Ransomware, malware, kryptering og dekryptering

Bag Ransomware står en lang række af kriminelle grupper af hackere, der på basis af egen software og leaked statsproduceret Ransomware udfører digital afpresning. Man ved ikke så meget om grupperne, men det er efterhånden tydeligt, at det er blevet en del af det militære budget i flere lande. I nogle lande sågar op til halvdelen af de militære udgifter, som hermed er sat af til cyberkrig mod virksomheder og infrastrukturer.

Vi ved at de kriminelle grupper kræver betaling i kryptovaluta og at de entydigt bruger DDOS angreb og Ransomware som metoder til digital afpresning. Mange Ransomware metoder omgår både Firewall, Anti-Ransomware såsom Microsoft Defender og mange andre ved at gemme sig eller får tilføjet undtagelser for disse programmer. Flere nye grupper bruger så stærk kryptering, at det tager for lang tid at dekryptere i forhold til en fuld geninstallation. Atter andre grupper er kun ude på at øve hærværk mod statslige forsyningsmyndigheder o.lign.

Læs mere om de forskellige hackergrupper her og hvad Ransomware er.

Ransomware er en type malware (ondsindet og ofte skadelig software), der bruges af cyberkriminelle og nogle landes militær

Hvis en computer, netværksservere eller SAN-systemer er blevet inficeret med ransomware er indholdet typisk blevet krypteret. I mange tilfælde hjælper vi ved at dekryptere ud fra hvilken ransomware, der er benyttet. Når man er udsat for Ransomware, kommer der typisk en popup på skærmen eller en e-mail, der forklarer, at man kan købe en nøgle, der åbner for data.

Yderligere er der e-mails i cirkulation med beskeden, at det er blevet optaget at man så børneporno og optagelserne vil blive publiceret, medmindre man betaler ofte flere tusinde kroner. De præsenterer ofte et password der genkendes, hvilket kommer fra de mange lækager, der er koblet til en given e-mail. Næsten ALLE danskere er i dette register og prøv eventuelt selv at taste dine emails på: https://haveibeenpwned.com. Her ses det, hvor mange hackede tjenester der findes i forhold til en e-mail.

Ransomware bliver for mange en barsk realitet og kan pege mod ikke-gennemtænkt IT-Strategi. Årsagen til udbredelsen af ransomware er skyldes imidlertid, at der ikke er gennemtænkt lavpraktiske beskyttelsesforanstaltninger, såsom lukning af enhver offentlig adgang til ens servere og computere. Dette kan man gøre ved at lukke den adgang som normalt findes i Servere, computere, routere, firewalls, admin software, ssh, SFTP, telnet og ved at have et aktivt forhold til nuldagssårbarheder. Man bør huske på at ransomware udsendes af professionelle, formentlig tilknyttet mafiaen eller regeringer, i mange lande, hvor korruptionen trives.

Danmark er i flere sammehænge sammekædet med en hacker, idet at Staten og Skat kontrollerer borgerne og FE overvåger ikke alene borgerne men også andre landes datatrafik. NemID er f.eks. en “trojansk hest”, der kan give fri adgang til filer på en computer og tillige at generere et dagligt index over filerne. Vi kan spore brugen heraf til Lautruphøj 2, 2750 Ballerup

Er man udsat for Ransomware kræves der via popup en mulighed for at få en nøgle, hvis man betaler en løsesum. Ofte tilbydes der en smagsprøve på at du kan vælge en fil, som du gratis kan få åbnet. Man skal enten sendes filen eller fortælle, hvor filen ligger. Så sender hackerne filen tilbage dekrypteret. Det er måden, hvorpå hackerne beviser deres forehavende.

Såfremt der er 2 ransomware beskeder med 2 forskellige wallets

Til tider sker det, at hackere hacker hackere. I den situation kan det undersøges om, hvilke filer er krypteret senest. Det er stadig usædvanligt, men i takt med at sikkerhedshuller udnyttes, vil dette forekomme i stigende omfang.

Sådan beskytter du dig mod ransomware

Rammes man af ransomware eller anden malware, skal man IKKE forsøge at genstarte noget.  Husk på at ransomware og hackeren typisk har adgang til fjernskrivebordet eller andre indgange såsom https:// admin eller administrator logins, e-mail og/eller serverstyring. Det kan også være at adgangen er sket igennem SSH, SFTP, Telnet mm.

