Men den undskyldning, som dommeren i sidste ende accepterede, var, at Popp var simpelthen var skingrende sindssyg.

Heldigvis blev Popp fanget i god tid - for en rapport klargjorde senere, at doktoren havde planer om at sprede ekstra 2 millioner disketter.

Angrebet lagde dog grund for de grusomme ransomware-angreb, der fortsat i dag plager teknologien for private, virksomheder og organisationer over hele verden.

Seks år efter angrebet blev et sæt krypteringsalgoritmer opfundet kaldet “Public-key kryptografi”. En teknologi, som er grundstenen i mange ransomware-krypteringer.

Nok om det første angreb. Lad os se på det ransomware-angreb, der i tiden har haft den største gennemslagskraft.

Nemlig WannaCry.

Læs med.

Det største ransomware-angreb nogensinde: “WannaCry"

WannaCry ramte i mere end 150 lande, hvor privatpersoner, virksomheder, myndigheder og organisationer fik krypteret deres data.

Det skete den 12. maj, da angrebet brød ud og smittede i lynets hast. Når et IT-system blev ramt, blev filerne på det pågældende system krypteret. WannaCry var altså et krypterings-ransomware.

Som med andre ransomware-angreb blev offeret påkrævet en løsesum i Bitcoins - denne gang på 300 dollars - for at få dekrypteret sine filer.

WannaCry skildte sig ud fra sædvanlige ransomware-angreb, fordi angrebet kunne smitte brugeren automatisk - frem for at kræve en manuel handling fra brugeren først. Smitten var gennem en sårbarhed i SMB-protokollen i Windows-systemer, der ikke var blevet opdateret med en sikkerhedsopdatering.

Sårbarheden, der gjorde hele angrebet muligt, blev opdaget af NSA og derefter stjålet og lækket af hackergruppen Shadow Brokers.

Image
Wannacry ramte store dele af verdens lande.

WannaCry lærte os en vigtig lektie:

Hold altid software på din IT opdateret. Microsoft havde nemlig forinden angrebet allerede udgivet en opdatering, der blokerede det hul, som WannaCry udnyttede. Angrebet kunne altså for mange være undgået, hvis de blot havde installerede Microsofts opdatering.

WannaCry havde også en efterfølger, som nogle mente var endnu farligere end WannaCry selv.

Efterfølgeren hed Petya, og den kunne ramme selv helt store virksomheder - herunder giganten Mærsk (som nok ikke behøver en introduktion).

Petya var bedre til at sprede sig selv, da angrebet havde to muligheder: Enten gennem sårbarheden i Windows, som WannaCry også udnyttede. Eller gennem to administrationsværktøjer i Windows.

For at en hel organisation blev smittet skulle blot én PC i organisationen have sårbarheden. Så kunne Petya nemlig ramme den enkelte PC og sprede sig til andre PC’er, selv hvis de ikke havde sårbarheden.

Mærsk blev ramt af ransomware
For en kæmpestor virksomhed som Mærsk kostede ransomwareangrebet ufattelig mange penge.

Dette oplevede Mærsk - selskabet som står for at afsende hvert syvende container på global plan. Selskabet måtte tjekke 80.000 servere og 1.100 IT-systemer for Petya.

Heldigvis lykkedes det Mærsk at komme tilbage og tage imod bookinger igen efter omtrent 5 dage.

En anden virksomhed, der mistede et astronomisk beløb, var den europæiske byggegigant Saint Groban. Virksomheden estimerer selv et tab i salg på hele 1,9 milliarder danske kroner som følge af Petya-angrebet. Et stort beløb i forhold til den relativt lille sum på blot én million kroner, som bagmændene bag Petya og WannaCry vurderes at have tjent.

Afsnit 6:

Hvad er løsningen på ransomware?


Puha…

Denne artikel har været en stor omgang med mange konkrete eksempler på, hvor galt det kan gå for både virksomheder og privatpersoner, når ransomware-angreb finder sted.

Men vi mangler at gennemgå dét, der nok er allervigtigst for dig:

Nemlig hvordan du beskytter dig, forebygger eller slipper af med ransomware.

Til det er der flere løsninger, som du bør anvende.

Lad os se:

Brug en pålidelig backup

Det bedste tip mod ransomware er, at du bør have en pålidelig backup.

Med en backup kan du nemlig gendanne al din data (altså filer mm.), selv hvis de er blevet ramt af en ransomware. Med en nylig og god backup behøver du dermed ikke være så bekymret for at miste dine filer ved et angreb af ransomware - blot irriteret over det besvær, som et angreb medfører.

Hvis du har få filer, kan du manuelt tage backups på en ekstern harddisk eller et USB-stik.

