Ransomware - det konstante kapløb

Artikel fra Effektivitet nr. 2, 20117

06.09.2017

Sponseret

Martin Kofoed, Department manager IT Operations og Operational Security, JN Data A/S, effektivitet.dk

"Undskyld, men jeg vil gerne betale denne

bøde". Stedet er ekspeditionen hos lokalpolitiet i Kalundborg, og året er 2012. Foran mig står en midaldrende bedsteborger, med sin laptop under den ene arm, og i hånden fremstrakt rækker en check frem. "Og så må i meget gerne åbne min computer, inden min kone kommer hjem!"

Det kan lyde komisk, og som en udstilling af en mand, som nok ikke var udstyret med det store PC-kørekort, men faktum er, at besøget for den gode borger ikke var enkeltstående.

I årene 2010 – 2012 kunne man i de internationale medier fornemme, at noget nyt var under vejs. Begrebet Ransomware eller Police Ransomware fandt indpas i de teknisk orienterede tidsskrifter og blogs.

Vira, virus eller malware som efterhånden var et anerkendt fagudtryk, havde jo været kendt i mange år. Og signaturbaseret sikkerhedssystemer var standard - både på arbejds-Pc’en, men også på den private PC. Og der var stor fokus på at sikre, at applikationerne løbende blev sikkerhedsopdateret, så "hackerne" ikke kunne udnytte sårbarheder.

Til trods for at verden følte sig på sikker grund, sneg det nye fænomen sig alligevel mere og mere ind i bevidstheden.

Der var engang...

Hvis man betragter udviklingen inden for IT og særligt IT kriminalitet eller Cybercrime, gennem de sidste 25 år, så kunne man nok havde forudset, at "der ville ske noget".

Allerede i slutningen af 80’erne sås forløberne til nutidens Ransomware. Via disketter sendt til deltagere på WHO’s AIDS konference i 1989, sendte en (angiveligt, men dog siden dømt) sindsforvirret professor AIDS Trojan afsted. Tilsyneladende for at skabe opmærksomhed om datidens mest frygtede sygdom. Men ud over opmærksomheden, blev de uheldige modtagere afkrævet 189$ i løsepenge, for at dekryptere de inficerede filer. Krypto-Ransomware var født.

Desværre for den uheldige professor, anvendtes symmetrisk kryptering, og dermed kunne samme private nøgle dekryptere filerne hos alle de ramte konferencedeltagere. Denne fejl har udviklere af ransomware sidenhen været opmærksomme på ikke at gentage.

Hen over 1990’erne var der stille på Ransomware-fronten. Men i midten af 00’erne kom der gang i butikken igen. Flere eksempler dukkede op i Rusland, dog uden at det gav det store fokus i den vestlige verden. Dette ændrede sig i 2010 og frem. Police Ransomware, som den uheldige kalundborgenser også havde mødt i 2012, eksploderede til stor gene for både private og virksomheder.

Skaden var dog begrænset. Med lidt teknisk indsigt var det muligt at genstarte Pc’en i fejlsikret tilstand, slette et par filer, og så var man oppe og køre igen.

Bagmændene blev dog mere og mere kreative, og især udtryk som "ulovligt materiale", "ulovlig pornografi" og "Politiet i kongeriget Danmark" havde tendens til at gøre borgerne meget utrygge.

Den uheldige borger i Kalundborg blev vejledt efter bedste evne, og henvist til en IT-kyndig for at få adgang til sin PC igen. Og, det blev aftalt at manden kunne henvise konen til Kriminalpolitiet i Kalundborg, hvis der var mistanke fra hendes side, om at manden havde anvendt PC’en til andet end Netbank. Der var jo ingen grund til at skilsmissestatistikken på Vestsjælland blev øget af den grund.

Det var ellers så godt, men så blev det skidt!

I 2013 skete en ny revolution. Police Ransomware, som i det store hele blev betragtet som et irritationselement, men relativt ufarligt fik en ond fætter; Cryptolocker.

Mens den traditionelle Police Ransomware blot påvirkede den inficerede PC til gene for en enkelt bruger, rettede Cryptolocker sig mod den inficerede PC samt tilkoblede netværksdrev! Og hvad var værre endnu, erfaringerne fra AIDS Trojan’en var inddraget i udviklingen, så Cryptolocker anvendte RSA public-key kryptografi og lagrede den unikke, private nøgle på en server, som bagmændene kontrollerede.

