Betal 10 Bitcoins eller vi sætter jeres netværk ud af drift.
Den form for trussel bliver stadig mere udbredt.
Bagmændene truer med DDoS-angreb (Distributed Denial of Service) - og i nogle tilfælde gør de alvor af truslen.
Afpresning med DDoS-angreb er ikke nyt. Men det seneste halve års tid har vi set stadig flere eksempler på det.
I nogle tilfælde udfører bagmændene først et angreb af kortere varighed, for eksempel 20 minutter.
Derefter sender de en mail med besked om, at offeret skal betale for at undgå et længerevarende angreb nogle dage senere.
Afpresning med DDoS-angreb er udtryk for samme tendens, vi har set de sidste 20 år inden for it-kriminalitet som helhed: Motivationen er i dag penge, hvor den tidligere kunne være politisk eller rent hærværk.
Vi ser ikke mange eksempler på, at organisationer bliver ramt, fordi nogen er utilfredse med dem.
Det sker, men langt de fleste DDoS-angreb er i dag forsøg på at presse penge fra ofrene.
Angrebene foregår ved hjælp af botnet.
Bagmændene fjernstyrer pc'er, der indgår i botnet uden deres ejers vidende, til at angribe ofrene.
Kontakt udbyderen
Hvordan kan man beskytte sig mod DDoS-angreb?
Det er vanskeligt for den enkelte organisation at gøre noget ved dem. Når datapakkerne når frem til ens firewall, er det som regel for sent.
Derfor er et tæt samarbejde med organisationens internetudbyder nødvendigt.
Internetudbyderen har mulighed for at fange trafikken, før den når ud til jeres netværk.
De større udbydere har investeret i særligt udstyr, der kan filtrere de uønskede pakker fra.
Kontakt udbyderen, så snart I får mistanke om, at et angreb er i gang. Og gerne før - så er I forberedt, hvis det bliver aktuelt.
Hvis I modtager en mail med trusler om DDoS-angreb, kan det også være en ide at varsle udbyderen om, at I måske får brug for hjælp.
Meld det til politiet
I nogle tilfælde er der tale om tomme trusler.
Afsenderen af mailen har ingen planer om at gennemføre et angreb, men håber på, at selve truslen er nok til at få offeret til at punge ud.
Forsøg på afpresning er ulovlige. Det gælder, hvad enten angrebet gennemføres eller ej. Derfor bør I anmelde dem til politiet.
Når et angreb først er i gang, kan det være fristende at betale afpresserne. Men det fraråder jeg.
Hvis I betaler, signalerer I, at jeres virksomhed er sårbar og et potentielt offer for senere angreb.
Endvidere er I med til at finansiere bagmændenes forretning, så de kan angribe endnu flere.
Botnet og Bitcoin
Væksten i DDoS-afpresning skyldes flere ting. En årsag er, at det er let at få fat i et botnet.
Enten kan man selv opbygge et botnet, eller man kan leje et.
En anden årsag er Bitcoin.
Tidligere var den store udfordring for de it-kriminelle at få fat i pengene fra ofrene uden at efterlade spor, politiet kan følge.
Med Bitcoin er det blevet let at overføre penge fuldstændig anonymt.
Overvågningskameraerne angriber
Som oftest kommer angrebene fra pc'er i botnet. Men også andre typer enheder bliver anvendt.
Senest har sikkerhedsfirmaer opdaget angreb, der stammer fra botnet opbygget af netværksopkoblede kameraer.
Efterhånden som Internet of Things (IOT) vokser, vil der komme flere af den slags enheder. Og de vil desværre blive misbrugt.
Den type netværksopkoblede enheder er nemlig nemme ofre for botnet-malware, fordi de ofte leveres med standardpasswords.
Hvis brugeren ikke ændrer passwordet, er det let for malwaren at inficere enheden.
Undgå at blive medskyldig
Her er vi fremme ved en anden vinkel på DDoS: I risikerer at deltage i angreb, hvis I ikke sikrer jeres systemer.
Derfor skal man huske at ændre password og andre standardindstillinger, når man tager nyt udstyr i brug.
De såkaldte reflection-angreb bruger sårbare tjenester til at forstærke angrebet.
Det kan for eksempel være en NTP-server (Network Time Protocol), der er åben for opkald udefra.
Angriberne sender forespørgsler med forfalskede afsenderadresser til serveren, som sender svar til offerets adresse.
Vi kan alle være med til at begrænse mængden af udstyr, bagmændene kan misbruge til DDoS-angreb.
Det kan ske ved at begrænse adgangen til tjenester, konfigurere udstyr sikkert, holde software opdateret og bruge antivirus til at beskytte mod infektioner.
DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC (Danish e-Infrastructure Cooperation).Henrik Larsen, der er chef for DKCERT og bestyrelsesmedlem i Rådet for Digital Sikkerhed, opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.
