Ransomworms är nästa stora hot

Reportage 2017-05-29
Wannacry är den ransomworm som hittills fått störst global spridning. Attacken inleddes i mitten av maj med kostsamma följder för många verksamheter.
Henrik Rådmark
Journalist

Randomware är viruset som inte bara infekterar datorer och smartphones utan också krypterar allt innehåll. Uppgifterna blir oläsliga och oanvändbara för användaren och företaget. Endast genom att betala en lösensumma får den drabbade tillgång till nyckeln som låser upp krypteringen.

”En lösning är att webbläsaren körs i en isolerad miljö, en container, som förhindrar skadlig kod från att sprida sig vidare.”

— ANDERS KARLSSON,
säkerhetsexpert, Atea.

Ransomware är illa nog, men det blir värre. Nästa generation av tekniken kallas för ransomworms.

– Attacken med viruset Wannacry i maj drabbade främst verksamheter som inte uppdaterat sina operativsystem med de senaste säkerhetsfunktionerna, säger Anders Karlsson, lösningsarkitekt på Atea med fokus på säkerhet.

En ransomworm tar sig in i ett nätverk och sprider sig till alla enheter som är anslutna till det, innan den börjar kryptera innehållet på dem.

– Det kan ta flera månader innan den aktiveras, förklarar han.

Medan ett traditionellt ransomware-virus attackerar en enda enhet och krypterar informationen på den, kan alltså maskvarianten drabba hundratals enheter i ett nätverk. Samtidigt.

– Även om du har säkerhetskopior tar det flera veckor att återställa dem när det rör sig om 200-300 enheter, säger Anders Karlsson.

Ordlista

Ransomware. Kod som infekterar och krypterar information på en digital enhet.

Ransomworm. Kod som infekterar en enhet och därefter sprider sig till övriga enheter i nätverket och krypterar all data på dem.

RaaS. Ransomware as a service. Vem som helst kan köpa en attack som en tjänst. Allt som krävs är pengar i form av bitcoins som inte går att spåra till någon individ.

Eftersom ransomware-masken kan leva flera månader i nätverket innan krypteringen sker finns den också i de säkerhetskopior som tas under perioden. För att bli av med masken måste en äldre kopia än den allra senaste läsas tillbaka. Allt arbete som gjorts från nätverket blev infekterat tills dess att informationen krypterades går förlorad.

– Det kan röra sig om ett par månaders arbete som blir obrukbart.

Han ser också en utveckling där cyberbrottslingarna inte nöjer sig med att kryptera innehållet, utan också stjäl en kopia av det. Kopian använder de för att säkerställa att det drabbade företaget verkligen betalar och inte bara läser tillbaka sina säkerhetskopior. Vid utebliven betalning sprider förövarna helt enkelt informationen öppet på internet.

Det är en mörk bild som Anders Karlsson målar upp. Medan en attack av ett ransomware kan drabba hårt är det ingenting i jämförelse med den skada maskvarianten kan ställa till med.

– Får du ett ransomware på en dator kan du förhållandevis enkelt ta bort det och läsa tillbaka informationen från en säkerhetskopia. Men om samma sak händer med hundratals datorer och även servrar blir effekterna mycket tidsödande och kostsamma.

Dessutom påpekar han att de skydd som används idag inte är tillräckliga. De bygger på att den skadliga koden måste se ut på ett visst sätt för att den ska gå att upptäcka. Nätkriminella behöver bara hitta ett nytt sätt att packa den skadliga koden för att den ska undgå upptäckt.

7 av 10 drabbade företag betalar
  • 70 procent av de företag som drabbas av ransomware betalar lösensumman.
  • I hälften av fallen låg lösensummorna på över 10 000 dollar.
  • I en femtedel av fallen betalade företagen över 40 000 dollar.

Källa: IBM X-Force research, 2016.

– Vi måste tänka om och tänka nytt. Eftersom det inte går att stoppa koden måste du hindra den från att nå känsliga system. Därför har en del företag börjat jobba med skydd som innebär att du segmenterar bort webbläsare och dokument, säger Anders Karlsson.

Enkelt förklarat innebär det att webbläsaren körs i en isolerad miljö i datorn, en så kallad container. Även om skadlig kod når datorn via webbläsaren kommer den aldrig vidare och kan därmed inte ställa till med någon skada. Detsamma gäller bilagor till e-post som kan vara smittade.

– Microsoft är en av de leverantörer som har förstått att det här är rätt väg att gå. Snart lanseras Windows Defender Application Guard för Microsoft Edge som en funktion i Windows 10 Enterprise, som gör just detta. Redan idag finns Windows Credential Guard som skyddar användarens inloggningsuppgifter på motsvarande sätt, säger Anders Karlsson.

Teknik är förvisso avgörande för att skapa hög säkerhet och förhindra attacker. Men oavsett hur sofistikerade lösningar ett företag använder kommer det aldrig att kunna skapa ett hundraprocentigt skydd. Ett stort ansvar kommer alltid att vila på användarna. Där spelar information och utbildning en avgörande roll för att informera om hur man behöver agera som användare.

Atea.se upplevs bättre om du uppdaterar din webbläsare. Här hittar du en ny version av internet explorer