Ransomware trusselens historie: Fortid, nåtid og fremtid

Vi tar en kikk på ransomwares historie og hvordan det har utviklet seg gjennom årene.

Det massive WannaCry malware angrepet i mai 2017 skapte overskrifter verden over og skapte et nytt begrep i dagligtalen – Ransomware.

I cybersikkerhet og teknologiske miljø har dog ransomware vært et tema i lang tid allerede. Faktisk er det slik at, over det siste tiår, har ransomware vært den mest produktive og gripende cybertrusselen som finnes. I følge amerikanske myndigheter har det vært flere ransomware angrep siden 2005 enn databrudd.

Kanskje det er det faktumet at ransomwareangrep tradisjonelt sett ikke har vært globalt i skala som er årsaken til at det har holdt seg under radaren for offentligheten. WannaCry endret alt det. Det påvirket over 300,000 maskiner verden over og skapte overskrifter for å ha brakt ned noen større institusjoner, blant annet Storbritannias National Health Service (NHS).

Dersom WannaCry var typen cyberangrep i stor skala i stand til å få verden til å sette seg opp og legge merke til trusselen, indikerer det at det kan være en forvarsel på fremtidige trusler. Ettersom ormene som brukes for å spre ransomware blir enda mer sofistikerte og metodene brukt for å distribuere dem enda mer effektive, blir sannsynligheten for større angrep større.

I denne artikkelen vil vi ta en kikk på ransomwares historie, spore dens utvikling og følge den til den dukket fram fra skyggene som en av de største cybersikkerhetstruslene i moderne tid. Vi vil kartlegge kritiske hendelser, de forskjellige metodene som ble brukt, de store innovasjonene som ledet opp til den nylige tilstanden med globale angrep, før vi tar en kikk på hva vi kan forvente i fremtiden.

Hva er Ransomware?

For det første, noen definisjoner. Ransomware er en gruppe malware spesifikt designet for økonomisk gevinst. Med ulikt virus brukt i hackeangrep, er ikke ransomware designet for å få tilgang på en maskin eller IT system for å stjele data. Det forsøker heller ikke å lure ofre for penger, noe som andre falske antivirus «scareware» og phising svindler.

Dessverre for ofrene, er effektene av ransomware svært ekte.

Ransomware fungerer ved å forstyrre driften til et datasystem og gjør det ubrukelig. Gjerningsmennene sender deretter en beskjed om løsepenger til eierne, og krever penger for å reversere endringene.

De fleste eksempler på ransomware faller inn i en av to kategorier. Enkelte ransomware virus vil låse en bruker ute fra hans enhet, ved å fryse CPU-en, ta over brukerverifikasjonssystemet, eller en lignende metode. Andre typer ransomware, vanligvis referert til som krypto-ransomware, vil i stedet kryptere lagringsdiskene og innholdet, og gjøre det umulig å åpne mapper og filer eller kjøre programmer.

I de fleste tilfeller, når en del av ransomware kjøres på et system, vil det også utløse utsendelse av løsepengemeldingen. Denne kan dukke opp på skjermen til et låst system, eller i tilfellet av et krypto-angrep, til og med bli sendt via epost eller direktemelding til offeret.

Ransomware forhistorie

AIDS Trojan

Den første alment anerkjente ransomware hendelsen kom faktisk over 20 år før trusselen vi ser i dag. I 1989, var en akademiker fra Harvard med navn Joseph L Popp på en World Health Organization konferanse angående AIDS. Som forberedelse til konferansen, skapte han 20,000 disketter for sending til delegatene, som han kalte «Aids Informasjon – Introduksjonsdisketter.»

Det de intetanende delegatene ikke innså var at diskettene faktisk inneholdt et virus, som, etter at innholdet på disketten ble kjørt, forble skjult på offerets maskin i en stund. Etter 90 omstarter, aktiverte viruset seg og krypterte filer og skjulte kataloger. En beskjed ble vist som informerte brukeren om at deres system ville returnere til normalt etter de sendte $189 til en postboks i Panama.