Endelig kan adgangen være oprettet med en USB nøgle og det er vigtigt at vi har mulighed for identificere indholdet UDEN at USB’en fjernes. En USB enhed betyder ikke, at medarbejderen ejer den wallet, der presse penge fra. Det kan være fra en USB tilslutning andetsteds, f.eks. hjemme og så medbragt til arbejdsstationen og dermed overført på en medarbejdercomputer. USB, Router, Firewall og adminadgange til udstyr er ofte overset når man er udsat for ransomware. Det er sådan i dag at der sker billioner af portscanninger hver dag, hvilket hackere kan udnytte til deres kriminelle handlinger.

Portscanning og porte på en computer

Der findes for hver enkelt IP adresse porte der går fra 0 til 65353 og det tager under et sekund at scanne alle porte, når man selv er på netværket. De fleste tillader portscanninger, hvilket betyder at man afslører hvilket udstyr og i mange tilfælde, de brands man benytter.

For at beskytte sig imod ransomware er det vigtigt at slukke kendte loginsteder og have korrekt opsætning af firewall på både servere og computere. Man bør aldrig genstarte servere eller computere, når man er udsat for ransomware. Ring i stedet til din sikkerhedsrådgiver, der i mange tilfælde kan dekryptere og låse mod yderligere adgange.

Det er også vigtigt, at man laver backup før end anvendelse af administratorrettigheder. De angrebsvektorer, der veksles i mellem er ofte fjerneskrivebord eller admin-protokoller og generelle scanninger på sårbarheder på hele C-klasser eller andet.

I mange mindre sager har hackeren intet eller kun lidt viden om offeret, men de nyere grupper af hackere er mere proaktive og “forretningsorienterede”, så løsesummen efter angreb med ransomware udregnes ud fra oplysninger fra cvr-registret mm.

“Cybersikkerhed opnås ikke ved at scanne din telefon, PC, MAC eller server indefra, det handler om penetrationstest’s udefra,” siger Michael Rasmussen, ICARE.DK

ICARE har identificeret 18 typer af ransomware der er meget populære:

Locker

Denne type malware blokerer grundlæggende computerfunktioner. Du kan f.eks. blive nægtet adgang til skrivebordet, mens musen og tastaturet er delvist deaktiveret. Dette giver dig mulighed for at fortsætte med at interagere med det vindue, der indeholder løsesum og mulighed for at foretage betalingen. Udover det er computeren ubrugelig. Locker Malware er dog normalt ikke målrettet kritiske filer, men formålet er i højer grad, at de ønsker at låse dig ude. Fuldstændig ødelæggelse af dine data er derfor mindre sandsynligt.
Vi kan ofte dekryptere og hente alle dine data ud igen, hvorefter vi slukker for dine sårbarheder og foretager de nødvendige ændringer for genoptagelse af arbejde på computeren. Den digitale afpresning er ofte noget, der sker flere gange og ikke sjældent umiddelbart efter en udbetaling af løsesum.

Krypto

Formålet med krypto ransomware er at  kryptere vigtige data, såsom dokumenter, billeder og videoer uden at forstyrre din interaktiv med computeren eller grundlæggende computerfunktioner. Brugerne kan se deres filer, men de kan ikke få adgang til dem. Kryptoudviklere tilføjer ofte en trussel i form af en nedtælling til, hvornår man senest skal betale løsepenge som f.eks.

Beskeden kan lyde: “Hvis du ikke betaler løsesummen inden fristens udløb, vil alle dine filer blive slettet.” Og på grund af antallet af brugere, der ikke er opmærksomme på behovet for scannede sikkerhedskopier, deduplikering eller på eksterne fysiske lagerenheder, kan krypto ransomware være ødelæggende. Derfor betaler mange ofre løsesummen blot for at få deres filer tilbage. På trods af at det altid frarådes at betale løsesum, så er det ofte det der vælges af både virksomheder og enkeltpersoner og dermed skabes for de kriminelle hackere en lukrativ forretning, der er stadig voksende på globalt plan.

Locky, Petya og lignende ransomware typer

Når vi nu kender virkemåderne på de 2 ovenstående tilfælde kan vi se på hvilke andre løsninger, der i realiteten bygger på de 2 ovenstående malware typer.

