Hva er neste trenden innenfor løsepengevirus?

NSM og også vi i NorSIS så allerede i fjor de første versjonene av skadevare der de som blir infisert(offret) kunne få tilgang til sine data igjen hvis de spredde skadevaren videre til andre. New York times har sett på fenomenet og belyst dette knyttet det til de siste ukers hendelse rundt WannaCry.

Offeret New York times omtaler fikk et valg: Betal hackerne en sum penger tilsvarende en bitcoin, dette er en digital valuta verdt på det tidspunkt artikkelen ble skrevet rundt 20.150 kr. i bytte for å få tilbake tilgangen til sin egen datamaskinen, eller prøve å infiser to nye mennesker på vegne av angriperne. Dersom offeret fikk noen til å falle for agnet og ble smittet, ville angriperne revurdere den økonomiske kravet og gi kontrollen over den infiserte datamaskinen tilbake til offeret.

Et angrepet som ble utført sent i 2016 var ifølge forskere innenfor cybersikkerhet som oppdaget dette hva de nå kaller ”Popcorn Time ransomware”, den første Ponzi-ordningen(form for pyramideordning) for en av internettets eldste typer cyberangrep.

Ransomware er en type ondsinnet programvare som infiserer et system og deretter holder det som gissel.  Det kreves en sum løsepenger for å gi kontrollen over systemet tilbake til eier. Dette er en av de mest populære og lukrative måtene å angripe datamaskiner på.

Sikkerhetsselskaper anslår at kriminelle tjente omtrent 8-9 milliarder på spredning av ransomware i 2016. I år er tallet sannsynligvis mye høyere ettersom tallene for ransomware-angrep hat økt veldig. WannaCry skapte globale overskrifter i forrige måned ved å infisere hundretusenvis av datamaskiner i 74 land på kort tid.

Forskere på feltet advarer om at WannaCry, som utnyttet et omfattende sikkerhetsproblem i Windows-systemer, og deretter brukte en smart mekanisme for å spre seg over nye systemer, bare er toppen av isfjellet. De sporer nå nye ordninger skapt av kriminelle som raskt har innsett at folk er villige til å betale tusenvis av kroner i løsepenger.

New York Times har vært i kontakt med Mikko Hypponen, sjefsforsker fra F-secure. Hypponen og hans team fant, og først rapporterte om popcorn-malware.  De så på dette som en ”outliner” i en verden av ransomware. Dette var det første forsøket på å kombinere en Ponzi- eller pyramideordning, hvor en person påfører en annens maskin skadelig programvare som har sin egen datamaskin som gissel hos svindleren som betaling. Dersom dette viste seg vellykket ville man anta at en rekke kriminelle nettverk sannsynligvis ville kopiere modellen. Forskere overvåker fortsatt ordningen for å se om den virkelig virker godt.

Artikkelen trekker også frem Asaf Cidon, visepresident i sikkerhetsselskapet Barracuda Networks som studerer ransomware. Han fremmer at Angripere vil gå etter en bestemt avdeling på et selskap, for eksempel personalavdelingen, hvor de vet at e-post og linker er mer sannsynlig å bli åpnet. Nettverket vil velge et selskap som angrepet skal rettes mot. Deretter vil de bruke sosiale medier som LinkedIn for å tegne et kart over personer som er ansatt i dette selskapet. De kan da bruke dette kartet til å finne ut av kommunikasjonsmønstre og etterligne ulike personer, eller utnytte deres vei inn i selskapets sosiale nettverk. I siste instans kan de bruke alle nødvendige midler for å sikre at systemet blir smittet med ransomware.

“Vi har sett dem utgir seg for å være folk i virksomheten, flyselskaper som sender billettinformasjon eller leverandører og kunder av firmaet som sender filer,” sa Cidon og la til at alle virksomheter fra veldig små til gigantiske Silicon Valley Bedrifter som Facebook og Google har blitt rammet av ransomware-angrep.

Andre ransomware-ordninger som nylig er blitt oppdaget har inneholdt et plott for å infisere Internettilkoblede enheter i hjemmet. Dette har eksempelvis skjedd ved at en TV plutselig har vist en falsk F.B.I. advarsel med et krav om at du må betale drøyt 4000 kr. for å gi deg kontrollen over din TV tilbake.  Det er også fra forskere demonstrert hvordan. Internettilkoblede enheter i hjemme kunne hackes og holdt som gissel slik at villaeiere i eksempelvis ikke fikk varmet opp sitt hus.

Hypponen fremmer at det er mye penger på spill, og at kriminelle derfor alltid vil være interessert. Han legger også til at det man så gjennom WannaCry var “Andre grupper ser dette, og vi kommer til å se andre versjoner av dette, antageligvis bedre versjoner snart.”

Les hele artikkelen her…..

NorSIS skrev en artikkel 26. Mai hvor vi advarte mot EternalRocks. Denne skadevaren spres ved infiserte maskiner som leter etter samme sårbarheter som ble utnyttet av WannaCry-viruset. Når en maskin først er infisert, vil den laste ned ytterligere skadevare som etablerer en bakdør på datamaskinen. Årsaken til at NSM velger å opplyse om dette, er at etaten ikke kjenner formålet med denne bakdøren. NSM har opplyst at EternalRocks kan stoppes på samme måte som WannaCry ut fra den infmasjonen som er tilgjengelig. Det som gjelder er ordinære oppdateringer.

Viktige forholdsregler du og din virksomhet bør ta for å gjøre risikoen mindre for å få løsepengevirus:

• Hold datamaskinens operativsystem og programvare oppdatert.
• Bruk antivirusprogram og hold det oppdatert.
• Ta sikkerhetskopi jevnlig av de filene som er viktig å ta vare på.
• Vær oppmerksom på at løsepengevirus også kan spre seg til disker og andre enheter som er tilkoblet datamaskinen. Det kan derfor være lurt å ikke la eventuelle enheter være koblet til maskinen til enhver tid.
• Enkelte utgaver av løsepengevirus spres også til delte tjenester som Dropbox, OneDrive eller lignende. Derfor anbefales det å ikke være tilkoblet delte tjenester til enhver tid, med mindre man benytter de der og da.

Les mer om Løsepengevirus på nettvett.no

Kilder:

The New York Times/nytimes.com – “Ponzi Scheme Meets Ransomware for a Doubly Malicious Attack”

Nasjonal Sikkerhetsmyndighet – Informasjon om skadevaren EternalRocks

abcnyheter.no/NTB – NSM advarer om ny versjon av WannaCry-viruset

Nettvett.no for oppdaterte veiledninger og råd – Løsepengevirus