Antivirus-virksomhed: Kraftig stigning i danske ransomware-angreb

Der har været en nærmest eksplosiv stigning i antallet af ransomware-angreb rettet mod danske organisationer, oplyser Trend Micro.

Flere har nok haft på fornemmelsen, at ransomware hærger danske organisationer i stor grad. Nu bliver den fornemmelse bakket op af anti-virusforetagendet Trend Micro, der har detekteret i kraftig stigning i antallet af ransomware-angreb mod danske virksomheder.

I februar 2016 var der ifølge Trend Micro således 60 procent flere ransomware-angreb sammenholdt med antallet af angreb for hele 2015.

Og Danmark er gået fra at være genstand for 0,39 pct. af alle ransomware-angreb globalt set i 2015 til 3,44 pct. i februar 2016.

Trend Micro kan ikke umiddelbart oplyse de kvantitative tal, der må formodes at gemme sig bag procentsatserne. Men tendensen skulle være god nok.

»Der er klart en stigning i ransomware-angreb i Danmark. Det udvikler sig fra dag til dag, og de finder nye og smarte måder at omgå traditionelle scanninger og detektioner på,« fortæller Jesper Mikkelsen, sikkerhedskonsulent ved Trend Micro.

En af de nye teknikker, de it-kriminelle bruger i forsøget på at presse penge af danske organisationer, er vedhæftede javascript-filer. Det er et forsøg på at undgå detektion fra anti-virustiltag og mailfiltre, hvor sidstnævnte måske i udgangspunktet ikke er sat op til at blokere for filer, der ender på .js.

Javascript-filerne kan afvikles direkte i Windows via den indbyggede Windows Script Host. Specifikt er det ransomwaren Locky, som kriminelle nu inden for de seneste fjorten dage er begyndt at snige ind på danske maskiner via javascript. Tidligere skete det ved hjælp at makrokode indlejret i dokumenter.

Jesper Mikkelsen fortæller, at der er tale om obfuskeret javascript, der når det bliver eksekveret henter og installerer selve ransomwaren. Det sker i den kontekst, som scriptet bliver afviklet i. Angrebet forudsætter, at modtageren kan narres til at klikke, men det sker altså også.
Anti-virus-virksomheden McAfee har en længere teknisk gennemgang af Locky og distributionen med javascript, der kan læses her.

»De cyberkriminelle sætter deres lid til, de kan trigge brugerne til at klikke,« siger Jesper Mikkelsen og nævner i den forbindelse en travl bogholder i en organisation som en person, der måske relativt nemt kan lokkes til at klikke på en skadelig fil, der dukker op midt mellem en masse andre filer, vedkommende modtager i løbet af en dag.

Jesper Mikkelsen fortæller, at ransomwaren konstant skifter karakter, det vil sige, den bliver rekompileret, så den er svær at detektere via traditionelle, signatur-baserede antivirus- løsninger. En måde alligevel at se, om noget er galt på, er ved at lade potentielt farlige filer køre i en sandbox inden de bliver videresendt til brugerne. Men selv denne metode er ikke 100 pct. sikker, medgiver Jesper Mikkelsen.

»Der er ikke noget, der er 100 procent, og der findes ikke en silverbullet i forhold til ransomware.«

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Følg forløbet

Kommentarer (6)

Tauno Suikkanen

Men, lige nu er jeg ramt ef en pop-up:

Obs!
(i brun bjælke for oven)

Icon med skærm: brun-gul baggrund og et stort "!" mit på

Tekst:
Denne app har fundet en potentiel trussel på computeren.

Klik på Rens computer for at fjerne truslen.

I nederste grå bjælke:
"Vis detaljer" og en knap med "Rens computer"

Hvordan finder jeg ud af, om det er noget jeg ikke skal trykke på ? (For mig er det mistænkelige at app'n ikke afsløre sit navn,).

Tauno Suikkanen

I gamle dage var der en blog, hvor man kunne stille spørgsmål som ovenstående.
Eksisterer den stadig ? - hvad hed den ?
Eller hvordan finder man ud af, om det er en ondsindet pop-up ?

Jesper Ravn

Uden et eller flere billeder/info, er det svært at sige, hvad du har fået ned på din computer.
Mit bedste råd er derfor, at få det tjekket hurtigt af en IT kyndig :-)
Hvis det er malware, er det bedst at lave en clean install igen.
Det site du efterspørger er nok dette link.

http://forum.spywarefri.dk/

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen