Ransomware

Ransomware, på svenska även utpressningsprogram, utpressningsvirus^[1], gisslanprogram^[2] eller gisslanvirus, är en typ av skadlig programvara vars syfte är utpressning, ofta genom att ta filer som gisslan via kryptering. För att häva krypteringen eller återfå kontrollen över datorn kräver utpressningsprogrammet en lösensumma eller eventuellt annan handling som gynnar förövaren som ligger bakom programmet.

Informationsskärm från utpressningsprogramvaran WannaCry som tagit över en dator och krypterat filerna.

Karakteristik

Ett typiskt utpressningsprogram tar sig in i en dator via oförsiktig hantering av bilagor i e-post^[3], alternativt säkerhetshål i tjänster för fjärrstyrning av datorer^[4]. Det krypterar de filer det kan komma åt på datorn och eventuellt även på anslutna datorer i samma nätverk via säkerhetshål i dem (vilket var fallet med exempelvis WannaCry). En del ransomware visar endast en skärm som hindrar användaren från att använda datorn. Användaren märker ofta programvaran genom att datorn plötsligt bara kan visa en enda skärm eller webbsida, som förklarar hur man betalar för att låsa upp de krypterade filerna. När det gäller krypterande ransomware märker offret detta genom att filerna på datorn inte går att använda och ofta byts skrivbordsbakgrunden. I de flesta fall öppnas även ett program som berättar att offrets filer har blivit krypterade. Det visar även en nedräkning och betalningsinformation.

Vanligt är att lösensumman sätts till några tusental kronor för en enskild dator, men kan vara hundratals eller tusentals gånger högre om ett större företag eller myndighet angrips.^[5] För att stressa offren ökas kravet successivt efter en tidsfrist på ett par dagar. Som betalningsmetod väljs ofta en svårspårad valuta, exempelvis bitcoin. Då utpressaren ser att betalning har influtit signalerar denne ofta (det finns dock ingen garanti att datorn fungerar fast man betalar.^[6]) till programmet att låsa upp (dekryptera) offrets låsta filer eller skickar en nyckel för att användaren skall kunna göra det själv.

En variant av ransomware är så kallad doxware. I det fallet laddas innan krypteringen en utvald del av datorns filer upp till förövaren. Sedan hotas offret med att dessa filer (som kan vara privata eller konfidentiella) kommer att spridas offentligt om betalning inte görs.^[7] Eftersom det inte går att bekräfta att förövaren raderat filerna efter att eventuell betalning gjorts är det mycket tveksamt att förhandla med eller betala förövaren i syftet att hålla den komprometterade informationen hemlig.

Oavsett om ett ransomware utger sig för att läcka data eller inte bör filer, databaser, lösenord med mera lagrade på den angripna datorn anses som potentiellt läckta, detta då skadeprogrammet kan ha haft full kontroll över datorn och skickat information vart som helst. I början av 2020 blev det känt att vissa ransomwarespridande gäng börjat använda taktiken att läcka stulen data från attacker för att statuera exempel utifall offren inte betalar.^[8][9] Samtidigt används europeiska unionens dataskyddsdirektiv, GDPR, även i utpressningssyfte.^[10][11] Syftet är att pressa offren på en summa som är betydligt lägre än den sanktionsavgift myndigheterna skulle utfärda till dessa om en läcka blev offentligt bekräftad. Sanktionsavgifter för en större läcka av känslig data kan vara i storleksordningen miljontals euro, alternativt flera procent av ett storföretags omsättning.^[12]

Prevention

För att undvika att bli infekterad av ransomware bör man hålla sin dator säker på samma sätt som vad gäller all skadlig programvara. För ransomware hjälper det också att ha rutiner för säkerhetskopiering, så att man kan återskapa sina filer utan hjälp av utpressaren. Särskilt viktigt är att ha säkerhetskopior som svårligen kan påverkas av datorn som angrips, till exempel på flera olika externa hårddiskar (eller usb-minnen) som man regelbundet skiftar mellan, så att bara en hårddisk är fysiskt ansluten till datorn i taget. För sekretessklassade filer gäller det att helt undvika att ha dem på en dator som kan bli utsatt för attacker. Antingen kan man ha en skild enhet (till exempel en dator som inte är kopplad till Internet) eller ha dem på minnesstickor som man kopplar till datorn endast vid behov (och se till att de inte hamnar i olika mellanlager).

