Nye ransomware-angreb vælter ind over Danmark

23. januar 2015 kl. 08:5423
Hackere angribe tusindvis af danske mål og afkræver løsesum for at frigive vigtige filer. Ofrene er tilsyneladende tilfældigt udvalgt ifølge it-sikkerhedsekspert.
Artiklen er ældre end 30 dage

Hackerangrebene mod danske mål er taget til, siden en række offentlige myndigheder og virksomheder mandag blev ofre for ransomware-angreb, hvor hackerne krypterede vigtige data og afkrævede løsepenge for at låse dem op igen.

Klokken 16.10 torsdag væltede det ind med nye angreb.

»De kører igen og skyder mod vilkårlige mål ligesom det, der gav problemer i mandags. Det er helt vilkårlige mål. De skyder mod alt og alle,« siger it-sikkerhedsekspert fra CSIS Peter Kruse til Politiken.

Der er ifølge CSIS igen tale om et angreb med Cryptowall, som er den software, hackerne bruger til at ‘kidnappe’ og kryptere ofrenes filer med.

Artiklen fortsætter efter annoncen

»Krypteringen er så kraftig, at reetablering af data stort set er umulig, hvorfor vi indtrængende opfordrer alle til at sikre, at der er forsvarlig backup og incident response-procedurer på plads. Vi vurderer denne trussel som høj, idet kørsel af koden af en uforsigtig modtager kan føre til alvorlige og uoprettelige skader, såfremt der ikke er etableret en backup-procedure,« advarer CSIS.

Cryptowall gennemsøger systematisk alle datafiler lokalt og på alle tilgængelige fællesdrev og krypterer disse med en unik nøgle RSA2054, ifølge CSIS.

Hackerne får adgang til ofrenes computere ved at sende e-mails ud med zip-filer, der indeholder en binær fil, som kopierer sig selv til harddisken, når brugeren aktiverer den.

Filen lægger sig i Windows-mappen "%brugerprofil%]\Application Data[vilkårligt filnavn].exe". Derudover bliver en sekundær kode også kopieret ind i startmappen.

Artiklen fortsætter efter annoncen

Efterfølgende kontakter Cryptowall-softwaren en række blokerede domæner, som genererer en nøgle, hvorefter de lokale filer bliver krypteret.

Samtidig bliver den inficerede computer en del af et botnet, der registrerer infektionen og danner en unik krypteringsnøgle som anvendes til at kryptere data på maskinen og tilgængelige servere.

23 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
21
24. januar 2015 kl. 00:12

Nu har jeg lige mailet et test-program til Fruen, der bruger Thunderbird som mail-program, men det kunne ikke bare sådan eksekveres. Der skulle meget til før det ville køre på hendes PC. Først gemmes på disk, så skulle det gøres eksekverbart og først da kunne det køres.

Så er problemet egentlig de mail-programmer kommunerne bruger, som rask væk tillader udpakke exe-filer, og så dernæst et styresystem der tillader at der køres ikke-godkendt software?

Et program jeg har brugt på alle Windows-maskiner jeg har været i nærheden af, er Putty. Når det startes, popper Windows op og siger at det er en "Ukendt" signatur, og her burde det vel på systemniveau være muligt at definere, at ukendt signatur aldrig må køres?

23
28. januar 2015 kl. 20:55

Så er problemet egentlig de mail-programmer kommunerne bruger, som rask væk tillader udpakke exe-filer, og så dernæst et styresystem der tillader at der køres ikke-godkendt software?

Hvis folk skal have en brugbar måde at dele data på, er der grænser for hvor mange hindringer man kan sætte i vejen for dem. Normen er vist, at man ikke bare kan køre en .exe-fil fra sit mailprogram, men så er den zippet og folk gør det derfra. De svare også ja til advarslen, for den kommer jo for hvad som helst.

De mangler nok den kritiske sans: "Forventer jeg egentlig at få noget i den stil her fra netop denne person netop nu?"

Kender man ikke afsenderen eller forventer man ikke at få en programfil med det navn den har netop på det tidspunkt, skal man ikke køre det uden at få bekræftet den er god nok.

18
23. januar 2015 kl. 19:59

Her har I endnu et offer for jeres guddommelige slagsmål om styresystemer. Jeg bruger en lille undselig Toshiba Cromebook med en fjollet 13 tommer skærm og en uduelig opstarttid på 1-2 sekunder.

Den har ingen software indstalleret. Derfor er den ude af stand til at blive brugt til andet end at kaste efter katten, ikk'?

Den kan ingenting uden netforbindelse. Det har vi jo næste heller aldrig brug for alligevel, vel? Og vi bruger det derfor kun meget sjældent, hvis det da overhovedet skulle være tilgængeligt, ikke sandt?

Jeg mangler et råd: hvad er det man kan på en af jeres fortryllende maskiner, som jeg ikke kan?

Hvad er det jeg mangler - uden over manglen på evnen til at blive udsat for botnet angreb?

Plesse help a sad soul in a curel world.

22
24. januar 2015 kl. 00:25

Den har ingen software indstalleret.

Den har Google Chrome OS (Linux) installeret, så noget software har den da.

På min Android smartphone har jeg én app installeret, som jeg bruger i forbindelse med mit arbejde: Connectbot. Hvis der er nogen bagdøre i den app, som opsnapper mine passwords og sender dem videre til skumle personer (eller organisationer), så er jeg godt nok på den. Og medarbejdere i en kommune vil også have behov for at have speciel software installeret, så en Toshiba Cromebook uden ekstra software er ikke nok.

19
23. januar 2015 kl. 21:01

Hvad er det jeg mangler - uden over manglen på evnen til at blive udsat for botnet angreb?