Fra at have været en gene for primært private brugere og IT support-afdelinger i diverse virksomheder, var der nu tale om en reel og alvorlig trussel!

Regnskabssystemer, produktionssystemer, kundedatabaser, projektdatabaser m.m. blev løbende krypteret. Især mindre virksomheder blev voldsomt presset. For hvem står lige for IT sikkerheden i en mindre håndværksvirksomhed, hvem står for patch, hvem står for backup? Hvem står for disaster recovery?

Konsekvenserne blev, at betaling mod at få udleveret den private nøgle, som kunne låse forretningens regnskabs og kundedatabase op, blev meget attraktiv! Især når det afpressede beløb "kun" var i størrelsesordenen 1.000-5.000 kr.

Det er svært at beregne, hvor stor indtjening bagmændene bag ransomware-varianter som eks. Cryptolocker har haft. Primært fordi bagmændene anvendte den i 2013 relativt nye krypto-valuta Bitcoin (Fakta: Bitcoin blev "opfundet" i 2009, med det formål at holde pengetransaktioner anonyme). Da Bitcoin er Open Source har man ikke kunne lave en eksakt udregning, men omkring december 2013 vurderedes det, at Cryptolocker bagmændene havde tjent 27 millioner US Dollars. Beløbet fandt man frem til ved at analysere Bitcoin trafik relateret til Cryptolocker-adresser.

Cryptolocker netværket blev taget ned i juni 2014 i en koordineret politioperation kaldet TOVAR. Foruden Cryptolocker blev også Bot-nettet GameOver Zeus nedtaget. GOZ havde været anvendt til at distribuere malware og ransomware eks. Cryptolocker, men også mere alvorlig malware som banktrojanere m.v.

Cryptolocker blev dog blot aflyst af nye og mere sofistikerede varianter såsom Cryptowall, Torrantlocker m.fl.

Er Ransomware farligt?

Med de kriminologiske briller på, hvorfor er udviklingen af krypto-ransomware eksploderet siden 2010? Det simple svar er digitalisering.

Hvis man kigger på de seneste års IT udvikling, alene i Danmark, så bliver vores hverdag mere og mere fokuseret på digital tilgængelighed.

Får du en pakke fra PostNord, modtager du en mail med informationer om, hvor og hvornår du kan hente pakken. SKAT meddeler via online services, hvor mange penge du skal have retur ved årsopgørelsen. Jobansøgninger sendes via e-mail eller online webformularer, og håndværkerne giver tilbud på opgaver, efter de har set plantegninger på kundens Dropbox.

Kriminelle bagmænd tilpasser sig den virkelighed, som deres ofre befinder sig i. Og ofrene er sjældent skolet i at foretage en sikkerhedsbevidst vurdering af godt og skidt, når først e-mailen fra SKAT eller PostNord er landet i indbakken.

Det danske sprog har længe været vores bedste værn mod bedrageri. Håbløse Google-translate oversættelser som "uforløste pakken" og andre morsomme formuleringer har givet modtageren en god mulighed for at slette spam-mails, inden skaden var sket.

Men dette var i 2012. Nu, i 2017 er det danske sprog ikke længere en udfordring for bagmændene. Web-translate-systemer bliver stadig bedre og bedre, bagmændene hyrer "oversættere" på Darkweb forums og sidst men ikke mindst, engelsk anvendes oftere og oftere som corporate language, i takt med at danske virksomheder etablerer sig i udlandet, eller må tiltrække udenlandsk arbejdskraft for at klare sig i markedet.

Men er Ransomware farligt? Nej, det er det som udgangspunkt ikke! I hvert fald ikke som vi ser det i dag, og særligt ikke hvis vi taler om de lav-sofistikeret varianter som eks. Torrantlocker, Cryptolocker, Cryptowall mv. Årsagen er simpel. Man har alle muligheder for at forhindre infektion, eller mulighed for en hurtig disaster recovery.

Det forudsætter, at virksomheden har styr på sine backup rutiner, at produktionsdata og backup er fysisk og logisk adskilt, at man ikke anvender forældede backup metoder… men det er der vel heller ingen som gør, i 2017… vel?

Ydermere bør der være implementeret tilstrækkelig forsvarsmekanismer, således, at kun den mindste del af potentielt skadelige mails og filer kommer til slutbrugerens vurdering af, om det er godt eller skidt.

Ransomware er ikke farligt, fordi det er synligt! Man er ikke i tvivl når skaden er sket. Man er ikke i tvivl om omfanget, og man er ikke i tvivl om hvad der skal til, for at komme tilbage til normal drift.

