Lær at genkende ransomware – sådan adskiller krypteringstrojanere sig fra hinanden

Hvad er ransomware?

Ransomware er en type malware (ondsindet software), der bruges af cyberkriminelle. Hvis en computer eller et netværk er blevet inficeret med ransomware, blokerer ransomwaren adgangen til systemet eller krypterer dets data. Cyberkriminelle kræver løsepenge fra deres ofre til gengæld for at frigive dataene. Hvis du vil beskytte dig mod infektion fra ransomware, anbefaler vi, at du holder et vågent øje og installerer en god sikkerhedssoftware. Ofre for sådanne malwareangreb har tre muligheder efter en infektion: De kan enten betale løsesummen, forsøge at fjerne malwaren eller genstarte enheden. Angrebsvektorer, der ofte bruges af afpresningstrojanere, omfatter Remote Desktop Protocol, phishing-e-mails og sårbarheder i software. Et angreb med ransomware kan derfor være rettet mod både enkeltpersoner og virksomheder.

Identifikation af ransomware — der findes to hovedtyper

Især to typer ransomware er meget populære:

• Locker-ransomware. Denne type malware blokerer computerens grundlæggende funktioner. For eksempel kan du blive nægtet adgang til skrivebordet, mens musen og tastaturet er delvist deaktiveret. Dette giver dig mulighed for at fortsætte med at interagere med vinduet, der indeholder kravet om løsepenge, så du er i stand til at foretage betalingen. Bortset fra dette er computeren ubrugelig. Men der er gode nyheder: Locker-malware er normalt ikke målrettet kritiske filer, den vil generelt bare låse dig ude. Det er derfor usandsynligt, at dine data destrueres fuldstændigt.
• Crypto-ransomware. Formålet med crypto-ransomware er at kryptere dine vigtige data såsom dokumenter, billeder og videoer, men ikke at forstyrre de grundlæggende computerfunktioner. Dette skaber panik, fordi brugerne kan se deres filer, men ikke kan få adgang til dem. Crypto-udviklere føjer ofte en nedtælling til deres krav om løsepenge: "Hvis du ikke betaler løsesummen inden deadline, slettes alle dine filer." I betragtning af antallet af brugere, der ikke er klar over behovet for sikkerhedskopiering i skyen eller på eksterne fysiske lagringsenheder, kan crypto-ransomware have en katastrofal effekt. Derfor betaler mange ofre løsepenge blot for at få deres filer tilbage.

Locky, Petya og lignende.

Nu ved du, hvad ransomware er, og du kender til de to hovedtyper. Her vil du lære om nogle velkendte eksempler, der kan hjælpe dig med at identificere farerne ved ransomware:

Locky

Locky er ransomware, der først blev brugt til et angreb i 2016 af en gruppe organiserede hackere. Locky krypterede mere end 160 filtyper og blev spredt ved hjælp af falske e-mails med inficerede vedhæftede filer. Brugere faldt for e-mailtricket og installerede ransomware på deres computere. Denne metode til spredning kaldes phishing og er en afart af den såkaldte social engineering. Locky-ransomware er rettet mod filtyper, der ofte bruges af designere, udviklere, ingeniører og testere.

WannaCry 

WannaCry var et ransomwareangreb, der spredte sig til mere end 150 lande i 2017. Det er designet til at udnytte en sikkerhedssvaghed i Windows, der blev skabt af NSA og lækket af hackergruppen Shadow Brokers. WannaCry påvirkede 230.000 computere over hele verden. Angrebet ramte en tredjedel af alle offentlige hospitaler i Storbritannien, hvilket forårsagede en anslået skade på 92 millioner engelske pund. Brugerne blev låst ude, og der blev krævet løsepenge i Bitcoin. Angrebet afslørede problemet med forældede systemer, fordi hackeren udnyttede en sårbarhed i operativsystemet, hvortil en fejlrettelse længe havde eksisteret på tidspunktet for angrebet. Den verdensomspændende økonomiske skade forårsaget af WannaCry udgjorde ca. 4 mia. USD.