Dr. Popp’s oppfinnsomhet var forut sin tid, og det tok 16 år før noen videreførte ransomware ideen hans og skapte kaos med det på internett. Popp ble arrestert, men ble ikke stilt for retten grunnet svak mental helse.

2005: År null

Ved tiden de neste eksemplene på ransomware dukket opp, hadde Dr. Joseph L Popp vært glemt i lang tid og datamaskin-verden hadde blitt forvandlet av internett. Med alle sine fordeler, gjorde internett distribusjon av alle typer malware mye enklere for cyberkriminelle, og årene ga programmerere tid til å utvikle kraftigere krypteringsmetoder enn de brukt av Dr. Popp.

GPCoder

En av de første eksemplene på ransomware distribuert på nett var DPCoder Trojanen. Først identifisert i 2005, GPCoder infiserte Windows systemer og rettet seg mot forskjellige typer filer. Etter de ble funnet, ble filene kopiert i kryptert form og originalene ble slettet fra systemet. De nye krypterte filene ble uleselige, og bruken av sterk RSA-1024 kryptering sørget for at forsøk på å låse dem opp hadde svært lav sjanse for å lykkes. En beskjed ble vist på brukerens hjemskjerm, som henviste dem til en.txt fil lagt på deres skrivebord, som inneholdt detaljene på hvordan løsepengene kunne betales og låse opp de påvirkede filene.

Archievus

Det samme året GPCoder ble identifisert, dukket en annen trojan som også brukte 1024-bit RSA kryptering opp. I stedet for å rette seg mot enkelte kjørbare filer og filutvidelser, krypterte Archievus enkelt og greit alt som befant seg i offerets mine dokumenter mappe. I teorien betydde dette at offeret kunne fortsette å bruke maskinen og filer lagret i andre mapper. Men siden de fleste lagrer mange av deres viktigste filer, inklusiv arbeidsdokumenter, i mine dokumenter mappen som standard, var effekten fortsatt ødeleggende.

For å bli kvitt Archievus, ble ofre henvist til en nettside hvor de måtte kjøpe et 30-sifret passord – vanskelig å gjette seg frem til den.

2009 – 2012: Inntekter

Det tok en stund for disse unge formene av ransomware å få oppmerksomhet i miljøer for cyberkriminalitet. Inntektene fra trojanere som GPCoder og Archievus var relativt lave, hovedsakelig fordi de var lette å oppdage og fjerne for antivirus program, som betydde at deres holdbarhet for å tjene penger var kort.

Hovedsakelig så foretrakk cybergjenger på den tiden å holde seg til hacking, phising og lure folk med falske antivirus svindler.

De første tegnene på forandring dukket opp i 2009. Det året startet et kjent «scareware» virus kjent som Vundo med nye taktikker og begynte å fungere som et ransomware. Tidligere hadde Vundo infisert datasystemer og deretter utløst sin egen sikkerhetsalarm som henviste brukere til en falsk løsning. Dog i 2009 merket analytikere at Vundo hadde startet å kryptere filer på offeres maskiner, og solgte en genuin motgift for å låse dem opp.

Dette var den første indikasjonen på at hackere startet å føle på at det var muligheter til å tjene penger på ransomware. Hjulpet av spredningen av anonyme betalingsmetoder, ble det også enklere å motta løsepenger i stor skala. Pluss, selvsagt, at selve ransomwaret ble stadig mer sofistikert.

Ved 2011, hadde små drypp blitt til kraftig regn. I det første kvartalet det året, ble det oppdaget 60 000 nye ransomware angrep. Ved første kvartal i 2012, hadde det økt til 200 000. Ved slutten av 2012, estimerte Symantec forskere at ransomware svartebørsen var verdt $5 millioner.

Trojan WinLock

I 2011 dukket en ny form for ransomware opp. WinLock Trojan er ansett som det første utbredte eksempelet på det som ble kjent som «låser» ransomware. I stedet for å kryptere filer på offerets enhet, gjør en låser det umulig å logge på maskinen.

