Det går ifølge diverse sikkerhedsfirmaer over stok og sten i ransomware-branchen. Altså forstået på den måde, at private og virksomheder bliver inficeret i stor grad for så - i hvert fald nogle gange - at betale løsesummen, når backuppen fejler eller viser sig at være ikkeeksisterende.
Forleden kunne sikkerhedsvirksomheden Trend Micro fortælle, at foretagendet har registreret en stigning i antallet af ransomware-familier fra 29 til 247 i løbet af 2016, svarende til en stigning på 752 procent.
Af en pressemeddelelse fra Trend Micro fremgår det, at virksomheden på globalt plan registrerede 1.078.091.703 angreb med ransomware i løbet af 2016. Heraf var 0,17 procent i Danmark. Ransomware-angrebene skete primært via spam-mails i 2016, oplyser virksomheden.
En anden sikkerhedsvirksomhed, F-Secure, har også udgivet en rapport for ikke så længe siden om tingenes tilstand i cyberland i 2017. Og også her fremgår det, at ransomware er i voldsom vækst. I hvert fald målt på antallet af ransomware-familier. Mens der ifølge F-Secure i 2012 var registeret 1 familie i ransomware-kategorien, så var det tal 193 i 2016.
F-Secure har lavet et kort for at anskueliggøre den udvikling. Det kan du se til højre i artiklen.
Og ifølge virksomheden vidner stigningen i mængden af ransomware-familier om, at ransomware som cyberkriminelt forretningsområde også er i stigning.
Udviklingen sker samtidig med, at mange moderne softwaresystemer holder sig selv ved lige med sikkerhedsopdateringer, mange kører antivirus, og mange brugere ved nok godt, at det ikke er en god idé ukritisk at klikke på links i mails og vedhæftede filer.
Set med kriminelle briller er ransomware noget, der minder om en ideel forretning, hvor kryptovaluta og anonymiseringstjenester minimerer risikoen for at blive snuppet, og gevinsten ved succesfulde ransomware-angreb kan være høj.
Paraderne falder
I anledning af F-Secures rapport er Version2 blevet tilbudt et interview med Sean Sullivan fra virksomheden i forhold til ransomware-udviklingen.
Det har vi sagt ja til, blandt andet i håbet om, at han kan hjælpe med at opklare, hvorfor ransomware overhovedet er et problem her i 2017.
Sean Sullivan starter med at fortælle om en af F-Secures kunder, der ventede på en pakke. Og når der så tikker en mail ind om, at nu er der en pakke, ja, så falder paraderne.
»Fordi de her spammere udsender 200.000 mails, så vil de finde nogen, som venter på en pakke, og det vil kortslutte enhver form for uddannelse, de har haft, og de vil åbne den vedhæftede fil.«
F-Secure-kunden åbnede filen, og det resulterede i, at antivirus-programmet begyndte at bimle og bamle. Brugeren valgte at ignorere advarslerne, fordi det jo handlede om den ventede pakke.
Det lyder måske som et lidt for tænkt scenarie, men Version2 har faktisk kendskab til en lignende situation fra England. Her ventede en ansat på en vigtig mail. ,
Så da den ansatte fik en besked om, at en mail var blevet tilbageholdt af virksomhedens mail-filter, kontaktede vedkommende virksomhedens it-afdeling og fik dem til at frigive mailen.
Så blev der klikket på den vedhæftede fil, og bam, så var der ransomware i organisationen.
Nogle vil måske undre sig over, hvorfor det som almindelig bruger overhovedet er muligt at omgå virus-advarsler i endpoint-beskyttelsen i eksempelvis F-Secures software.
Ifølge Sean Sullivan udspringer det af et ønske om at give brugeren en vis form for kontrol:
»Endpoint-beskyttelse kan kun gøre så og så meget. Den kan ikke fysisk slå hånden væk fra musen for at override en beslutning. Der er ikke noget, der vil være 100 procent effektivt.«
Mest brugeren og måske også lidt it-afdelingen
Men hvordan kan vi overhovedet vide, at langt størstedelen af ransomware-tilfælde ikke skyldes dårlig detektion i de produkter, som blandt andet F-Secure leverer? Ifølge Sean Sullivan er hans egen virksomheds produkter, sammen med andre virksomheders produkter, skruet sammen på en måde, så de gør brug af det, han kalder prevalence.
Det er en relativ simpel mekanisme, som bevirker, at når et anti-virusprodukt støder på en eksekverbar fil, det ikke kender, så bliver der oprettet en forbindelse til skyen for at høre, hvad det er for en størrelse. Og når skyen så svarer tilbage, at den heller aldrig har hørt om den eksekverbare fil, samtidig med at filen måske gerne vil skrive til disken, ja, så bliver softwarekørslen blokeret.
Dette system gør det i udgangspunktet muligt at spotte ondsindet kode, selvom koden bliver ændret mange gange i løbet af en dag af de kriminelle bagmænd netop for at undgå detektion af diverse antivirus-produkter.
»Hvis det er et kendt stykke software, så bør vi have set det før, så bør det have en høj prevalence. Hvis det er fuldstændig unikt, så har det en lav prevalence, og så behøver vi ikke have en detektion i forhold til det - vi kan bedømme på dets adfærd og dets unikhed, at det bør blokeres,« siger Sean Sullivan.
Når moderne antivirus-produkter med prevalence-funktion alligevel kan fejle, så kan det skyldes flere ting. Dels er der situationen, hvor brugeren omgår advarsler. Men derudover så kan manglende opdateringer af antivirus-software og en stram firewall også svække detekteringen, påpeger Sean Sullivan.
I forhold til firewall så har en del virksomheder en opsætning, der bevirker, at antivirus-softwaren ikke tjekker op mod skyen, når nye filer dukker op.
Prevalence-funktionen er simpelthen slået fra for at forhindre 'støjende' trafik ud gennem firewallen, fortæller han.
Og så kan der naturligvis også være en situation, hvor en eksekverbar fil er unik og bliver sendt vedhæftet via mail uden at være ondsindet. Og i disse situationer kan der opstå falske positiver, medgiver Sean Sullivan.
Men når alt kommer til alt, så er det menneskene, der klikker i den anden ende, der udgør den største trussel, mener han. Og det er svært at gøre noget ved.
»Folk er mennesker ... for et par år siden havde jeg bestilt noget ved Amazon. Og fire timer senere fik jeg noget spam. Fordi det var så godt lavet, endte det i min Amazon-mappe baseret på mine regler. Og min hånd begyndte at bevæge musen ...«
'Du ved godt det er en fælde', tænkte Sean Sullivan og stoppede med at bevæge hånden.
»Almindelige mennesker, som ikke beskæftiger sig med det her 24/7, de er på røven.«
Når det er sagt, så har han også et par råd, der måske kan mindske ransomware-risikoen. Lad være med at have makroer slået til i dokumenter. Tænk over, hvem der har adgang til delte drev. Og overvej, om sådan noget som zip-filer overhovedet skal være tilladt som vedhæftning til mails i organisationen.