Ransomware: »Der er altid nogle, hvor al uddannelse kortslutter, når de venter en pakke«

sean sullivan
Trods diverse sikkerhedsprodukter og brugervendte advarsler går det forrygende i ransomware-branchen, men hvorfor egentlig?

Det går ifølge diverse sikkerhedsfirmaer over stok og sten i ransomware-branchen. Altså forstået på den måde, at private og virksomheder bliver inficeret i stor grad for så - i hvert fald nogle gange - at betale løsesummen, når backuppen fejler eller viser sig at være ikkeeksisterende.

Forleden kunne sikkerhedsvirksomheden Trend Micro fortælle, at foretagendet har registreret en stigning i antallet af ransomware-familier fra 29 til 247 i løbet af 2016, svarende til en stigning på 752 procent.

Af en pressemeddelelse fra Trend Micro fremgår det, at virksomheden på globalt plan registrerede 1.078.091.703 angreb med ransomware i løbet af 2016. Heraf var 0,17 procent i Danmark. Ransomware-angrebene skete primært via spam-mails i 2016, oplyser virksomheden.

En anden sikkerhedsvirksomhed, F-Secure, har også udgivet en rapport for ikke så længe siden om tingenes tilstand i cyberland i 2017. Og også her fremgår det, at ransomware er i voldsom vækst. I hvert fald målt på antallet af ransomware-familier. Mens der ifølge F-Secure i 2012 var registeret 1 familie i ransomware-kategorien, så var det tal 193 i 2016.

F-Secure har lavet et kort for at anskueliggøre den udvikling. Det kan du se til højre i artiklen.

Og ifølge virksomheden vidner stigningen i mængden af ransomware-familier om, at ransomware som cyberkriminelt forretningsområde også er i stigning.

Udviklingen sker samtidig med, at mange moderne softwaresystemer holder sig selv ved lige med sikkerhedsopdateringer, mange kører antivirus, og mange brugere ved nok godt, at det ikke er en god idé ukritisk at klikke på links i mails og vedhæftede filer.

Set med kriminelle briller er ransomware noget, der minder om en ideel forretning, hvor kryptovaluta og anonymiseringstjenester minimerer risikoen for at blive snuppet, og gevinsten ved succesfulde ransomware-angreb kan være høj.

Et kort fra F-Secure, der viser udviklingen inden for ransomware-familier.

Paraderne falder

I anledning af F-Secures rapport er Version2 blevet tilbudt et interview med Sean Sullivan fra virksomheden i forhold til ransomware-udviklingen.

Det har vi sagt ja til, blandt andet i håbet om, at han kan hjælpe med at opklare, hvorfor ransomware overhovedet er et problem her i 2017.

Sean Sullivan starter med at fortælle om en af F-Secures kunder, der ventede på en pakke. Og når der så tikker en mail ind om, at nu er der en pakke, ja, så falder paraderne.

»Fordi de her spammere udsender 200.000 mails, så vil de finde nogen, som venter på en pakke, og det vil kortslutte enhver form for uddannelse, de har haft, og de vil åbne den vedhæftede fil.«

F-Secure-kunden åbnede filen, og det resulterede i, at antivirus-programmet begyndte at bimle og bamle. Brugeren valgte at ignorere advarslerne, fordi det jo handlede om den ventede pakke.

Det lyder måske som et lidt for tænkt scenarie, men Version2 har faktisk kendskab til en lignende situation fra England. Her ventede en ansat på en vigtig mail. ,

Så da den ansatte fik en besked om, at en mail var blevet tilbageholdt af virksomhedens mail-filter, kontaktede vedkommende virksomhedens it-afdeling og fik dem til at frigive mailen.

Så blev der klikket på den vedhæftede fil, og bam, så var der ransomware i organisationen.

Nogle vil måske undre sig over, hvorfor det som almindelig bruger overhovedet er muligt at omgå virus-advarsler i endpoint-beskyttelsen i eksempelvis F-Secures software.

Ifølge Sean Sullivan udspringer det af et ønske om at give brugeren en vis form for kontrol:

»Endpoint-beskyttelse kan kun gøre så og så meget. Den kan ikke fysisk slå hånden væk fra musen for at override en beslutning. Der er ikke noget, der vil være 100 procent effektivt.«

Mest brugeren og måske også lidt it-afdelingen

Men hvordan kan vi overhovedet vide, at langt størstedelen af ransomware-tilfælde ikke skyldes dårlig detektion i de produkter, som blandt andet F-Secure leverer? Ifølge Sean Sullivan er hans egen virksomheds produkter, sammen med andre virksomheders produkter, skruet sammen på en måde, så de gør brug af det, han kalder prevalence.

Det er en relativ simpel mekanisme, som bevirker, at når et anti-virusprodukt støder på en eksekverbar fil, det ikke kender, så bliver der oprettet en forbindelse til skyen for at høre, hvad det er for en størrelse. Og når skyen så svarer tilbage, at den heller aldrig har hørt om den eksekverbare fil, samtidig med at filen måske gerne vil skrive til disken, ja, så bliver softwarekørslen blokeret.

Dette system gør det i udgangspunktet muligt at spotte ondsindet kode, selvom koden bliver ændret mange gange i løbet af en dag af de kriminelle bagmænd netop for at undgå detektion af diverse antivirus-produkter.