Ransomware en et irritationsmoment, som kan give en betragtelig økonomisk lussing i form af tabt arbejdsfortjeneste, overarbejde til de involverede teknikkere som skal arbejde aften, weekend og nat for at bringe virksomheden tilbage på benene samt potentielt negativ omtale i pressen.

Det samme gælder hjemme i privaten. I takt med udbredelsen af smartphones, apps og cloud services er vores privatliv blevet digitaliseret. Fotos ligger på PC’er, på NAS bokse eller i cloud’en.

Men selvfølgelig tager vi backup? Ligesom vi alle har de analoge fotoalbums stående på hylden i stuen, mens negativer ligger forsvarligt i en brandboks i kælderen.

Nej, Ransomware er ikke farligt, med mindre der ikke er styr på processerne. I virksomheden som i privaten.

Men det kan være farligt!

Mange finder det ofte interessant at læse teknisk faglitteratur som eks. Illustreret Videnskab. Find et eksempel fra slut 90’erne, og se, hvad videnskaben havde af forventninger til 2020. Mange glæder sig nok til de flyvende biler, smartphones med hologrammer og jetpacks!

Fremtiden for Cybercrime er uvis. Cybercrime følger den generelle samfundsudvikling, og når vi ikke engang kan være sikre på udviklingen i samfunet, hvordan skal vi så kunne forudse kriminalitetsudviklingen?

Én ting synes dog sikkert, Ransomware er kommet for at blive, og fænomenet bliver kun mere og mere udspekuleret. Det er tidligere beskrevet, at ransomware ikke er farlig – blot der er styr på de basale processer, som må forventes i en professionel IT-virksomhed i 2017.

Men dén Ransomware, som vi primært ser i dag er ikke høj-sofistikeret!

Der er er tale om e-mails med vedhæftede Word-dokumenter med macro, eller links til kompromitteret eller ny-oprettede domæner, som indeholder eksekverbar filer, som dropper malware’en på maskinen og starter krypteringsprocessen.

Som nævnt er det absolut et irritationsmoment, og medfører produktionstab for virksomheden. Men vi kommer tilbage!

Men hvad hvis infrastrukturen er kompromitteret? Hvad hvis bagmændene initierer krypteringen fra "indersiden"? Hvad hvis der anvendes en persistant metode (APT), så der går en uge eller en måned før data krypteres. Og så i øvrigt også rammer backuppen? Hvor mange virksomheder, store som små, kan overleve at gå en måned retur i produktionsdata?

Forsvar er det bedste forsvar

Hvis virksomheden ikke er i stand til at yde et tilstrækkeligt forsvar mod lav-sofistikeret ransomware, så vil der med sikkerhed ikke være mulighed mod APT lignende spear-attacks! Men hvad gør man?

Det første man er nødt til at erkende er, at kampen mod skadelige software er et konstant kapløb! Vi bliver aldrig færdige! Og det bliver dyrt! Men i 2017 er det licens to operate, at virksomheden har styr på den grundlæggende IT-sikkerhed, og efterhånden også på den mere avancerede IT-sikkerhed. I hvert fald hvis man behandler personhenførbare oplysninger eller betalingsoplysninger. Om hvem gør efterhånden ikke det?

En klar ansvarsfordeling, flerstrenget sikkerhedsstrategi og løbende modenhedsanalyser er nøgleord.

Rigtige mænd tager backup!

Forvent at blive ramt af ransomware! Sørg for, at der er styr på backuppen! En backup til en cloudservice er IKKE en brugbar løsning, hvis der er logisk forbindelse fra PC’en til backupdrevet.

Når der er styr på backup, kan man begynde at kigge på brugervenlighed vs. sikkerhed.

IT-sikkerhed har sjældent gjort det daglige arbejde nemmere. Tværtimod.

  • Blokeringer af adgang til div. hjemmesider.
  • Blokering for eksekvering af filer fra temp-foldere.
  • Blokeringer af vedhæftede filer i mails.
  • Ingen internet adgang fra arbejdspladsen.
  • Tunge AV-skanninger.
  • Blokering af macro’er i dokumenter fra Internettet.
  • Fjerne admin-rettigheder på arbejdspladsen og servere.
  • Sandboxing af fil-download.
  • Med meget mere…

Mulighederne er mange! Men der er ingen silver bullets.

Virksomheden bør foretage en intern risikovurdering for at konstatere, hvor de største risici ligger, og herefter iværksætte tiltag for at reducere denne.

