Tänk om ditt företag kapades och lamslogs i veckor

Ransomware har blivit en lyckad affär för många kriminella. Dom vet att det fungerar och attackerna fortsätter att komma. Och allt fler tycks välja att betala de kriminella för att lösa problemet.

Författare: Christer Spörndly
Datum: 20.04.2016
Lästid: 3 Minuter

Hollywood Presbytarian Medical Center, ett sjukhus i Kalifornien, är en av de organisationer som valde att köpa sig fria från problemet. Dom betalade 40 bitcoins – ett värde motsvarande ungefär 130 000 kronor – för att återfå kontrollen över system och filer som varit låsta i flera veckors tid.

Det här var första gången media på allvar började titta närmre på problemen och riskerna med Ransomware, i alla fall i USA. Detta trots att problemet är lång ifrån nytt. Vi har varnat för det i ett halvt sekel redan.

Faktum är att just sjukhus och andra typer av verksamheter där man hanterar känslig information om enskilda människor är extra utsatta för det här hotet. F-Secures Sean Sullivan som är Security Advisor, uttrycker det så här i en intervju med IBTimes i UK:

 ”Många sjukhus är tyvärr rätt enkla mål. Jag har själv arbetat på ett universitetssjukhus med över 20 000 noder på sitt nätverk. Det fanns en sida som var kommersiell och en som var akademisk. Av skatteskäl hade man separerade system back-end, men oavsett vilket av dessa informationen fanns på om enskilda patienter var man i front-end alltid tvungen att komma åt allt. Dessutom hade man köpt upp och integrerat flera olika verksamheter över åren. Kort och gott – det var extremt komplext och oavsett hur bra skött det var fanns det alltid hål att täppa till. Det är väldig känslig information och trots att sjukhus anses kritiska i samhällets infrastruktur så har de ändå inte samma rapporteringskrav som exempelvis kraftverk. Detta leder till extra problem och risker.”

Kriminella har lärt sig att Ransomware fungerar. Och det kommer ständigt nya typer av attacker. I februari dök exempelvis Locky upp som ett nytt Ransomware och bara på några dagar var över en halv miljon datorer infekterade världen över.

Andy Patel från F-Secure Labs hade följande kommentar om Locky:

 ”Locky har, än så länge, mest infekterat via e-post. En bifogad Word-fil, som påstås vara en faktura, skickas runt. När den öppnas ser dokumentet ut att vara felaktigt, ord och bokstäver står i oläslig ordning. Användaren uppmanas att aktivera macron i Word för att kunna läsa innehållet. Gör man detta bli man infekterad genom en exekverbar fil (ladybi.exe) och all data på hårddisken börjar krypteras med 128-bits AES.”

Det är lätt att förstå att ett företag som plötsligt inte kan komma åt ett enda dokument i sin verksamhet kan drabbas av panik. Och betala de pengar som utpressarna kräver, om inte annat för att det är en snabb lösning.

Kevin Beaumont sammanfattade Lockys framfart så här: ”Utrullningen av Locky var ett kriminellt mästerverk. Det testade i en riktig, liten miljö under måndagen. Vi kan kalla det Ransomware beta-testning. Samtidigt översattes det till många olika språk innan det skickades ut brett. Det var kort och gott väldigt välplanerat”.

Konceptet malware-as-a-service, där kriminella agerar i princip som en helt vanlig mjukvaruleverantör, är inte något nytt i sig. Mikko Hyppönen på F-Secure kommentarer:

 ”Kriminella på nätet har rört sig mot en service modell under en rätt lång tid. Vi har sett DDoS attacker som en service, bank-trojaner som en service och även samma sak inom Ransomware tidigare”.

Macroattacker däremot har varit en av de största överraskningarna under det senaste året. Dessa attacker har i princip varit försvunna sedan slutet av 90-talet och den plötsliga återkomsten har gjort att många företag är sårbara.

Även helt patchade nätverk och system och uppdaterade säkerhetsprogramvaror har blivit lurade och effektlösa av att användare aktiverat macron. F-Secures användare har dock, enligt Andy Patel, ytterligare ett lager skydd att förlita sig på:

 ”Om du använder vår lösning så kommer funktionen DeepGuard in och ger extra skydd. DeepGuard är vår behavioral detection, alltså en funktion som letar efter kod som agerar på ett misstänksamt sätt. Därmed kan vi upptäcka både när Locky kommer in i datorn och när koden eventuellt aktiveras i datorn. Med DeepGuard kan vi stoppa själva mekanismen som gör att enheterna kan bli infekterade”.

[Image by fdecomite | Flickr]


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s