Dansk politi stemmer i: Betal ikke ransomware-afpresning

12 kommentarer.  Hop til debatten
Dansk politi stemmer i: Betal ikke ransomware-afpresning
Illustration: Kaspersky.
Man bidrager til kriminalitet, hvis man betaler ransomware-afpresning, lyder det kontant fra Landsdækkende Center for It-Kriminalitet.
4. august 2021 kl. 04:17
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Ransomwareangreb rammer nu store og små virksomheder som aldrig før. Kort før sommerferien blev Techotel ramt af et angreb, der ramte store dele af den danske hotelbranche midt i højsæsonen. Siden er Bauhaus blevet ramt - og det er kun nogle af de eksempler, vi kender til.

Politiets gode råd

Udover de sædvanlige gode råd om backup og it-hygiejne råder politiet danskerne til følgende:

  • Undgå at dele personlige data, hvis en ubekræftet afsender beder om dem.
  • Vær omhyggelig med følsomme data.
  • Overvej at bruge flerfaktor-identifikation på dine vigtigste online konti.
  • Undersøg og hent kun officielle versioner af software fra sikre hjemmesider.
  • Forbind aldrig ukendte USB-nøgler til din computer.
  • Brug et Virtual Private Network (VPN), når du anvender offentligt tilgængelige trådløse netværk.

Derfor har Politiet gennem Landsdækkende Center for It-Kriminalitet (LCIK) lanceret en kampagne på Facebook med en række råd til danske borgere.

»Vi anbefaler man undgår at betale løsepenge. For det første er man ikke garanteret, at de kriminelle løser problemet, når man har betalt, men man motiverer også yderligere afpresning ved at vise, man er villig til at betale,« lyder det fra Anders-Emil Nøhr Kelbæk.

Artiklen fortsætter efter annoncen

Han er sektionschef i LCIK og understreger, hvorfor man skal tænke sig om en ekstra gang inden man betaler hvad der kan virke som en lille sum for at få sine data tilbage:

»Det er ikke ulovligt at betale løsesum og afpresning, men det er klart at der er nogle nuancer. Man bidrager til kriminalitet, hvis man betaler. Man kan ikke nødvendigvis straffes for det, men der er altid et større billede, der gør, man kan støtte nogle andre grimme ting.«

Techotel endte ellers med at betale de kriminelle, og Bauhaus overvejede det. Om de også endte med at støtte deres foretagende ved vi ikke, men Version2 følger op, når det er muligt.

Det er altså ikke ualmindeligt, at danske virksomheder går mod de danske politis men også FBI's og danske sikkerhedseksperters anbefalinger om ikke at betale.

LCIK og nomoreransom.org

LCIK’s opgave er at visitere de sager der kommer inden for it-kriminalitet og derefter sende dem ud til de politikredse, de er relevant for.

Sammen med blandt andet det hollandske politi, Europol, Avast og MacAfee at samle dekrypteringsnøgler og viden om de forskellige ransomware-aktører ét sted, nomoreransom.org.

Hvis du eller din virksomhed rammes af ransomware råder politiet dig derfor til at søge hjælp der som noget af det første.

Pandoras ransomware-box

Samtidig bør man huske, at der ikke er nogen garanti for, at man får filerne tilbage, hvis man betaler.

»Der kan nemlig også være en ubevidst fejl i den software, de kriminelle bruger, så de faktisk slet ikke kan låse op for de angrebne filer. Selv hvis pengene er betalt.

Det bekræfter Keld Norman, der som white hat hacker hos Dubex flere gange har bidraget til nomoreransom.org med diverse brudstykker af forskellige ransomware, han kommer i berøring med, når han overvåger de mørke afkroge af internettet.

»De kriminelle laver tit fejl og de køber og sælger programmerne til hinanden. Derfor ser vi tit, at hackerne også snyder hinanden, og det går ud over ofrene for ransomware, hvis hackerne ikke kan låse filerne op, som de lover, fordi de er blevet snydt af dem, de har købt ransomwaren af,« siger Keld Norman.

Ingen eksempler på opklarede ransomwaresager

Selvom danskerne anmelder snesevis af ransomwareangreb kender politikomissæren endnu ikke en eneste dansk ransomwaresag, der har ført til anholdelse.

