Det går ifølge diverse sikkerhedsfirmaer over stok og sten i ransomware-branchen. Altså forstået på den måde, at private og virksomheder bliver inficeret i stor grad for så - i hvert fald nogle gange - at betale løsesummen, når backuppen fejler eller viser sig at være ikkeeksisterende.
Forleden kunne sikkerhedsvirksomheden Trend Micro fortælle, at foretagendet har registreret en stigning i antallet af ransomware-familier fra 29 til 247 i løbet af 2016, svarende til en stigning på 752 procent.
Af en pressemeddelelse fra Trend Micro fremgår det, at virksomheden på globalt plan registrerede 1.078.091.703 angreb med ransomware i løbet af 2016. Heraf var 0,17 procent i Danmark. Ransomware-angrebene skete primært via spam-mails i 2016, oplyser virksomheden.
En anden sikkerhedsvirksomhed, F-Secure, har også udgivet en rapport for ikke så længe siden om tingenes tilstand i cyberland i 2017. Og også her fremgår det, at ransomware er i voldsom vækst. I hvert fald målt på antallet af ransomware-familier. Mens der ifølge F-Secure i 2012 var registeret 1 familie i ransomware-kategorien, så var det tal 193 i 2016.
F-Secure har lavet et kort for at anskueliggøre den udvikling. Det kan du se til højre i artiklen.
Og ifølge virksomheden vidner stigningen i mængden af ransomware-familier om, at ransomware som cyberkriminelt forretningsområde også er i stigning.
Udviklingen sker samtidig med, at mange moderne softwaresystemer holder sig selv ved lige med sikkerhedsopdateringer, mange kører antivirus, og mange brugere ved nok godt, at det ikke er en god idé ukritisk at klikke på links i mails og vedhæftede filer.
Set med kriminelle briller er ransomware noget, der minder om en ideel forretning, hvor kryptovaluta og anonymiseringstjenester minimerer risikoen for at blive snuppet, og gevinsten ved succesfulde ransomware-angreb kan være høj.
I anledning af F-Secures rapport er Version2 blevet tilbudt et interview med Sean Sullivan fra virksomheden i forhold til ransomware-udviklingen.
Det har vi sagt ja til, blandt andet i håbet om, at han kan hjælpe med at opklare, hvorfor ransomware overhovedet er et problem her i 2017.
Sean Sullivan starter med at fortælle om en af F-Secures kunder, der ventede på en pakke. Og når der så tikker en mail ind om, at nu er der en pakke, ja, så falder paraderne.
»Fordi de her spammere udsender 200.000 mails, så vil de finde nogen, som venter på en pakke, og det vil kortslutte enhver form for uddannelse, de har haft, og de vil åbne den vedhæftede fil.«
F-Secure-kunden åbnede filen, og det resulterede i, at antivirus-programmet begyndte at bimle og bamle. Brugeren valgte at ignorere advarslerne, fordi det jo handlede om den ventede pakke.
Det lyder måske som et lidt for tænkt scenarie, men Version2 har faktisk kendskab til en lignende situation fra England. Her ventede en ansat på en vigtig mail. ,
Så da den ansatte fik en besked om, at en mail var blevet tilbageholdt af virksomhedens mail-filter, kontaktede vedkommende virksomhedens it-afdeling og fik dem til at frigive mailen.
Så blev der klikket på den vedhæftede fil, og bam, så var der ransomware i organisationen.
Nogle vil måske undre sig over, hvorfor det som almindelig bruger overhovedet er muligt at omgå virus-advarsler i endpoint-beskyttelsen i eksempelvis F-Secures software.
Ifølge Sean Sullivan udspringer det af et ønske om at give brugeren en vis form for kontrol:
»Endpoint-beskyttelse kan kun gøre så og så meget. Den kan ikke fysisk slå hånden væk fra musen for at override en beslutning. Der er ikke noget, der vil være 100 procent effektivt.«
Men hvordan kan vi overhovedet vide, at langt størstedelen af ransomware-tilfælde ikke skyldes dårlig detektion i de produkter, som blandt andet F-Secure leverer? Ifølge Sean Sullivan er hans egen virksomheds produkter, sammen med andre virksomheders produkter, skruet sammen på en måde, så de gør brug af det, han kalder prevalence.
Det er en relativ simpel mekanisme, som bevirker, at når et anti-virusprodukt støder på en eksekverbar fil, det ikke kender, så bliver der oprettet en forbindelse til skyen for at høre, hvad det er for en størrelse. Og når skyen så svarer tilbage, at den heller aldrig har hørt om den eksekverbare fil, samtidig med at filen måske gerne vil skrive til disken, ja, så bliver softwarekørslen blokeret.
Dette system gør det i udgangspunktet muligt at spotte ondsindet kode, selvom koden bliver ændret mange gange i løbet af en dag af de kriminelle bagmænd netop for at undgå detektion af diverse antivirus-produkter.
»Hvis det er et kendt stykke software, så bør vi have set det før, så bør det have en høj prevalence. Hvis det er fuldstændig unikt, så har det en lav prevalence, og så behøver vi ikke have en detektion i forhold til det - vi kan bedømme på dets adfærd og dets unikhed, at det bør blokeres,« siger Sean Sullivan.
