Gjenkjenning av løsepengevirus – hvordan krypteringstrojanere er forskjellige

Hva er løsepengevirus?

Løsepengevirus er en type skadelig programvare som brukes av cyberkriminelle. Hvis en datamaskin eller et nettverk er infisert med løsepengevirus, blokkerer løsepengeviruset tilgang til systemet eller krypterer dataene. Cyberkriminelle krever løsepenger fra ofrene sine i bytte mot å frigjøre dataene. For å beskytte mot løsepengevirus anbefales et oppmerksomt øye og sikkerhetsprogramvare. Ofre for slike løsepengevirus har tre alternativer etter en infeksjon: de kan enten betale løsepengene, prøve å fjerne den skadelige programvaren, eller starte enheten på nytt. Angrepsvektorer som ofte brukes av trojanere for utpressing, omfatter Remote Desktop Protocol, nettfiskings-e-post, og sårbarheter i programvare. Et løsepengevirus kan derfor angripe både privatpersoner og bedrifter.

Identifisering av løsepengevirus – man må gjøre et grunnleggende skille

Det er spesielt to typer løsepengevirus som er veldig populære:

• Løsepengevirus som låser ting Denne typen skadelig programvare blokkerer grunnleggende funksjoner på datamaskinen. Du kan for eksempel nektes tilgang til skrivebordet, fordi musen og tastaturet er delvis deaktivert. Dette lar deg fortsette å samhandle med vinduet med løsepengekravet for å betale. Bortsett fra det er det ikke mulig å bruke datamaskinen. Men vi har gode nyheter: Slike virus angriper vanligvis ikke kritiske filer; de vil generelt bare låse deg ute. At dataene dine ødelegges helt er derfor usannsynlig.
• Krypteringsløsepengevirus Målet med krypteringsløsepengevirus er å kryptere viktige data, som dokumenter, bilder og videoer, men uten å angripe grunnleggende funksjoner på datamaskinen. Dette skaper panikk, for brukerne kan se filene sine, men får ikke tilgang til dem. Virusutviklerne legger ofte til en nedtelling for løsepengekravet: «Hvis du ikke betaler løsepengene innen fristen, slettes alle filene dine», og med alle brukerne som ikke er klar over behovet for sikkerhetskopiering i skyen eller på en ekstern fysisk lagringsenhet, kan krypteringsløsepengevirus ha store konsekvenser. Mange ofre betaler derfor løsepengene for å få tilbake filene sine.

Locky, Petya og co.

Nå vet du hva løsepengevirus og de to hovedtypene er. Her får du se noen kjente eksempler som vil hjelpe deg med å identifisere farene knyttet til løsepengevirus:

Locky

Locky er et løsepengevirus som først ble brukt i et angrep i 2016 fra en gruppe organiserte datasnoker. Locky krypterte over 160 filer og ble spredt via falske e-poster med infiserte vedlegg. Brukerne falt for e-posten og installerte løsepengeviruset på datamaskinene sine. Denne metoden å spre virus på kalles nettfisking, og er en form av det som kalles sosial manipulasjon. Locky er rettet mot filtyper som ofte brukes av formgivere, utviklere, teknikere og testere.

WannaCry

WannaCry var et løsepengevirus som ble spredt til over 150 land i 2017. Det utnyttet en sårbarhet i Windows, og ble utviklet av NSA og lekket av datasnokgruppen Shadow Brokers. WannaCry rammet 230 000 datamaskiner over hele verden. Dette angrepet rammet en tredjedel av alle sykehusene i Storbritannia og førte til skader på 92 millioner pund. Brukerne ble låst ute og avkrevd løsepenger i bitcoin. Angrepet eksponerte problemet med utdaterte systemer, siden datasnoken utnyttet en sårbarhet i operativsystemet som lenge hadde hatt en tilgjengelig oppdatering på angrepstidspunktet. De økonomiske skadene til WannaCry var ca. 4 mrd. USD på verdensbasis.