Locky

Locky Ransomware startede i 2016. Locky er speciel, fordi den genkender 165 filtyper. Spredningsmetoden var falske PHISHING e-mails med inficerede vedhæftede filer. Det er utroligt, men mange brugere udpakker og installere faktisk selv malware på den måde og har offeret en adgang til virksomhedens netværk placeres filer også her. Disse udløses enten af cron-jobs, fordi hackeren dermed allerede har netværksadgang med den pågældende medarbejders rang. Rangen til at læse, skrive, omdøbe, kryptere, slette og eksekvere filer er de mest almindelige adgangsrettigheder til virksomhedens netværk.

Locky bruger Social Engineering og kan således kamuflere de udsendte phishing e-mails værende afsendt fra virksomheden selv. Locky Ransomware er målrettede filtyper, der ofte bruges af designere, udviklere, ingeniører og testere og har ofte lidt flere rettigheder end dem på lageret.

WannaCry

WannaCry var et af de mest kendte ransomware-angreb. Wannacry Ransomware spredte sig til over 150 lande i 2017. Wannacry var designet til at udnytte 2 sikkerhedsrisikoer i Windows.  Disse sikkerhedsrisikoer var imidlertid oprettet af NSA i USA. De blev lækket af Shadow Brokers en kendt hackergruppe. WannaCry påvirkede ca. 250.000 computere verden over.

Kendte Skadesvirkninger: Det er kendt at dette angreb ramte en tredjedel af alle NHS hospitaler i Storbritannien. Skaderne alene fra dette hospital løb op i 92 millioner pund. Alle brugere blev låst ude. Der blev endvidere udført digital afpresning i Bitcoins. Angrebet afslørede spørgsmålet om forældede systemer, fordi hackeren udnyttede en sårbarhed i operativsystemet, som en patch længe havde eksisteret på tidspunktet for angrebet. Den verdensomspændende økonomiske skade forårsaget af WannaCry var US $ 4 milliarder.

Bad Rabbit

Bad Rabbit var et ransomware-angreb fra 2017 og blev spredt via såkaldte Drive-By-Angreb. Det var via usikre websteder, at angreben blev udført. I et drive-by ransomware-angreb besøger en bruger et rigtigt websted uvidende om, at det er blevet kompromitteret af hackere. De fleste drive-by-angreb sker ved, at en bruger går ind på en side, der er blevet kompromitteret på denne måde. Infektionen foretog en installatation, der indeholdt skjult malware – en såkaldt Malware Dropper. Bad Rabbit bad brugeren om at køre en falsk Adobe Flash-installation eller opdatering og derved blev computeren inficeret med malware.

Ryuk

Ryuk er en ransomware forklædt som en “trojansk hest”, der spredte sig i august 2018 og Ryak deaktiverede gendannelsesfunktionen i Windows-operativsystemer. Dette gjorde det umuligt at gendanne de krypterede data uden en ekstern sikkerhedskopi.

Den mest udbredte Ryuk version krypterede netværkets harddiske. Virkningen var enorm og mange af de amerikanske virksomheder, der blev ramt, valgte at betale den krævede løsesum. De samlede skadesvirkninger anslås til at være lang over $640.000.

SHADE ransomware og Troldesh malware

Shade  eller  Troldesh  ransomware angreb fandt sted i 2015 og spredes via  spam-e-mails,  der indeholder inficerede links til en “Malware Dropper” og en anden version har vedhæftede filer. Troldesh angrebene gik direkte mod deres ofre via e-mail. De havde opbygget et “godt forhold” til ofrene og modtog desuden rabatter.

Jiqsaw

Jigsaw er et ransomware-angreb, der begyndte i 2016. Angrebet fik sit navn fra et billede af den velkendte marionet fra Saw Film Franchise. Den digitale afpresning bestod i at der for hver ekstra time der gik uden udbetaling af løsesummen slettede Jigsaw Ransomwaren nogle filer. Brugen af horrorfilm-billedet forårsagede yderligere stress blandt brugerne.

CryptoLocker

CryptoLocker er en ransomware, der først blev opdaget i 2007. Spredningsmetoden var meget effektiv med potentielt 50 millioner af modtagere og selve malwaren blev spredt via inficerede vedhæftede filer i e-mails.

