De it-kriminelle skifter taktik: Sådan udvikler ransomware-angreb sig lige nu

Ransomware er de seneste års mest omtalte form for it-kriminalitet, og virksomhederne bliver bedre til at beskytte sig mod det. Men hackerne tager nye metoder i brug for at tage dine filer som gidsler.

Virksomheder og sikkerhedsfirmaer bliver bedre og hurtigere til at opdage og beskytte sig mod ransomware. Men desværre bliver de kriminelle, der udvikler og bruger ransomware også hele tiden dygtigere.

Svagheden ved ransomware har traditionelt været dens lineære arbejdsgang, der gør den forudsigelig.

“Hvis du forestiller dig alle filerne på et system som en liste, så går ransomware bare listen igennem og begynder at kryptere fra A til Z,” siger Brian Bartholomew, der er senior security researcher hos Kaspersky Lab, til Computerworlds amerikanske nyhedsbureau.

Men det er ved at ændre sig, forklarer Bartholomew i en gennemgang af, hvordan de it-kriminelle netop nu ændrer brugen af ransomware for at gøre malwaren sværere at stoppe.

Langsommere kryptering i tilfældig rækkefølge
En af de metoder, hackerne bruger til camouflere ransomware-angreb er at gøre malwaren langsommere. Ideen er, at en antivirus ikke vil kategorisere krypteringen af filerne som ransomware, hvis krypteringen foregår over længere tid.

“Du har måske en antivirus, der kategoriserer det som ransomware-angreb, hvis der etableres adgang til mere end 1000 filer indenfor 10 sekunder. Så kan hackerne sprede det ud over 10 minutter, så det ikke bliver opdaget. Det ser vi mere og mere af,” siger Brian Bartholomew.

Udover at sætte tempoet ned er hackerne også begyndt at konstruere ransomware, der krypterer filer i forskellige rækkefølger, så den undgår at blive opdaget af antivirus, der leder efter lineære mønstre.

PFD er det nye link
Email er suverænt den mest metode til spredning af ransomware, og selvom mange efterhånden er blevet tudet ørerne fulde med advarsler om ikke at klikke på links i emails, så sker det stadig. Ofte.

Alligevel er hackerne begyndt at bruge andre metoder. Den overordnede leveringsmekanisme hedder stadig email - men fordi folk bliver mere mistænksomme overfor links, bruger man for eksempel PDF eller JPEG-filer med ransomware.

“Man får en besked med det, der ligner et billede eller en kvittering vedhæftet. Det klikker folk altid på,” siger Hyder Rabbani, der er COO i sikkerhedsfirmaet Cybersight.

Låser hele harddisken
En anden udvikling inden for ransomware er at angribe selve harddisken i form af den såkaldte master boot record.

Det så man blandt andet i Petya-angrebet, der ramte A.P. Møller-Mærsk sidste år, og ifølge Brian Bartholomew er det ved at blive mere udbredt praksis.

“På den måde kan de holde hele harddisken som gidsel, uden at kryptere hver eneste fil,” siger han.

Muterende kode og flere angreb
Signaturbaseret sikkerhedssoftware er en vigtig del af mange virksomheders it-sikkerhed, men moderne ransomware kan i praksis sætte den ud af spillet. Ifølge Brian Bartholomew er hackerne i stigende grad begyndt at anvende såkaldt polymorf kode. Det vil sige, at koden ændrer sig, hver gang den kører, selvom den grundlæggende funktion forbliver den samme.

“Når du får styr på en given ransomwares signatur, bliver den lettere at stoppe. Men når koden hele tiden ændrer sig, er det meget svært,” siger Brian Bartholomew, der bakkes op af Hyder Rabbani.

Han frygter mest kombinationen af muterende kode og flertrådede ransomware-angreb. Det sidste dækker over ransomare-former, der starter flere krypteringsprocesser på samme tid.

“På den måde kan man hurtigt overvælde både processoren og hukommelsen, og derfra går det hurtigt ned ad bakke.”

Ifølge Brian Bartholomew er hackerne desuden begyndt at camouflere andre typer angreb som ransomware, ligesom man ser flere eksempler på ransomware-angreb mod ansattes mobilenheder som en vej ind i virksomhederne.

“Det er en konstant katten-efter-musen-situation.”

Læs også: Renés butik blev lagt helt ned af ransomware-angreb: “Det er pisseirriterende, men det er bare at komme videre og indhente det tabte"



Premium
Anne Marie Engtoft Larsen gør klar til at rejse til USA som Danmarks nye tech-ambassadør: "Jeg har glædet mig helt vildt"
Interview: Om få dage drager Anne Marie Engtoft Larsen til Silicon Valley, hvor hun indtager embedet som Danmarks nye tech-ambassadør. "Mit mandat bliver at at fokusere på, hvordan vi skaber handling," siger hun i sit første interview som Danmarks tech-ambassadør.
Computerworld
Ups!: Gammelt fjernsyn lagde internetforbindelsen ned i hel landsby i halvandet år
I halvandet år var en hel landsby i Wales plaget af elendig bredbåndsforbindelse, som begyndte hver dag klokken syv om morgenen. Teknikere kæmpede med at løse mysteriet, men lige meget hjalp det. Årsagen viste sig at være et brugt tv, som en af byens familier havde taget i brug.
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
How to understand the email threat landscape
There is already a large number of organizations transitioning to more cost efficient cloud based solutions as of now. According to recent research by Gartner, "by 2021, Gartner expects 70 % of public and private companies to be using cloud email services.” But unfortunately this is also bad news, as the attackers’ methods also evolve, and there is a market increase in number of attacks against cloud based email services such as MS Office 365. In this whitepaper we will discuss the common email security threats that are faced by organizations and how to keep your organization safe from these attacks.