Man bör hantera okända filer och bilagor i inkommande e-post med mycket stor försiktighet, särskilt om avsändaren är okänd. En del e-postlösningar stoppar viss ransomware redan innan den anlänt till användares inkorg (genom lämpliga filter i e-postservern). ^[13]

Ett någorlunda uppdaterat operativsystem och antiviruslösning på den enhet som används är också viktigt, så att kända tidigare säkerhetshål som eventuellt kunnat utnyttjas av hackare är stängda.

Lösningar för fjärrstyrning av datorer, såsom VNC och Microsofts fjärrskrivbord i Windows, bör hållas ständigt uppdaterade och skyddas av mycket starka lösenord, om möjligt också tvåfaktorautentisering. För högsäkerhetstillämpningar kan det dessutom vara tillrådigt att placera sådana lösningar innanför ett extra säkerhetslager, till exempel SSH eller VPN. ^[14]

Historik

Det första exemplet på ransomware var AIDS-trojanen (PC Cyborg Trojan) från 1989, skriven av evolutionsbiologen Joseph Popp, som spred den genom en utdelning av 20 000 disketter till AIDS-forskare i 90 länder.^[15]

Den första stora ransomware-attacken var CryptoLocker under hösten 2013. Den andra var CryptoWall, som härjade under sommaren 2014. Enligt amerikanska FBI gav CryptoWall upphov till 992 anmälningar och rapporterade skador samt lösesummebetalningar på sammanlagt cirka 150 miljoner kronor.^[16] I juni 2016 meddelade kanadensiska University of Calgary att man betalat motsvarande 20 000 Canadadollar i lösesumma för att åter få tillgång till sina datafiler.^[17]

NHS, det brittiska hälsovårdsorganet (ungefär motsvarigheten till de svenska landstingen), angreps under 2017 av ransomwaret WannaCry som orsakade IT-relaterade skador motsvarande ungefär en miljard kronor och kan indirekt ha orsakat dödsfall på grund av de vårdtillfällen som drogs in i samband med attacken.^[18][19] I september 2020 dog en patient inom den tyska sjukvården som en direkt följd av en ransomwareattack.^[20]

Andra exempel på större allvarliga ransomwareattacker är den mot det stora energibolaget Norsk Hydro, som i mars 2019 påverkade hela deras produktion globalt och i slutändan ledde till finansiella skador på cirka 700 miljoner kronor. ^[21][22]. Garmin, en stor tillverkare av bland annat GPS-utrustning och smartwatches, angreps i juli 2020 av en rysk hackergrupp som begärde cirka 100 miljoner kronor för återställning av deras system, en summa som senare sannolikt betalades till förövarna. ^[23][24]