Det ultimative er dog at bruge en ekstern leverandør af flere årsager:

  • Med en backup udefra sikrer du, at backuppen placeres væk fra din computer. Dermed kan ransomware ikke smitte fra din computer over på din backup (hvilket er vigtigt at undgå)
  • Med en backup udefra kan du arrangere, at backuppen tages automatisk, så du hele tiden har en nylig backup. Du ønsker nemlig ikke, at din backup blev taget for lang tid siden, for så vil du gå glip af de filer, som du har gemt i mellemtiden
Backup hos OnlimeLær mere om backup hos Onlime og hvorfor du kan bruge os

Antivirus og antimalware: Beskyttelse mod ransomware

Udover backup findes der en række værktøjer, som du kan have installeret på din computer for at forebygge ransomware.

Det mest kendte er nok antivirus / antimalware software, som ofte koster et månedligt eller årligt beløb. Det har vi tidligere skrevet om i vores artikel om den ultimative sikkerhedsopsætning på din IT.

Antimalware / antivirus er værktøjer, der ikke bare hjælper dig med at undgå ransomware, men også andre IT-trusler. Hovedpointen er, at de fleste moderne IT-trusler er malware - og ikke virusser. Derfor giver det mest mening at vælge et antimalware software.

Der findes gratis antimalware derude, som vil give dig en tilstrækkelig beskyttelse. Sommetider vil det også være fordelagtigt at betale sig til endnu bedre beskyttelse - alt efter dit behov.

Forsigtighed når du færdes på internettet

Et af de vigtigste tips til at undgå IT-trusler som ransomware er, at du bør færdes med forsigtighed på internettet.

Det betyder, at du ikke bør stole på nogen som helst, medmindre du er helt sikker på afsenderen. Det gælder faktisk på al kommunikation, der ikke er face-to-face. Altså:

  • På sociale medier (fx beskeder i Facebooks Messenger, Snapchat, Instagram, dating-apps osv)
  • På e-mail (selv hvis mailen kommer fra en autoritet eller en person, du kender - for mailen kan være forfalsket)
  • På SMS

Ved alle kommunikationsmidlerne har de IT-kriminelle mulighed for at udnytte vores travle hverdag ved at efterligne de beskeder, som vi per automatik interagerer med.

Heldigvis kan du med forsigtighed og eftertænksomhed vige udenom mange af de falske beskeder. Du skal blot vide, hvad du skal kigge efter.

Her er nogle klassiske kendetegn ved de falske beskeder fra de IT-kriminelle:

  • Stavefejl
  • Dårlig grammatik
  • Overdreven brug af frygt eller tidspres
  • Dårlige oversættelser til dansk

Når du ser ovenstående kendetræk, bør du være varsom med beskeden. Det er sandsynligvis en falsk besked.

Opdager du en falsk besked kan du gøre følgende:

  • Undgå at klikke på links eller vedhæftninger i beskeden (da dette er en hyppig smittevej fra ransomware og andet malware)
  • Kontakte den påståede afsender for at bekræfte, om mailen er sandfærdig eller ej
  • Skriv kun dine fortrolige oplysninger på sikrede hjemmesider (det vil sige hjemmesider, har kører over https frem for http). Derudover bør du aldrig sende penge eller fortrolige oplysninger på opfordring i en besked

Med varsomhed på internettet og i din kommunikation vil du mindske din risiko for at blive smittet med ransomware.

Afsnit 7:

Burde du betale løsesummen?


Det frarådes på det kraftigste, at du betaler løsesummen, medmindre det drejer sig om kritiske data. Hvis du betaler, medvirker du nemlig til, at de IT-kriminelle har en grund til at fortsætte deres kriminalitet. Derudover ved du ikke, om du overhovedet får dine data igen efter at have betalt, og du risikerer derfor at spilde dine penge.

Afsnit 8:

Konklusion


Et ondsindet software, der kryptere offerets filer og kræver en løsesum for at låse dem op igen.

Det er en kort måde at forklare nutidens største IT-trussel på. En trussel, der over de seneste år har hærget privatpersoner, virksomheder og organisationer ved at skabe ødelæggelser for milliarder af kroner.

Selv én af Danmarks største virksomheder har været ramt - nemlig Mærsk, hvilket beviser, at alle er i farezonen.

Der findes dog en række måder, som du kan forebygge eller helbrede et angreb. Vi har gået i dybden med metoderne i dette blogindlæg, herunder:

  • At du bør have en pålidelig backup
  • At du bør overveje et antivirus / antimalware software
  • At du bør færdes forsigtig på internettet

Vi håber, at du har fået udvidet din viden om ransomware. Hvis du har spørgsmål til truslen, er du velkommen til at kontakte os.

Tak fordi du læste med 🙂