»Gerningsmændene bag ransomware sidder ofte i udlandet. Siden vi kun sender sagerne ud, kender jeg ikke til nogle sager der har ført til anholdelse,« siger Anders-Emil Nøhr Kelbæk, der fortsat opfordrer folk til at anmelde sagerne og i øvrigt håber, danskerne ser kampagnen fra Politiet på Facebook, enten som privatperson eller i relation til arbejdet:

»Et sidste råd er at gå ind på Nomoreransom.org, der løbende får nye nøgler ind til forskellige Ransomware-grene. Hvis man kan, giver det derfor god mening at slå koldt vand i blodet, for det sker fra tid til anden at ransomware-grene brydes af hackere og politi fra hele verden, der deler den viden med hinanden.«

I starten af næste uge vil Version2 forsøge at give et bedre indblik i økosystemet omkring ransomware. Hvor kommer den forhadte software fra, og hvad er hackernes seneste kneb? Læs med på Version2 i næste uge.

12 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
12
9. august 2021 kl. 13:21

"Tilmed er det de færreste mindre virksomheder, der har råd til at betale dobbelt."

Fint, så betaler de bare for nøglen. I sidste ender er det et simpelt regnestykke. :-)

Peace!

11
5. august 2021 kl. 14:20

Måske naivt, forestillede jeg mig at en redundant backup kan sikre virksomheden, omend man ikke kan udelukke en hvis nedetid.

Det redundante backup vil have samme zero-day. Så er der en god chance for at blive ramt igen. Det sikre ikke virksomheden. Tilmed er det de færreste mindre virksomheder, der har råd til at betale dobbelt.

Er det ikke i sidste ende ligegyldigt om det er opensource ? Zerodays er vel pr. def. ikke kendte før de opdages. Klart med mere kontrol kan man måske hurtigere selv fikse et hul hvis man selv har fingre i koden.

Det var egentligt et spørgsmål til dig. Hvordan havde du tænkt sikkerheden skulle **prioriteres ** ved proprietær software?

9
5. august 2021 kl. 07:41

Hvordan tænker du virksomheder skal beskytte sig mod zero-day sårbarhed, når softwaren er proprietær og lukket kode? Eller skal der bruges opensource?

Måske naivt, forestillede jeg mig at en redundant backup kan sikre virksomheden, omend man ikke kan udelukke en hvis nedetid.

Er det ikke i sidste ende ligegyldigt om det er opensource ? Zerodays er vel pr. def. ikke kendte før de opdages. Klart med mere kontrol kan man måske hurtigere selv fikse et hul hvis man selv har fingre i koden.

7
4. august 2021 kl. 21:45

Men jeg vil bare gerne lige skrive det en gang til: Som privat-person har jeg sat Windows FileHistory op på alle mine Windows-klienter. De sender deres backup-data til en NAS jeg har stående som udstiller et backupshare som SMB.

Windows FileHistory er egentlig glimrende med den ene undtagelse at credentials til SMB-sharet bliver gemt i Windows Credential Manageren. Og det er virkelig virkelig noget lort. Credentials skulle ligge i FileHistory-klienten istedet. Når først credentials til backup-mappen på SMB-sharet er havnet i Windows Crendential Manageren så har alle programmer der ønsker at browse SMB-sharet direkte adgang. Så ransomwhare kan i princippet blot browse stien og anmode om adgang fra Credential Manageren og vupti så kan den kryptere min FileHistory-backup.

Jeg har rapporteret det som en bug for godt og vel 23 år siden (sådan føltes det) men Microsoft er jo ligeglade.

6
4. august 2021 kl. 21:25
5
4. august 2021 kl. 20:58

Hvorfor betale 50% i skat når staten ikke vil beskytte borgerne mod kriminelle og fremmede stater? Nå, jo, jeg kender svaret: omfordeling og "velfærd".

4
4. august 2021 kl. 18:49

Tænk sig hvis man gjorde det ulovligt at betale kriminelle for en ulovlig handling eg. afpresning. Nogle vil stadig vælge at betale, men nu skal de så stå mål for både afpresningen og en straffesag Måske flere ville prioritere sikkerhed og kræve mere af politiets efterforskning.

3
4. august 2021 kl. 16:46

LCIK’s opgave er at visitere de sager der kommer inden for it-kriminalitet og derefter sende dem ud til de politikredse, de er relevant for.