Når moderne antivirus-produkter med prevalence-funktion alligevel kan fejle, så kan det skyldes flere ting. Dels er der situationen, hvor brugeren omgår advarsler. Men derudover så kan manglende opdateringer af antivirus-software og en stram firewall også svække detekteringen, påpeger Sean Sullivan.
I forhold til firewall så har en del virksomheder en opsætning, der bevirker, at antivirus-softwaren ikke tjekker op mod skyen, når nye filer dukker op.
Prevalence-funktionen er simpelthen slået fra for at forhindre 'støjende' trafik ud gennem firewallen, fortæller han.
Og så kan der naturligvis også være en situation, hvor en eksekverbar fil er unik og bliver sendt vedhæftet via mail uden at være ondsindet. Og i disse situationer kan der opstå falske positiver, medgiver Sean Sullivan.
Men når alt kommer til alt, så er det menneskene, der klikker i den anden ende, der udgør den største trussel, mener han. Og det er svært at gøre noget ved.
»Folk er mennesker ... for et par år siden havde jeg bestilt noget ved Amazon. Og fire timer senere fik jeg noget spam. Fordi det var så godt lavet, endte det i min Amazon-mappe baseret på mine regler. Og min hånd begyndte at bevæge musen ...«
'Du ved godt det er en fælde', tænkte Sean Sullivan og stoppede med at bevæge hånden.
»Almindelige mennesker, som ikke beskæftiger sig med det her 24/7, de er på røven.«
Når det er sagt, så har han også et par råd, der måske kan mindske ransomware-risikoen. Lad være med at have makroer slået til i dokumenter. Tænk over, hvem der har adgang til delte drev. Og overvej, om sådan noget som zip-filer overhovedet skal være tilladt som vedhæftning til mails i organisationen.
overvej om sådan noget som zip-filer overhovedet skal være tilladt som vedhæftning til mails i organisationen
docx, xlsx med flere er i bund og grund zip-filer, så de fleste organisationer vil have svært ved, at fungere uden muligheden for vedhæftning af disse filer.
Ransomware rammer lige ned i de sikkerhedsudfordringer, der er for IT i dag.
Forudsætningerne for succesfuldt ransomware angreb er:
Og det hele er opfyldt.
Vi har opbygget en struktur i vores IT som er meget sårbar overfor ransomware og løsningen kommer ikke med kendte metoder.
PS:
At sige det bare er et brugerproblem tyder på man ikke har mødt en bruger.
Nu handler denne her artikel om email spam, men der findes også DPI firewalls med samme funktioner som beskrevet her.
Jeg har personligt erfaring med PaloAltos "Wildfire" funktionalitet og må sige at jeg er så imponeret at jeg ikke har noget imod at give dem lidt gratis reklame her.
https://www.paloaltonetworks.com/products/secure-the-network/subscriptio...
Er det ikke snarere Palo Alto's traps som endpoint protection, som er relevant mod crypto ransomware?
Der er også andre produkter, som overvåger hukommelsen og Checkpoint påstår de har CPU-level protection.
Man skal passe på ikke at misse defense-in-depth og tro at en enkelt dims i form af en superfirewall kan stoppe alt - hostforsvaret er bedst til at detecte visse ting, netværk andre.
Der ligger utvivlsomt nogle historisk betingede kulturelle bias's ved at sikkerhedsfolk fortrinsvist rekrutteres blandt netværksteknikere.
Den bedste metode er dog at kunne grine hele vejen ned til båndrobotten, når man har styr på sin backup.
Forudsætningerne for succesfuldt ransomware angreb er:
Måske skulle man tilføje det er ekstremt nemt at forfalske en stribe kendte danske brands med en høj email openrate. Forrige uges ransomware som E-Boks lagde navn og domæne til er et godt eksempel.
E-Boks har trods talrige opfordringer gennem flere år stadig ikke implementeret DMARC.
Det vil måske have en effekt, men at ligne en troværdig mail er bare icing on the cake. Almindeligt crap i mails virker også.
Ja jeg påstår ikke DMARC vil være en 100% løsning, men vi ville være et vigtigt skridt nærmere et simpelt regelsæt for genkendelse af falske emails. Simpelt er godt når man skal lære brugere noget.
At sige det bare er et brugerproblem tyder på man ikke har mødt en bruger.
Helt enig i, at det ikke BARE er et brugerproblem... Men brugeren er godt nok en stor del af det :
"Jaaaaa. Jeg har vundet det Hollandske National Lotteri!!!! (vidste ikke, at jeg deltog)"... "Kongen af Nigeria er død og har efterladt mig det halve kongerige, sin trinde kone og sin kano... jeg skal bare overføre...." og folk falder for det lort...
Brugere er ofte dummere end en letopvreden nylonstrømpe, og det får dem til at være den største risiko for en virksomhed. En undersøgelse (kan ikke huske af hvem - Google is your "friend") viste, at næste 88% af USB sticks "tabt" på parkeringspladser foran statslige og private entiteter ukritisk blev sat i computere.... Rubber Duckie anyone?
Hvis man ikke bruger tid, energi og penge på at uddanne brugere (helt fra små) til at tænke sig om, så skal man heller ikke pive over sikkerhedsproblemer.
Version2 er en del af Jobfinder - Danmarks største job- og karrieresite for ingeniører og it-professionelle.