WinLock Trojanen startet en trend for ransomware som imiterte genuine produkter, som et echo av den gamle scareware taktikken. Det infiserte Windows systemer og kopierte Windows produktaktiveringssystemet og låste brukere ute til de kjøpte en aktiveringsnøkkel. I tillegg fortalte beskjeden på den falske aktiveringsskjermen at deres Windows-konto måtte reaktiveres grunnet svindel, og deretter guidet dem videre til å ringe et internasjonalt nummer for å løse problemet. Telefonnummeret var maskert som tollfritt, men førte faktisk til en stor regning som antagelig gikk rett i lomma til de kriminelle bak malwaren.

Reveton og «politi» ransomware

En variasjon når det kommer til programmer som imiterer andre produkter for å lure offre til å betale, var det såkalte «politi» ransomwaret. I disse angrepeneville malwaren rette seg mot infiserte systemer og gi beskjeder som den hevdet var fra politiet, og at de konstaterte at det hadde blitt funnet bevis for at den påvirkede enheten var brukt til ulovlige aktiviteter. Enheten ville bli låst som en form «konfiskering» helt til en form for bestikkelse eller bøter ble betalt.

Disse eksemplene ble ofte distribuert via pornosider, fildelingstjenester og andre webplattformer som kunne brukes for ulovlige formål. Ideen bak det var uten tvil å skremme eller få ofrene til å føle skam og dermed betale før de fikk kjangs til å tenke rasjonelt om trusselen om tiltale var genuin eller ikke.

For å få angrepene til å virke mer autentiske og truende, ble politi ransomwaret ofte tilpasset etter offerets lokasjon, vise deres IP adresse, eller i noen tilfeller vise direktevideo fra webkameraet deres, som impliserte at de ble overvåket og at opptak ble gjort.

En av de mest berømte eksemplene på politi ransomware er kjent som Reveton. Reveton ble I utgangspunktet spredt gjennom Europa, men stammer ble så utbredt at det også begynte å dukke opp i USA, hvor ofre ble fortalt at de var under overvåkning fra FBI og kommandert til å betale en $200 «bot» for å få enheten låst opp igjen. Betalingen ble gjort gjennom forhåndsbetalte elektroniske tjeneste som MoneyPak og Ukash. Denne taktikken ble adoptert av andre politi ransomware som Urausy og Kovter.

2013 – 2015: Tilbake til kryptering

I det andre halvåret i 2013, kom en ny variant av krypto-ransomware som tegnet en ny strek i sanden i cybersikkerhetskampen. CryptoLocker endret spillet for ransomware p[ flere m[ter. For det første, brydde den seg ikke med spillene og triksene som tidligere scareware og politi ransomware. CryptoLockers programmerere var svært direkte om hva de holdt på med og sende en skarp beskjed til ofrene at filene deres hadde blitt kryptert og ville bli slettet dersom løsepenger ikke ble betalt innen tre dager.

For det andre demonstrerte CryptoLocker makten cyberkriminelle nå hadde var betraktelig sterkere enn tidligere. Ved bruk av C2 servere på det skjulte Tor nettverket, var CryptoLockers programmerere i stand til å generere en 2048-bit RSA offentlig og privat nøkkelkryptering for å infisere filer med spesifiserte filnavn. Dette fungerte som en dobbeltbinding – personer som så etter den offentlige nøkkelen som en base for å finne ut hvordan å dekryptere filene ville møte på vanskeligheter siden de var skjult på Tor nettverket, mens den private nøkkelen beholdt av programmererne var ekstremt sterk i seg selv.

For det tredje, kom CryptoLocker med en nyskapning på måten det ble distribuert på. Infeksjonen spreddes i utgangspunktet via Gamerover Zeus botnettet, et nettverk av infiserte «zombiemaskiner» spesifikt brukt for å spre malware over internett. CryptoLocker, ble derfor det første eksempelet på ransomware som ble spredt via infiserte websider. CryptoLocker ble også spredt via «spear phising» spesifikke epostvedlegg sendt til bedrifter for å se ut som en kundeklage.