Referenser

1. ^ Pablo Dalence. "70-tal datorer utslagna i cyberattack", sverigesradio.se, 12 maj 2017. Åtkomst den 15 maj 2017.
2. ^ Joel Westerholm. "Sverige lindrigt drabbad av nätattacken", sverigesradio.se, 28 juni 2017. Åtkomst den 29 juni 2017.
3. ^ ”Postnord-bedragarna vägrar ge sig – ny våg av bluffmejl som kan kapa din dator”. IDG.se. https://www.idg.se/2.1085/1.648597/postnord-bluff-bedrageri-trojan. Läst 14 juli 2019. 
4. ^ ”Ransomware-spreading hackers sneak in through RDP” (på engelska). Naked Security. 15 november 2017. https://nakedsecurity.sophos.com/2017/11/15/ransomware-spreading-hackers-sneak-in-through-rdp/. Läst 14 juli 2019. 
5. ^ Gibbs, Samuel (3 augusti 2017). ”WannaCry: hackers withdraw £108,000 of bitcoin ransom” (på brittisk engelska). The Guardian. ISSN 0261-3077. https://www.theguardian.com/technology/2017/aug/03/wannacry-hackers-withdraw-108000-pounds-bitcoin-ransom. Läst 14 juli 2019. 
6. ^ ”Ransomware facts - Microsoft Malware Protection Center”. www.microsoft.com. https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx. Läst 30 november 2016. 
7. ^ Demisto, Rishi Bhargava, Co-founder and VP Marketing (27 februari 2017). ”The latest ransomware threat: Doxware” (på engelska). Network World. https://www.networkworld.com/article/3174678/the-latest-ransomware-threat-doxware.html. Läst 13 juli 2019. 
8. ^ ”Sodinokibi gör verklighet av gisslanhoten – publicerar stulna data”. Computer Sweden. https://computersweden.idg.se/2.2683/1.729071/sodinokibi-stulna-data. Läst 18 januari 2020. 
9. ^ Gallagher, Sean (7 februari 2020). ”Why you can’t bank on backups to fight ransomware anymore” (på amerikansk engelska). Ars Technica. https://arstechnica.com/information-technology/2020/02/why-you-cant-bank-on-backups-to-fight-ransomware-anymore/. Läst 11 februari 2020. 
10. ^ ”Sodinokibi Ransomware Publishes Stolen Data for the First Time” (på amerikansk engelska). BleepingComputer. https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-publishes-stolen-data-for-the-first-time/. Läst 13 januari 2020. 
11. ^ https://techworld.idg.se/2.2524/1.736899/kraftig-okning-av-mongodb-attacker-som-utnyttjar-gdpr
12. ^ ”GDPR Penalties and Fines | IT Governance Sweden”. www.itgovernance.eu. https://www.itgovernance.eu/sv-se/dpa-and-gdpr-penalties-se. Läst 13 januari 2020. 
13. ^ Morgan, Steve (8 november 2017). ”Businesses switch to Gmail for ransomware, spear-phishing protection” (på engelska). CSO Online. https://www.csoonline.com/article/3236557/businesses-switch-to-gmail-for-ransomware-and-spear-phishing-protection.html. Läst 15 januari 2020. 
14. ^ ”Tusentals svenska företag öppna för gisslanattacker”. TechWorld. https://techworld.idg.se/2.2524/1.713548/svenska-foretag-gisslansattacker. Läst 15 januari 2020. 
15. ^ ”The Computer Virus That Haunted Early AIDS Researchers” (på engelska). The Atlantic. 10 maj 2016. https://www.theatlantic.com/technology/archive/2016/05/the-computer-virus-that-haunted-early-aids-researchers/481965/. Läst 25 oktober 2017. 
16. ^ Konsultrapport april 2016
17. ^ Pressmeddelande om lösesummebetalning
18. ^ https://www.telegraph.co.uk/technology/2018/10/11/wannacry-cyber-attack-cost-nhs-92m-19000-appointments-cancelled/
19. ^ https://www.imperial.ac.uk/news/193151/nhs-cyber-attacks-could-delay-life-saving-care/
20. ^ ”Patient avled efter ransomware-attack mot sjukhus”. TechWorld. https://techworld.idg.se/2.2524/1.739684/avliden-ransomware-sjukhus. Läst 18 september 2020. 
21. ^ https://news.microsoft.com/transform/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/
22. ^ https://www.sentor.se/nyheter/ny-vag-av-ransomware-staller-till-med-problem/
23. ^ https://techworld.idg.se/2.2524/1.737647/garmin-utslaget-av-ransomwareattack
24. ^ Aug 2020, Matthew Humphries 4; P.m, 2:41 (4 augusti 2020). ”Report: Garmin Paid the Ransomware Demand” (på brittisk engelska). PCMag UK. https://uk.pcmag.com/encryption/128032/report-garmin-paid-the-ransomware-demand. Läst 18 september 2020.