Når ransomware blev aktiv søgte den efter vigtige data på de inficerede computere, netværk og tilsluttede disksystemer og krypterede dem herefter. Det var typisk word dokumenter, billeder og ca. 75 andre filer. Det anslås, at 500.000 computere blev påvirket. Ved domstolsbeslutninger og NSA/FBI/CIA i samarbejde med et ukendt sikkerhedsfirma formåede man til sidst at overtage kontrollen med et verdensomspændende netværk af kaprede hjemmecomputere, der blev brugt til at sprede CryptoLocker. Operationen gjorde det muligt for det offentlige og de tilknyttede analyserende virksomheder at opsnappe de data, der blev sendt over netværket og endda uden at de kriminelle hackere bemærkede det. I sidste ende resulterede dette i, at der blev oprettet en onlineportal, hvor ofrene kunne få en nøgle til at låse deres data op.  Herefter blev det muligt for angrebne at få frigivet deres data uden at betale løsesum til de kriminelle.

Petya og GoldenEye

Petya og GoldenEyes der her ikke må forveksles med ExPetr, er et hackerangreb, der startede i 2016. Denne hacker kampagne genopstod som GoldenEye i 2017. I stedet for at kryptere udvalgte filtyper krypterede denne ondsindede ransomware hele offerets harddisk.

Her valgte hackergruppen Blackhat målbevidst at gå at kryptere MFT (Master File Table). Dermed blev det umuligt at få adgang til filer på harddisken. Petya ransomware spredt sig til virksomhedernes HR-afdelinger via et falsk program, der indeholdt en inficeret Dropbox link. En anden variant af Petya er Petya 2.0, som adskiller sig i nogle centrale aspekter. Begge varianter lige fatale for offeret, der 100% mister alle data.

GoldenEye

Genopstandelsen af Petya og som GoldenEye ransomware resulterede i en verdensomspændende ransomware-infektion i 2017. GoldenEye, kendt som WannaCry’s “dødbringende søster”. Den ramte ca. 25.000 virksomheder, men mere end 2.000 ofre. Nogle af ofrene var flere banker og fremtrædende olieproducenter i Rusland. I en alarmerende konsekvens, tvang GoldenEye ofrene personalet i Tjernobyl atomkraftværket til manuelt at kontrollere strålingsniveauet. Det skete efter at de blev låst ude af deres Windows-computere.

NotPetya

NotPetya startede i 2017 og virkede som en krigserklæring eller i det mindste en politisk malware, fordi den var beregnet til at ødelægge det Ukrainske forsvars lagerstyring. Imidlertid ramte den rederiet Mærsk, der fik et milliard tab og den ødelagde for milliarder af kroner verden rundt. NotPetya ramte millioner af mål foruden Ukraine bl.a. danske Mærsk, der blandt andet måtte haste-indkøbe 45.000 nye pc’ere.

GandCrab Pornotrusler

GandCrab er usmagelig ransomware, der truede med at afsløre sine ofres pornovaner. Det hævdede, at det havde hacket ofrets webcam og krævede en løsesum. Hvis løsesummen ikke blev betalt ville pinlige optagelser af offeret ville blive offentliggjort online på Youtube. Efter sin første optræden i 2018 fortsatte GandCrab ransomware med at udvikle sig i forskellige versioner. Som en del af “No More Ransom” initiativet udviklede sikkerhedsudbydere og politibureauer et ransomware-dekrypteringsværktøj til at hjælpe ofrene med at gendanne deres følsomme data fra GandCrab. Dette er et godt eksempel på hvordan sikkerhedseksperter hjælper myndigheder med at gøre værktøjer tilgængelige for ofrene.

B0r0nt0k

B0r0nt0k er krypto ransomware, der fokuserer specifikt på både Windows og Linux-baserede servere. Den krypterer filerne på en  Linux-server og vedhæfter en “.rontok” endelse som filtypenavn. Den er derfor nem at identificere. Den udgør dog ikke kun en trussel mod filer, fordi den foretager ændringer i startindstillinger, deaktiverer vitale funktioner og applikationer og tilføjer selv en del poster i registreringsdatabasen, filer og programmer.

Dharma Brrr

Brrr, den nye Dharma Ransomware, installeres manuelt af hackere,  der herefter hacker sig ind desktop-tjenester forbundet til internettet. Så snart ransomware er aktiveret af hackeren begynder det at kryptere de filer, den finder. Krypterede data får filtypenavnet “.id-[id]. [e-mail].brrr”. Den er derfor nem at identificere og den er også nem at dekryptere i de versioner, vi har fået rapporteret. Man skal bemærke at den ikke kan komme fra USB automatisk. Der findes en lignende Linux variant, der menes at være fra en anden hackergruppe i Ungarn.