Alle disse funksjonene har blitt en dominerende karakteristikk for ransomware angrep siden, grunnet hvor vellykket CryptoLocker var. De krevde $300 for å dekryptere infiserte systemer og det er anslått at utviklerne tjente så mye som $3 millioner.

Onions og Bitcoins

CryptoLocker ble for det meste satt ut av spill i 2014 når Gameover Zeus botnettet ble tatt ned, men på det tidspunktet var det flere imitatorer klare til å ta over stafettpinnen. CryptoWall var den mest betydelige, den brukte den samme RSA offentlig-private nøkkelkrypteringen generert bak kulissene til Tor nettverket, og distribuert via phising svindler.

The Onion Router, også kjent som Tor, begynte å spille en enda større rolle i utviklingen og distribueringen av ransomware.. Navngitt etter måten den ruter internettrafikk rundt i et komplekst globalt servernettverk, nemlig at den er anordnet på lik måte som lagene i en løk. Tor er et anonymitetsprosjekt satt opp for å hjelpe folk med å holde deres nettaktivitet privat. Dessverre har dette tiltrekket cyberkriminelle ivrige på å skjule deres aktiviteter fra myndighetene, og det er årsaken til at Tor har fått en såpass stor rolle i ransomwares historie.

CryptoWall bekreftet også den voksende rollen Bitcoin hadde når det kom til ransomware angrep. Ved 2014, var kryptovalutaen den foretrukkede betalingsmetoden. Forhåndsbetalt elektronisk kreditt var anonymt, men vanskelig å anvende uten hvitvasking, mens Bitcoin kunne brukes på nett som en ordinær valuta for å handle og kjøpe direkte.

Ved 2015, var det estimert at CryptoWall alene hadde generert $325 millioner.

Android angrep

Et annet stort steg i ransomware historien var utviklingen av versjoner som rettet seg mot mobile enheter. Disse ble eksklusivt rettet mot Android enheter i starten, ved bruk av Androids open source kode.

Det første eksempelet dukket opp i 2014 og kopierte politi-ware formatet. Sypeng, som infiserte enheter via en falsk Adobe Flash oppdateringsbeskjed, låste skjermen og viste en falsk FBI beskjed som krevde $200. Koler var et lignende virus som ble kjent for å være en av de første eksemplene på en ransomware orm, et selvreplikerende malware som skapte sine egne distribusjonsbaner. Koler ville automatisk sende en beskjed til alle i en infisert enhets kontaktliste, med en nedlastingslenke til ormen.

På tross av navnet, var SimplLocker en tidlige versjon av krypto-rasnomware for mobiler, med majoriteten av andre brukte utlåsningsangrep. En annen innovasjon som ankom med Android ransomware var fremveksten av DIY verktøykasser som hvem som helst kunne kjøpe på nett og konfigurere selv. Et tidlig eksempel på et slikt kit var basert på Pletor Trojanen, som ble solgt for $5000 på nett.

2016: Trusselen utvikler seg

2016 var et stort år for ransomware. Nye metoder for levering, nye plattformer og nye typer malware ble til sammen en alvorlig trussel som dannet grunnlaget for de massive globale angrepene som følget.

CryptoWall utviklingen

I motsetning til mange eksempler på ransomware som har deres dag i solen og deretter nøytraliseres av en eller annen fix, ble aldri trusselen fra CryptoWall borte. Utviklet gjennom fire distinkte utgivelser, pionerte CryptoWall teknikker imitert av andre typer ransomware, som replikering av registry nøkkeloppføringer slik at malwaren lastes inn ved hver omstart. Dette er smart siden malware ikke alltid kjøres med en gang og heller venter til den kan koble til den eksterne serveren som inneholder krypteringsnøkkelen. Automatisk lasting ved omstart maksimerer sjansene for at dette skjer.