Bad Rabbit

Bad Rabbit var et løsepengevirus som ble spredt via såkalte drive-by-angrep i 2017. Usikre nettsteder ble brukt til å gjennomføre angrepene. Med et drive-by-angrep med løsepengevirus besøker brukeren en ekte nettside, uten å være klar over at den er gjort utrygg av datasnoker. For de fleste drive-by-angrep er det eneste som kreves at brukeren åpner en side som har blitt kompromittert på denne måten. I dette tilfellet var det imidlertid et installasjonsprogram med skjult skadelig programvare som førte til infeksjon. Dette kalles en malware dropper. Bad Rabbit ba brukeren om å kjøre en falsk Adobe Flash-installasjon som infiserte datamaskinen med skadelig programvare.

Ryuk

Ryuk er en krypteringstrojaner som ble spredt i august 2018 og som slo av gjenopprettingsfunksjonen i Windows operativsystemer. Dette gjorde det umulig å gjenopprette de krypterte dataene uten ekstern sikkerhetskopi. Ryuk krypterte også nettverksstasjoner. Konsekvensene var enorme, og mange organisasjoner i USA som ble rammet, betalte løsepengene. De totale skadene er beregnet til over 640 000 USD.

Shade/Troldesh

Løsepengeviruset Shade eller Troldesh fant sted i 2015 og ble spredt via e-postsøppel med infiserte lenker eller vedlegg. Det interessante var at Troldesh-angriperne kommuniserte direkte med ofrene via e-post. Ofre de hadde fått «gode relasjoner» til, fikk rabatter. Denne typen adferd er imidlertid heller unntaket enn regelen.

Jigsaw

Jigsaw var et løsepengevirusangrep som startet i 2016. Angrepet fikk navnet fra et bilde som det viste av den berømte dukken fra Saw-filmene. For hver time løsepengene ikke var betalt, slettet Jigsaw-viruset flere filer. Bruken av bildet fra grøsserfilmen gjorde brukerne enda mer stresset.

Cryptolockers

CryptoLocker er et løsepengevirus som først ble sett i 2007 og som ble spredt via infiserte e-postvedlegg. Løsepengeviruset søkte etter viktige data på infiserte datamaskiner og krypterte dem. Rundt 500 000 datamaskiner skal ha blitt infisert. Politi og sikkerhetsselskaper greide etter hvert å få kontroll over et verdensomspennende nettverk av kaprede hjemmedatamaskiner som ble brukt til å spre CryptoLocker. Dette hjalp myndighetene og selskapene med å avskjære dataene som ble sendt over nettverket uten at de kriminelle la merke til det. Enden på visa var at en nettportal ble opprettet der ofrene kunne finne en nøkkel for å låse opp dataene sine. Dette gjorde det mulig å frigjøre dataene uten å betale løsepengene.

Petya

Petya (må ikke forveksles med ExPetr) var et løsepengevirus som gikk til angrep første gang i 2016 og ble gjenopplivet som GoldenEye i 2017. I stedet for å kryptere bestemte filer krypterte løsepengeviruset hele harddisken til brukerne. Dette ble gjort ved å kryptere Master File Table (MFT), som gjorde det umulig å få tilgang til filene på harddisken. Løsepengeviruset Petya ble spredt til personalavdelinger via et falsk program med en infisert Dropbox-lenke.

En annen variant av Petya er Petya 2.0, som har noen viktige forskjeller. Med tanke på hvordan angrepet ble gjennomført, er begge imidlertid kritiske for enheten.

GoldenEye

Gjenopplivingen av Petya som GoldenEye førte til en verdensomspennende infeksjon i 2017. GoldenEye, kjent som WannaCry sin «dødelige søster», rammet mer enn 2000 mål – blant annet prominente oljeprodusenter i Russland og flere banker. I en skremmende situasjon tvang GoldenEye personellet ved atomkraftverket i Tsjernobyl til å sjekke strålingsverdiene der, etter at de ble utestengt fra Windows-maskinene sine.