»Hvis det er et kendt stykke software, så bør vi have set det før, så bør det have en høj prevalence. Hvis det er fuldstændig unikt, så har det en lav prevalence, og så behøver vi ikke have en detektion i forhold til det - vi kan bedømme på dets adfærd og dets unikhed, at det bør blokeres,« siger Sean Sullivan.

Når moderne antivirus-produkter med prevalence-funktion alligevel kan fejle, så kan det skyldes flere ting. Dels er der situationen, hvor brugeren omgår advarsler. Men derudover så kan manglende opdateringer af antivirus-software og en stram firewall også svække detekteringen, påpeger Sean Sullivan.

I forhold til firewall så har en del virksomheder en opsætning, der bevirker, at antivirus-softwaren ikke tjekker op mod skyen, når nye filer dukker op.

Prevalence-funktionen er simpelthen slået fra for at forhindre 'støjende' trafik ud gennem firewallen, fortæller han.

Og så kan der naturligvis også være en situation, hvor en eksekverbar fil er unik og bliver sendt vedhæftet via mail uden at være ondsindet. Og i disse situationer kan der opstå falske positiver, medgiver Sean Sullivan.

Men når alt kommer til alt, så er det menneskene, der klikker i den anden ende, der udgør den største trussel, mener han. Og det er svært at gøre noget ved.

»Folk er mennesker ... for et par år siden havde jeg bestilt noget ved Amazon. Og fire timer senere fik jeg noget spam. Fordi det var så godt lavet, endte det i min Amazon-mappe baseret på mine regler. Og min hånd begyndte at bevæge musen ...«

'Du ved godt det er en fælde', tænkte Sean Sullivan og stoppede med at bevæge hånden.

»Almindelige mennesker, som ikke beskæftiger sig med det her 24/7, de er på røven.«

Når det er sagt, så har han også et par råd, der måske kan mindske ransomware-risikoen. Lad være med at have makroer slået til i dokumenter. Tænk over, hvem der har adgang til delte drev. Og overvej, om sådan noget som zip-filer overhovedet skal være tilladt som vedhæftning til mails i organisationen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (8)

Jan Juul Mortensen

overvej om sådan noget som zip-filer overhovedet skal være tilladt som vedhæftning til mails i organisationen

docx, xlsx med flere er i bund og grund zip-filer, så de fleste organisationer vil have svært ved, at fungere uden muligheden for vedhæftning af disse filer.

Kristian Rastrup

Ransomware rammer lige ned i de sikkerhedsudfordringer, der er for IT i dag.

Forudsætningerne for succesfuldt ransomware angreb er:

  • Brugere er vandt til at klikke ja til advarsler bare for at udføre deres arbejde.
  • Vedhæftninger til emails er ment til at blive åbnet så derfor åbner folk dem.
  • Antivirus som produkt er forældet i forhold til altid opdaterede vira.
  • Backup er svært og ofte fejlagtigt udført.
  • Rettighedsstyring til filer er svært og ofte fejlagtigt udført.
  • Alle kan sende mails til alle uden omkostninger for afsender.
  • En almindelig PC er blevet hurtig nok til at lave file encryption uden at det kan mærkes under brug.

Og det hele er opfyldt.
Vi har opbygget en struktur i vores IT som er meget sårbar overfor ransomware og løsningen kommer ikke med kendte metoder.

PS:
At sige det bare er et brugerproblem tyder på man ikke har mødt en bruger.

Mogens Bluhme

Er det ikke snarere Palo Alto's traps som endpoint protection, som er relevant mod crypto ransomware?

Der er også andre produkter, som overvåger hukommelsen og Checkpoint påstår de har CPU-level protection.

Man skal passe på ikke at misse defense-in-depth og tro at en enkelt dims i form af en superfirewall kan stoppe alt - hostforsvaret er bedst til at detecte visse ting, netværk andre.

Der ligger utvivlsomt nogle historisk betingede kulturelle bias's ved at sikkerhedsfolk fortrinsvist rekrutteres blandt netværksteknikere.

Den bedste metode er dog at kunne grine hele vejen ned til båndrobotten, når man har styr på sin backup.

Heino Svendsen

At sige det bare er et brugerproblem tyder på man ikke har mødt en bruger.

Helt enig i, at det ikke BARE er et brugerproblem... Men brugeren er godt nok en stor del af det :

"Jaaaaa. Jeg har vundet det Hollandske National Lotteri!!!! (vidste ikke, at jeg deltog)"... "Kongen af Nigeria er død og har efterladt mig det halve kongerige, sin trinde kone og sin kano... jeg skal bare overføre...." og folk falder for det lort...

Brugere er ofte dummere end en letopvreden nylonstrømpe, og det får dem til at være den største risiko for en virksomhed. En undersøgelse (kan ikke huske af hvem - Google is your "friend") viste, at næste 88% af USB sticks "tabt" på parkeringspladser foran statslige og private entiteter ukritisk blev sat i computere.... Rubber Duckie anyone?

Hvis man ikke bruger tid, energi og penge på at uddanne brugere (helt fra små) til at tænke sig om, så skal man heller ikke pive over sikkerhedsproblemer.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017