Bad Rabbit

Bad Rabbit var et ransomwareangreb fra 2017, der spredte sig via såkaldte drive-by-angreb. Usikre websteder blev brugt til at udføre angrebene. I et drive-by-ransomwareangreb besøger en bruger et rigtigt websted uden at vide, at det er blevet kompromitteret af hackere. Til de fleste drive-by-angreb er det eneste, der kræves, at en bruger besøger en side, der er blevet kompromitteret på denne måde. I dette tilfælde var det eksekveringen af et installationsprogram, der indeholdt forklædt malware, som førte til infektionen. Dette kaldes en malware-dropper. Bad Rabbit bad brugeren om at køre en falsk Adobe Flash-installation og inficerede på den måde computeren med malware.

Ryuk

Ryuk er en krypteringstrojaner, der spredte sig i august 2018 og deaktiverede genoprettelsesfunktionen i Windows-operativsystemer. Dette gjorde det umuligt at gendanne de krypterede data uden en ekstern backup. Ryuk krypterede også netværksharddiske. Virkningen var enorm, og mange af de amerikanske organisationer, der var målet for angrebet, endte med at betale de krævede løsesummer. Den samlede skade anslås til over 640.000 USD.

Shade/Troldesh

Shade- eller Troldesh-ransomwareangrebet fandt sted i 2015 og spredtes via spam-e-mails med inficerede links eller vedhæftede filer. Interessant nok kommunikerede Troldesh-angriberne direkte med deres ofre via e-mail. Ofre, med hvem de havde opbygget et "godt forhold", fik rabat. Denne form for adfærd er imidlertid en undtagelse til reglen.

Jigsaw

Jigsaw er et ransomwareangreb, der begyndte i 2016. Angrebet fik sit navn fra et billede, det viste af den velkendte marionet fra Saw-filmene. For hver ekstra time løsesummen ikke blev betalt, slettede Jigsaw-ransomwaren flere filer. Brugen af gyserfilmbilledet forårsagede yderligere stress blandt brugerne.

CryptoLocker

CryptoLocker er ransomware, der først blev opdaget i 2007 og spredt via inficerede vedhæftede filer i e-mails. Ransomwaren søgte efter vigtige data på inficerede computere og krypterede dem. Det anslås, at 500.000 computere blev påvirket. Retshåndhævende myndigheder og sikkerhedsvirksomheder formåede til sidst at tage kontrollen over et verdensomspændende netværk af kaprede hjemmecomputere, der blev brugt til at sprede CryptoLocker. Dette gjorde det muligt for myndighederne og virksomhederne at opsnappe de data, der blev sendt via netværket, uden at de kriminelle lagde mærke til det. I sidste ende resulterede dette i, at der blev oprettet en onlineportal, hvor ofrene kunne få en nøgle til at låse deres data op. Dette gjorde det muligt at frigive brugernes data uden at skulle betale løsepenge til de kriminelle.

Petya

Petya (må ikke forveksles med ExPetr) er et ransomwareangreb, der fandt sted for første gang i 2016 og blev genlanceret som GoldenEye i 2017. I stedet for at kryptere visse filer krypterede denne ondsindede ransomware hele offerets harddisk. Dette blev gjort ved at kryptere masterfiltabellen (MFT), hvilket gjorde det umuligt at få adgang til filer på harddisken. Petya-ransomwaren spredte sig til HR-afdelinger via et falsk program, der indeholdt et inficeret Dropbox-link.

En anden variant af Petya er Petya 2.0, som skiller sig ud på nogle vigtige punkter. Men måderne, hvorpå angrebet udføres, er begge lige fatale for enheden.

GoldenEye

Petyas genlancering som GoldenEye resulterede i en verdensomspændende ransomwareinfektion i 2017. GoldenEye, kendt som WannaCrys "dræberbror", ramte mere end 2.000 mål — herunder fremtrædende olieproducenter i Rusland og flere banker. Begivenhederne tog en dramatisk drejning, da GoldenEye tvang personalet på Tjernobyl-atomkraftværket til at kontrollere strålingsniveauet manuelt, efter at de var låst ude af deres Windows-computere.