GandCrab

GandCrab er et smakløst løsepengevirus som truet med å avsløre ofrenes pornovaner. Det hevdet at det hadde brutt seg inn på offerets nettkamera, og krevde løsepenger. Hvis løsepengene ikke ble betalt, skulle det legge ut pinlige opptak av ofrene. Etter sin første opptreden i 2018 fortsatte løsepengeviruset GandCrab å utvikle seg til ulike versjoner. Som en del av initiativet «No More Ransom» utviklet sikkerhetsselskaper og politiet et krypteringsverktøy mot løsepengevirus for å hjelpe ofrene med å ta tilbake sensitive data fra GandCrab.

B0r0nt0k

B0r0nt0k er et krypteringsvirus som spesifikt angriper Windows- og Linux-baserte servere. Denne skadelige programvaren krypterer filene på en Linux-server og legger til filetternavnet RONTOK. Den skadelige programvaren utgjør ikke bare en trussel mot filene, men endrer også oppstartsinnstillinger, slår av funksjoner og programmer, og legger til oppføringer, filer og programmer i registeret.

Dharma Brrr

Brrr, det nye løsepengeviruset fra Dharma, installeres manuelt av datasnoker som bryter seg inn på skrivebordstjenester som er tilkoblet Internett. Så snart løsepengeviruset aktiveres av datasnoken, begynner det å kryptere filene det finner. Krypterte data får filetternavnet «.id-[id].[email].brrr».

FAIR RANSOMWARE

FAIR RANSOMWARE er et løsepengevirus som forsøker å kryptere data. Ved bruk av en kraftig algoritme krypteres alle offerets private dokumenter og filer. Filer som krypteres av denne skadelige programvaren får filetternavnet «.FAIR RANSOMWARE».

MADO

MADO er en annen type krypteringsløsepengevirus. Data som krypteres av dette løsepengeviruset, får filetternavnet «.mado», og kan ikke lenger åpnes.

Løsepengevirus som

Som allerede nevnt finner viruset ofre i alle samfunnslag. Vanligvis er løsepengene mellom $100 og $200. Noen ganger kan løsesummen være mye høyere – spesielt hvis angriperen vet at de låste dataene betyr et stort økonomisk tap for selskapet som angripes. Cyberkriminelle kan derfor tjene store pengesummer ved bruk av disse metodene. I de to eksemplene nedenfor er offeret viktigere enn typen løsepengevirus som brukes.

WordPress ransomware

WordPress ransomware angriper, som navnet antyder, filer på WordPress-nettsteder. Offeret utpresses for løsepenger, noe som er vanlig for løsepengevirus. Desto mer populært WordPress-nettstedet er, jo større sannsynlighet er det for at det angripes av cyberkriminelle som bruker løsepengevirus.

Wolverine-saken

Wolverine Solutions Group (et helseforetak) ble offer for et løsepengevirus i september 2018. Den skadelige programvaren krypterte en mengde av selskapets filer, slik at det ble umulig for de ansatte å åpne dem. Heldigvis fikk datatekniske eksperter dekryptert og gjenopprettet dem 3. oktober. Store mengder pasientdata ble imidlertid kompromittert i angrepet. Navn, adresser, helsedata og andre personopplysninger kunne havnet i hendene til cyberkriminelle.

Løsepengevirus som tjeneste

Løsepengevirus som tjeneste gir cyberkriminelle med lave tekniske ferdigheter muligheten til å gjennomføre angrep med løsepengevirus. Den skadelige programvaren kan kjøpes, noe som betyr lavere risiko og større gevinst for de som lager programvaren.

Konklusjon

Løsepengevirus kan ta mange ulike former, og opptrer i alle størrelser. Angrepsvektoren er en viktig faktor for typene løsepengevirus som brukes. For å beregne angrepets størrelse og omfang må man alltid vurdere hva som står på spill eller hvilke data som kan slettes eller publiseres. Uavhengig av typen løsepengevirus kan sikkerhetskopiering av data og riktig bruk av sikkerhetsprogramvare redusere intensiteten til angrepet i vesentlig grad.