Evolutionen bakom ransomware

I maj skakades hela världen av en ransomware-attack känd som ”WannaCry”.

I juni var dags igen. Verizons Threat Reasearch Advisory Center har i samband med händelserna sett tillbaka på hur ransomware har utvecklats under de senaste åren:

1989 – 2005, ”Gpcode”

Ransomware har utvecklats en hel del över åren. Malware-delen har funnits med sedan 1989 och den nuvarande vågen går tillbaka till 2005 med en variant som kallas ”Gpcode” som använde en egen skräddarsydda kryptering som enkelt kunde brytas.

2006, ”Cryzip”, lösenordskyddade zip-arkiv

Under 2006 sågs en annan ransomware-variant, ”Cryzip”, som kopierade filer till lösenordskyddade zip-arkiv och raderade originalen. Cryzip var också enkel att bekämpa.

2008 – 2009, ”Randsom”, betala för att ta bort påhittat malware

Från 2008 till 2009 skiftade ransomware mot falska antivirus-applikationer som krävde användare att betala för att ta bort påhittat malware från deras enhet. Det fanns även under perioden malware som kallades ”Randsom” som härmade ett felmeddelande i Windows där offer ombads ringa ett kostsamt telefonnummer för att få tillbaka kontrollen över systemet.

2012, ”Lyposit” och falska polismeddelanden om åtal

Under 2012 skiftade trenden mot meddelanden som såg ut att komma från polis och myndigheter för att skrämma folk att betala en lösensumma för att undvika ”åtal”. Denna ransomware kallades för ”Lyposit”.

2013, Crypto-malware, ”CryptoLocker”, attacker mot Safari och Android

Under 2013 skedde stora förändringar inom ransomware, inklusive falsk ”crypto-malware” som krävde en betalning på 300 dollar riktad mot webbläsaren Safari på Max OSX.

En trojan för bankuppgifter som riktade sig mot Android-enheter utvecklades under 2014 till ransomware som låste ute användare från sina enheter. Den första varianten av ”CryptoLocker” spreds av skumma hemsidor eller som del av phising-attacker som en bilaga med e-post, fler versioner av CryptoLocker började även spridas.

2014,”CryptoWall”, en av de mest skadliga versionerna av ransomware

Under 2014 såg vi en av de största och mest skadliga varianterna av ransomware, ”CryptoWall”, vilken riktade in sig på sårbarheter i Java. Denna spreds genom skadliga annonser på populära hemsidor, även känt som ”malvertizing”. Enligt Verizon Data Breach Report 2014 var ransomware den 22:a mest vanliga sorten av skadlig kod.

2015 ”CryptoWall” ökar och crypto-malware ”as-a-service” tillkommer.

Vid 2015 gick CryptoWall om CryptoLocker som den vanligaste typen av ransomware-infektion. Nytt för 2015 var även crypto-malware ”as-a-service” som ”Tox”, ”Fakeben” och ”Radamant”. Under mitten av 2015 kom även ”CryptoWall 3.0” tillsammans med ”TeslaCrypt V2”. TeslaCrypt var först med att rikta in sig på spelfantaster och spelrelaterat innehåll.

2016, ransomware ökar stort, Javabaserat ransomware och rubriker i media

I DBIR 2016 sågs en ökning på 50 % för ransomware som då rankade högst i brottskategorin. Ransomware ökade även till den femte mest vanliga typen av malware.

Nya varianter under 2016 inkluderade bl.a. ”Ran-som32”, den första Java-baserade skadliga koden som fungerar på flera plattformar. ”7ev3en”-varianten ökade på förödelsen i påverkade system utöver lösensumman. ”Locky” var den dominerande varianten av ransomware att användas i phising-kampanjer med ”Dridex”-trojanen. Locky skapade också rubriker när den påverkade flera organisationer inom sjukvården. År 2016 var stort för nya typer av ransomware:

  • ”SamSam”, vilken riktade in sig på sårbara JBoss-servrar exponerade mot webben och utnyttjade kommunikation i realtid mellan förövare och offer genom TOR.
  • ”KeRanger” gav oss också den första OSX-baserade skadliga koden, vilken följde med Bit Torrent-klienten ”Transmission”.
  • ”Petya” utnyttjade DropBox för att sprida sig och siktade inte in sig på separata filer utan på ”DropBox Master Boot Record” (MBR) för att kryptera hela disken.
  • ”Zcryptor” var den första av s.k., ”Cryptoworms” med teknik för att föröka sig själv för att infektera externa enheter och andra system på nätverket samtidigt som den krypterade varje maskin och delad disk också i sin väg.

2017, Open source för ransomware

Under 2017 ser vi fler varianter på samma tema eftersom brottslingarna använder open source för ransomware för att skapa sina egna versioner likväl som att uppdatera de varianter som har fungerat bra över åren. En sak som är klar, är att problemet inte kommer att försvinna snart.

Rekommendationer för att förhindra och minska

  • Utbilda användare och personal att känna igen och rapportera in phising och andra misstänkta aktiviteter i systemen
  • Håll de värdbaserade och företagsversionerna av anti-virus uppdaterade
  • Lappa tredjepartsapplikationer så snart som möjligt
  • Ta bort lokala administratörsrättigheter
  • Sätt in File Integrity Monitoring (FIM)-lösning
  • Testa och validera backup av data
  • Sätt fildelning till read only-läget

Upptäckt och försvar

  • Blockera åtkomst till C2-servrar
  • Kolla krypterade filer för att identifiera användare mot potentiella infekterade system offline
  • Blockera kända phising-mail från mailkorgar, blockera vissa bilagor.
  • Sätt in Group Policy Objects (GPOer) för att blockera körbara filer och blockera macron.