Men LCIK er vel ikke bare en fordelingscentral, er det?

Jeg kan huske dengang centeret blev oprettet, i januar 2019:

Som en del af lanceringen af LCIK er der blevet oprettet et selvbetjeningssystem, så borgere eller virksomheder, der er blevet taget ved næsen, anmelder det direkte til LCIK i stedet for til deres lokale politikreds.</p>
<p>-Så ser vi på det og kigger på, hvem gerningsmanden er, hvilken viden vi har om ham, og hvor han bor. Når vi så har fundet ud af, hvor han bor, så samler vi de her sager, binder en stor rød sløjfe om dem og sender dem ud til politikredsen, der så laver den videre retsforfølgning, forklarer Trine Møller [Vicepolitiinspektør, centerchef for LCIK]

Tidligere har hver enkelt politikreds skullet stå for det indledende efterforskningsarbejde og efterfølgende sende sagen videre til den politikreds, hvor gerningsmanden bor. Det har givet grobund for en del dobbeltarbejde, som LCIK nu skal være med til at fjerne.</p>
<p>-Vi kommer til at være hurtigt ude i forhold til at få identificeret gerningsmanden og få sagspakken ud til kredsene, så vi kan få stoppet ham, når han har lavet 10 forhold. Det er også rigtig meget, men vi har jo set nogen, der har lavet rigtigt mange forhold, siger Trine Møller.

LCIK arbejder også med forebyggelse:

Foruden at gøre indsatsen over for svindlerne hurtigere og mere overskuelig, vil LCIK også komme til at arbejde med forebyggelse. For når samtlige sager skal ind at vende i centret, bliver det muligt at få øje på de nye tendenser inden for it-relateret økonomisk kriminalitet langt hurtigere.</p>
<p>-Så vil vi hurtigere kunne gå ud og advisere både borgere og virksomheder og dermed også lukke hullerne hurtigere,
forklarer Trine Møller.

06.01.19: https://www.dr.dk/nyheder/indland/nyt-politicenter-skal-saette-en-hurtigere-stopper-svindlerne-paa-nettet

Version2 har set på centeret, efter et års virke. LCIK modtog knapt 27.000 anmeldelser om it-relateret økonomisk kriminalitet i 2019.

24.06.20: https://www.version2.dk/artikel/politiet-modtog-naesten-27000-anmeldelser-it-relateret-oekonomisk-kriminalitet-2019-1090856

2
4. august 2021 kl. 16:41

…. er intet umulig.

For de danske myndigheder til gengæld er det mulige stærkt begrænset. Det har hidtil taget en lille evighed at få øget sikkerheden omkring nemid. Vi fastholder stædigt tele-logning, selv om det for mange år siden er kendt og erkendt ulovligt.

Jeg ved det ikke, men min tillid til at dansk politi formår at løse en opgave som denne, kan ligge på et meget lille sted. Så er det også meget nemmere at sende en stråmand i byen med budskabet "betal ikke".

1
4. august 2021 kl. 11:36

…. er intet umulig.

Jeg er måske lidt hård, men private virksomheder er altså ikke på finansloven!

Så for den virksomhed som er ramt af Ransomware er det eddermanede en billig bemærkning som den politikommissær fyrer af.

Det er i af ren nød at firmaer betaler gangsterne bag Ransomware for at få deres virksomhed op at køre igen.

Det der er brug for er, at politiet og efterretningstjenesten betragter Ransomware på linje med (økonomisk) terrorisme og nådesløst forfølger disse grupperinger i stedet for som i dag, blot at opgive fordi det sker fra udlandet.

Hack dem modsat, find ud af hvem de er, beslaglæg deres konti, efterlys dem via Interpol mv., offentliggør deres personlige detaljer, hvis deres banker ikke vil samarbejde indbring banken for Swift med mhp. udelukkelse fra SWIFT.

Kort sagt, gør al det som man gør imod mellemøstlige terrorbevægelser. Og ja, ligesom med terrorbevægelser, så får vi ikke fat i alle - fordi de beskyttes at nationalstater.

Men et par år senere, når hackeren står i lufthavnen og der ligger en ”Red Notice” vedrørende Ransomware på ham eller han opdager at hans kreditkort og bankkonti er spærret, så er det ikke så sjovt længere.