Jeg tror Windowsbrugere vil nævne spil og photoshop.

Som webdesigner (på Linux, men det er ligegyldigt) vil jeg spørge, om du kan køre fx. FileZilla, GIMP og Firefox. Og en light-weight kodeeditor med syntax highlightning.

Jeg bruger Firefox til at udvikle i, men også til surf, fordi den har bedre flydende scroll end Chrome. Jeg synes scroll i Chrome "hakker", og det giver en ikke så tilfredsstillende brugeroplevelse.

Og så bruger jeg Firefox fordi Rest Client, TamperData, Ghostery, Adblock, Advanced Cookie Manager, NoScript, hvoraf de tilsvarende på Chrome efter min opfattelse er OK, men ikke helt ligeså gode.

Derudover er jeg blevet vant til hot corners og window "snapping", det vil jeg savne, hvis ikke det understøttes.

Hvad jeg selv savner fra Linux er: TOUCHPAD kontrol. Jeg er hammer ligeglad med touch screen, men touch padden er vigtig for en flydende work flow. Og gerne pinch-to-zoom og multiple gestures, ikke bare two finger gestures.

13
23. januar 2015 kl. 13:54

Kan man læse filerne når de er blevet krypteret, men inden man har fået at vide at man er ramt?

"»De kører igen og skyder mod vilkårlige mål ligesom det, der gav problemer i mandags. Det er helt vilkårlige mål. De skyder mod alt og alle,« siger it-sikkerhedsekspert fra CSIS Peter Kruse til Politiken."

Skyder? Hvad betyder det? Længere nede i version2's artikel lyder det som om at de sender emails ud ? (eller gør de også andet?)

10
23. januar 2015 kl. 11:26

"....hackerne krypterede vigtige data og afkrævede læsepenge for at låse dem op igen." :-)

12
23. januar 2015 kl. 12:40

Det er ikke stavefjeld - det er kryptering! Ses ofte i indliggene. (Sarkasme kan forekomme!)

9
23. januar 2015 kl. 11:03

Da jeg læste om de igangværende angreb kom jeg i tanker om at Bjarne Corydon og Nicolaj Wammen lige før jul lancerede den såkaldte nationale strategi for cyber- og informationssikkerhed under mottoet: "Kom bare an - hackere". Deres ønsker må siges at være gået i opfyldelse. Først hybris og nu nemesis.

8
23. januar 2015 kl. 11:02

Efterfølgende kontakter Cryptowall-softwaren en række blokerede domæner, som generer en nøgle...

Hvordan skal det forstås? (Rent bortset fra at der formodentlig skal stå "genererer" i stedet for "generer".)

1
23. januar 2015 kl. 09:27

Men så kom jeg i tanke om at jeg jo kun har Apple computere i hjemmet.

Sover godt om natten ;-)

17
23. januar 2015 kl. 19:18

Nu er de ikke immune overfor alt malware...

Men de er heller ikke de lavest hængende frugter med mindre man slår sikkerheden fra ;)

Specielt hvis man vil se streaming tjenester... Det er vel bare et spørgsmål om tid før Googles widewine bliver et mål... Det opdateres sjældent og kan ikke opdatere sig selv eller gøre opmærksom på at der er ny version...

7
23. januar 2015 kl. 10:53

Det samme her, og efter Netbank og andre NemID sites er blevet Javafri og jeg helt har fjernet Java fra Mac'en, sover jeg endnu bedre ;-)

5
23. januar 2015 kl. 10:49

Nej ikke masser, her er blot tale om nogle der har skaffet/gættet sig adgang til folks iCloud login (der findes ingen beskyttelse mod folks nemme koder) og lavet en besked fra FindMyiPhone på iCloud med en kode på. Simpelt..

2
23. januar 2015 kl. 09:47

Bruger selv Linux. Men jeg arbejder for en kommune, der bruger Windows og alt det andet skidt der har ramt flere andre kommuner. Så jeg er da bekymret for vores data.

15
23. januar 2015 kl. 14:42

Bruger selv Linux.

Ditto, men Linux er mest sikker fordi der ikke er så mange desktop installationer, og serverinstallationerne er som regel bedre sikret. Derfor er der ingen som har brugt tid på at lave seriøse Linux angreb. Men Mac er i farezonen for der er rimeligt mange af dem og har man råd til at købe en Mac har man sikkert også råd til at betale for at få låst sine filer op igen.

4
23. januar 2015 kl. 10:29

Jeg arbejder også til dagligt med Windows maskiner, og frem for at frygte hvad der kan se, bliver jeg bare gal over at det kan lade sig gøre. Så springer mit apple-fanboy udslæt helt ud, og ingen Microsoft folk kan få et ben til jorden.. Måske egentlig ikke særlig god stil, men det er da virkelig useriøst at noget kan få administrator adgang til ens system uden at man ønsker det og installerer kryptering selv.

16
23. januar 2015 kl. 19:10

men det er da virkelig useriøst at noget kan få administrator adgang til ens system uden at man ønsker det og installerer kryptering selv.

Det kræver ikke administrator-adgang at kryptere brugerens egne filer - og det er jo netop dem, der er interessante, hvis man vil afkræve løsepenge.

Desværre er alt for mange brugere alt for ukritiske (for ikke decideret at kalde fok "dumme") - når vi snakker generelle spredhagls-ransomwareangreb er det ikke ret svært at gennemskue den slags mails.

Intet operativsystem er immunt overfor dumme brugeee - prøv at google efter OSX botnet :)

6
23. januar 2015 kl. 10:52

Søren, det er fint at være vred, men sandheden er at der er sikkerhedshuller i alle systemer, især når det gælder lokale exploits som dette tilsyneladende er (folk åbner selv en zip og kører).