GandCrab

GandCrab er en usmagelig ransomware, der truede med at afsløre ofrenes forbrugsvaner inden for porno. Den hævdede, at den havde hacket offerets webcam, og krævede løsepenge. Hvis løsesummen ikke blev betalt, ville pinlige optagelser af offeret blive offentliggjort. Efter sin første optræden i 2018 fortsatte GandCrab-ransomwaren med at udvikle sig i forskellige versioner. Som en del af "No More Ransom"-initiativet udviklede sikkerhedsudbydere og politimyndigheder et værktøj til dekryptering af ransomware for at hjælpe ofrene med at gendanne deres følsomme data fra GandCrab.

B0r0nt0k

B0r0nt0k er en crypto-ransomware, der fokuserer specifikt på Windows- og Linux-baserede servere. Denne skadelige ransomware krypterer filerne på en Linux-server og tilføjer filtypenavnet .rontok. Malwaren udgør ikke kun en trussel mod filerne, men foretager også ændringer til opstartsindstillinger, deaktiverer funktioner og programmer og tilføjer registreringsdatabaseposter, filer og programmer.

Dharma Brrr-ransomware

Brrr, den nye Dharma-ransomware, installeres manuelt af hackere, som hacker sig ind i desktop-tjenester, der er forbundet med internettet. Så snart ransomwaren aktiveres af hackeren, begynder den at kryptere de filer, den finder. De krypterede data får filtypenavnet ".id-[id].[email].brrr".

 FAIR RANSOMWARE-ransomware

FAIR RANSOMWARE er ransomware, der har til formål at kryptere data. Ved hjælp af en stærk algoritme krypteres alle offerets private dokumenter og filer. Filer, der er krypteret med denne malware, tilføjes filtypenavnet ".FAIR RANSOMWARE".

MADO-ransomware

MADO-ransomware er en anden type crypto-ransomware. Data, der er krypteret af denne ransomware, får filtypenavnet ".mado" og kan således ikke længere åbnes.

Ransomwareangreb

Som allerede nævnt finder ransomwaren sine mål i alle samfundslag. Normalt er den krævede løsesum mellem 100 og 200 USD. Nogle angreb kræver dog meget mere — især hvis angriberen ved, at de blokerede data udgør et betydeligt økonomisk tab for den virksomhed, der bliver angrebet. Cyberkriminelle kan derfor tjene enorme summer ved hjælp af disse metoder. I de to eksempler nedenfor er eller var offeret for cyberangrebet mere signifikant end den anvendte type ransomware.

WordPress-ransomware

WordPress-ransomware er, som navnet antyder, rettet mod WordPress-webstedsfiler. Offeret afpresses for løsepenge, som det er typisk for ransomware. Jo mere efterspurgt WordPress-webstedet er, desto mere sandsynligt er det, at det bliver angrebet af cyberkriminelle ved hjælp af ransomware.

Wolverine-sagen

Wolverine Solutions Group (leverandør af sundhedsydelser) blev offer for et ransomwareangreb i september 2018. Malwaren krypterede et stort antal af virksomhedens filer, hvilket gjorde det umuligt for mange medarbejdere at åbne dem. Heldigvis lykkedes det teknikere at dekryptere og gendanne dataene den 3. oktober. Men mange patientdata blev kompromitteret i angrebet. Navne, adresser, medicinske data og andre personlige oplysninger kunne være faldet i hænderne på cyberkriminelle.

Ransomware as a Service

Ransomware as a Service giver cyberkriminelle med mindre avancerede tekniske færdigheder mulighed for at udføre ransomwareangreb. Malware stilles til rådighed for købere, hvilket betyder lavere risiko og højere gevinst for programmørerne af softwaren.

Konklusion

Ransomwareangreb er meget forskellige og optræder i alle former og størrelser. Angrebsvektoren er en vigtig faktor for de anvendte typer ransomware. For at estimere størrelsen og omfanget af angrebet er det nødvendigt altid at overveje, hvad der står på spil, eller hvilke data der kan blive slettet eller offentliggjort. Uanset typen af ransomware kan sikkerhedskopiering af data på forhånd og korrekt håndtering af sikkerhedssoftware reducere intensiteten af et angreb betydeligt.