Interview: Ransomware er en af de sikkerhedstrusler, der har ramt hårdt og bredt i de seneste par år.
Den ondsindede kode krypterer indholdet på maskinen, og hackerne bag forlanger en betaling for at levere den nødvendige krypteringsnøgle til ejermanden af data.
Ransomware har typisk været målrettet mod enkelte maskiner med mulighed for at brede sig til associerede drev eller enheder.
Det kan du eksempelvis læse mere om her. Ramt af ransomware: Den dag hackere krypterede 8.000 dokumenter på Aage Krogsdams computer
Flere maskiner kan således rammes ved et angreb, men angrebsplatformen har haft sit udspring på klienten.
Typisk bliver man inficeret med ransomware gennem ondsindede downloaders, der distribueres gennem kompromitterede websider eller via mail.
Når en bruger er inficeret, henter downloaderen malware ned på klienten, eksempelvis ransomware, og afvikler koden lokalt.
Går efter hele netværket
Den metode bliver nu vendt på hovedet, fortæller Martin Lee, der er chef for Ciscos sikkerhedsforskerhold og analysegruppe, Talos.
"I stedet for at have fokus på den enkelte klient, så er fokus rettet mod hele netværket. Det skyldes naturligvis, at de kriminelle øjner en større fortjeneste på deres ulovlige gerninger i virksomhederne end hos den almindelige bruger," siger han til Computerworld.
Han peger på ransomwaren Samsam som et eksempel.
Den distribueres nemlig ikke via downloads eller spam-mail.
Angriberen bag koden anvender i stedet værktøjer som Jexboss til at identificere servere, der kører Red Hats JBoss enterprise-produkter, der ikke er opdateret og som derfor er sårbare.
Når den ondsindede kode har fået adgang til serveren ved at udnytte sårbarheder i JBoss, indsamles data og informationer om netværket.
Først herefter udrulles krypteringen af systemerne, så der kan stilles et krav om løsepenge.
Ransomware-koden skanner altså først netværket via serverne i stedet for at gå direkte efter en klient og så forsøge at brede sig.
"Når vi analyserer udviklingen af Samsam, så er det netop i denne retning, tingene bevæger sig. De første offentlige sager med Samsam er fra sundhedssektoren i USA, hvor eksempelvis hospitaler er blevet ramt," fortæller Martin Lee.
Læs også: Forlanger 24 millioner: Hospitals it-systemer er taget som gidsel med ransomware
Hvad er grunden?Lidt populært formuleret er ransomware-angriberne rykket fra en business-til-consumer-model til en business-til-business-angrebsform.
Er der flere eksempler end de amerikanske hospitaler?
"Ja, der er flere, men det kan jeg ikke fortælle om - enten fordi jeg ikke har været en del af efterforskningen eller fordi jeg ikke må."
Hvad er fordelen ved at rykke fra klient til server. Det må være mere besværligt at trænge igennem til en server?
"Ikke nødvendigvis. Hvis der er en sårbarhed på serveren, så kan der være adgang. Men det helt afgørende er, at der kan tjenes flere penge på virksomhedsdata, der er vigtige for forretningen, end på private data."
Hvad kan man gøre for at beskytte sig?
"Sørg for at holde alt opdateret, og så skal du ikke åbne mail med vedhæftninger fra ukendte personer. Det er to vigtige områder, der ret enkelt kan implementeres og som er effektive."
Læs også: Teknik er ikke nok mod ransomware-angreb: Her er fem veje til moden it-sikkerhed
Læs mere på dette blog-indlæg, der fortæller om ransomwares vej til netværket.
Læs også:
Ramt af ransomware: Den dag hackere krypterede 8.000 dokumenter på Aage Krogsdams computer
Forlanger 24 millioner: Hospitals it-systemer er taget som gidsel med ransomware
Dansk kommune ramt af ransomware-angreb - fik løst problemet på en smart og enkel måde
Ransomware, sikkerhed i biler og DDoS-angreb: Her er de værste sikkerhedsplager lige nu