FAIR RANSOMWARE

FAIR RANSOMWARE er en stærk malware, der har til formål at kryptere data. Ved hjælp af en kraftfuld algoritme er alle private dokumenter og filer fra offeret krypteret. Filer, der er krypteret med denne malware har filtypenavnet “. FAIR RANSOMWARE” føjet til dem.

MADO

MADO ransomware er en anden type krypto ransomware. Data der er blevet krypteret af denne ransomware får udvidelsen “.mado” kan derfor ikke længere åbnes. Den er dog nem at behandle, da den alene krypterer filer.

Ransomware og malware er oprindeligt udviklet af militære eller efterretningstjenester

Den nye rolle for FE, Forsvarets Efterretningstjeneste er at forberede sig på massiv cyberkrig

Ved at se på hvad FE foretager sig, får vi et glimrende billede af, hvordan fremtiden vil se ud. I dag hemmeligholdes mange sikkerhedshullet, fordi de vurderes at have større nytte militært. Den slags beslutninger sker hver dag hos militær verden over. Forsvaret i Danmark har netop lavet en instruktionsbog, der skal lære både generaler og menige at føre krig i cyberspace, som NATO efter land, vand og i luften har udnævnt til “den fjerde slagmark”. Samtidig bliver en ny dansk militær cyber-enhed snart fuldt operativ. Den nye enhed er i stand til at bygge og affyre militære cybervåben, der kan gøre skade på andre landes netværk og computersystemer.

Forsvarets hemmelige cyber-soldater

  • Den tophemmelige og meget lukkede cyberspace-enhed hedder Forsvarets Computer Network Operationskapacitet eller i daglig tale “CNO-kapaciteten”.
  • Enheden er en del af Forsvarets Efterretningstjeneste (FE). I sin seneste årsrapport skriver FE, at 14 procent af tjenestens ansatte ved udgangen af 2018 var en del af enheden, der dengang var under opbygning.
  • CNO-kapaciteten når sin fulde styrke og bliver erklæret fuldt operativ ved udgangen af 2021, oplyser Forsvarsministeriet.
  • Enheden er i stand til at udføre offensive operationer. En operation i cyberspace er ifølge Forsvaret offensiv, hvis der “anvendes magt”.
  • Magtanvendelse skal forstås som en aktivitet, der ændrer en modparts cyberspace eller måden computere, netværk eller programmer virker.
  • Alt efter kompleksiteten kan et cybervåben tage både uge- og årevis at udvikle.
  • Et cybervåben bliver affyret via trådløs eller kabel-forbindelse eller “plantet” i et system. Eksempelvis kan specialoperationsstyrker anbringe USB-nøgler med computervirus eller afdække information om eventuelle trådløse netværk og dermed skabe forbindelse mellem to adskilte systemer.
  • Det hele er klassificeret som hemmeligt. For hvis modparten ved, hvilke våben – eller “effekter”, som det danske forsvar har liggende på hylden, laves straks et modtræk. End ikke medlemmerne af forsvarsalliancen NATO deler viden med hinanden. Kun en løs beskrivelse af, hvilke effekter man har liggende på hylden.

Ifølge DR.DK’s artikel rettes der en stigende kritik imod den magt som FE har fået eftersom FE’s egne beføjelser omfatter alt i det danske samfund:

Militære cyber-space operationer

Cyberspace er meget mere end internettet og defineret som alt, der behandler, lagrer og transmitterer digitale informationer i et moderne samfund:

  • Alle netværk, computere, servere, operativsystemer, e-mailadresser, konti på sociale medier og ikke mindst militærets våben- og kommandosystemer.
  • Hvor man før brugte krudt, kugler og kanoner til at ramme fjenden, kan man nu opnå næsten det samme gennem cyberspace.
  • Det kan f.eks være en såkaldt cyberspace-effekt i form af data eller en kode, der blænder fjendens radar eller gør, at tropperne ikke kan komme i kontakt med hovedkvarteret.
  • Se mere om de forskellige hackertyper og deres motiver der kan defineres ud fra hvilken adfærd de har f.eks. WHITEHAT Hackere.

Herunder kan du se hvad Forsvaret i 2019 havde af medarbejder indenfor CYBERSECURITY (Den blå afdeling).

Dette udgør ca. 33% af de samlede antalt ansatte.

Det er dog meget sjældent vi hører noget om hvad de laver.

Kilde: ICARE.DK og Forsvarsakademiet via dr.dk.