Samtidig med initiativer for at mindske risiko, skal beredskabsplaner løbende udarbejdes, justeres og testes!

Do you feel Locky?

Bekæmpelse af ransomware og malware i almindelighed må ikke overlades til tilfældigheder!

Beredskabsplaner skaber ro og overblik i en krisesituation. Og selv om ransomware er blevet mainstream, skaber det altid utryghed i en direktion, når det rammer. Denne utryghed skal minimeres hurtigst muligt, og dette sker ved gode og relevante beredskabsplaner.

Samtidig skal det interne IRT (incident response team) kende den infrastruktur, de manøvrerer i. Dette stiller store krav til IT-Operations, at aktuelle tegninger er på plads. Og så er det rigtig godt, hvis disse tegninger IKKE ligger på de delte netværksdrev, som rammes når ulykken sker!

Ulven kommer

"Nyhed fra Sikkerhed", "Sikkerhed advarer om spam-run med ransomware vedhæftninger", "PAS PÅ -falske mails i omløb". Awareness kampagner virker. Men de skal være relevante og intelligente for ikke at drukne i mængden.

Især lige efter virksomheden har været ramt, er alle medarbejdere på mærkerne og Security Operation Centre spammes jævnligt af mistænkelige e-mails fra bekymrede medarbejdere. Dette er positivt! Det viser, at medarbejderne forholder sig skeptisk til modtagne e-mails fra ukendte afsendere, mistænkeligt udseende hjemmesider m.v.

Men bør det være medarbejderne som skal være last line of defence?

Af naturlige årsager er medarbejderne dét, da det jo er dem, som sidder bag tasterne! Men en effektiv IT-sikkerheds strategi bør altid sigte mod at fjerne dette ansvar for HR-partnerne, bogholderne, direktionen og receptionen. Disse ressourcer har alle andre, og vigtige ansvarsområder, og bør ikke bruge en væsentlig del af deres arbejdstid på IT-sikkerhed.

På den anden side, når man udstyrer sine medarbejdere med en ladt pistol, skal man også lære dem at anvende den! En pistol er ikke farlig, før den er ladt og afsikret. Men med den rette træning i anvendelse og håndtering sker der ikke ulykker. Og er ulykken ude, skal basal førstehjælp være på plads. Det samme gør sig også gældende om IT!

Der er ikke forventninger om, at politifolk nogensinde kommer til at anvende deres skydevåben i det daglige, men sker det, skal træningen være på plads.

Der er ikke forventning om at receptionisten kommer til at anvende indlært kenskab til basal IT-sikkerhed, men sker det, er det godt for alle, at receptionisten også har deltaget i awareness tests, online kurser i identifikation af skadelige vedhæftninger i mails m.m.

Både i virksomheden og hjemme privat handler det om en fælles indsats for at modstå infektion med malware som eksl. Ransomware. Ingen kæde er stærkere end det svageste led. Og dette led findes kun, ved en struktureret og målrettet analyse og efterfølgende indsats for at styrke svaghederne. Samt gentage arbejdet løbende, i takt med at forudsætningerne ændres.

Ransomware gennemgik fra slutningen af 80’erne og frem til 10’erne en væsentlig udvikling, og som i dag betyder, at alle der beskæftiger sig med digitalisering, bør forholde sig endog meget aktivt til truslen.

Martin Kofoed

Martin Kofoed. 37 år. IT-teknolog og Politikommissær. I 10 år ansat ved Rigspolitiet, senest med 3 år som leder i National Cyber Crime Center (NC3) med ansvar for efterforskning af avanceret IT kriminalitet i Danmark og EU. I dag leder af Operational Security i JN Data. JN Data leverer drift of infrastruktur til 35% af danske pengeinstitutter og 50% af realkredit forretninger.

Læs flere artikler på effektivitet.dk

Mere fra...

26.09.2018effektivitet.dk

Sponseret

Servitization: Extended Business Model for more Revenue and Profit

12.09.2018effektivitet.dk

Sponseret

Ny efteruddannelse i Operations og Supply Chain Management på DTU

29.08.2018effektivitet.dk

Sponseret

Brug problemer til at skabe innovation og udvikling

15.08.2018effektivitet.dk

Sponseret

Spring Servitization Conference på Copenhagen Business School

17.07.2018effektivitet.dk

Sponseret

Aktuelle værktøjer: 6 steps - og på vej mod Toyotas A3 niveau

05.07.2018effektivitet.dk

Sponseret

Vind fremtiden