Locky

Med sin aggressive phising-baserte distribusjon, satte Locky en presedens etterfulgt av andre som WannaCry for sin store hastighet og skala på distribusjonen. Når det var på topp, ble det rapportert at det infiserte 100,000 nye systemer om dagen, ved bruk av franchise systemet først brukt av Android verktøykasser for å insentivere flere og flere kriminelle til å bli med på distribueringen. Det bebudet også WannaCry angrepet ved å rette seg mot leverandører av helsetjenester, da skaperne oppdaget at viktige offentlige tjenester var raske til å betale løsepenger for å få systemene tilbake i drift.

Multiplattform

I 2016 kom også de første ransomware skriptene som påvirket Mac systemer. KeRanger var spesielt plagsom siden den krypterte Time Machine backup i tillegg til vanlige Mac filer, dermed ble det ikke mulig å kjøre gjenoppretting fra backup, noe som er vanlig å gjøre når et problem oppstår.

Kort tid etter KeRanger, dukket det første ransomwaret opp som hadde kapasitet til å infisere flere operativsystem. Programmert i JavaScript, Ransom32 hadde i teorien kapasitet til å påvirke enheter kjørt på Windows, Mac eller Linux.

Kjente trusselsårbarheter

Såkalte «exploit kits» er malwareleveringsprotokoller som retter seg mot kjente feil i populære programvarer for å sette inn virus. Angler kit er et eksempel som ble brukt for ransomwareangrep så tidlig som i 2015. Ting eskalerte i 2016, med flere høyprofilerte ransomware virus som målrettet seg mot sårbarhetene i Adobe Flash og Mirosoft Silverlight – en av dem var CryptoWall 4.0.

Cryptoorm

Etterfulgt innovasjonen fra Koler virusset, ble cryptoormer del av ransomware mainstreamen i 2016. Et eksempel er ZCryptor ormen først rapportert av Microsoft. Den spredde seg først gjennom spam-phisingangrep. ZCryptor var også i stand til å spre seg automatisk gjennom enheter tilkoblet nettverk ved å selvreplikere og selvkjøre.

2017: Året ransomware ble ødelagt

Gitt den hurtige utviklingen og sofistikeringen samt skalaen av ransomware angrep i 2016, trodde mange cybersikkerhet analytikere at det kun var snakk om tid før en kritisk global hendelse ville oppstå. WannaCry bekreftet den bekymringen og skapte overskrifter over hele verden. Men WannaCry er ikke den eneste ransomwaretrusselen dette året.

WannaCry

Den 12 mai 2017, slo ransomware ormen kjent som WannaCry til i Spania, og påvirket med det de første ofrene. Innen få timer hadde den spredt seg til hundrevis av maskiner i over 20 land. Noen dager senere, hadde totalen strekt seg lenger enn en kvart million, som gjorde WannaCry til det største ransomwareangrepet i historien og sørget for at verden våknet opp og rettet oppmerksomheten mot trusselen.

WannaCry er en forkortelse for WannaCrypt, som henviser til det faktum at WannaCry er crypto-ware. Mer spesifikt er det en cryptoorm, som har muligheten til å replikere og spre seg automatisk.

Det som gjorde WannaCry så effektivt og sjokkerende for offentligheten, var hvordan den spredde seg. Det var ingen phisingsvindler, ingen nedlastinger fra kompromitterte botnet sider. I stedet, markerte WannaCry en ny fase i ransomware ved å målrette seg mot kjente sårbarheter i maskiner. Det var programmert til å tråle nettet for maskiner som kjørte eldre versjoner av Windows Server – som hadde et kjent sikkerhetshull – og infisere dem. Etter det hadde infisert en maskin på et nettverk, søkte det raskt etter andre med samme feil og infiserte dem også.

Dette er metoden WannaCry brukte for å kunne spre seg såpass raskt, og det er årsaken til at det er spesielt kraftig i angrep på systemene til store organisasjoner, inklusiv banker, transportmyndigheter, universiteter og offentlige helsetjenester, som NHS i Storbritannia. Det er grunnen til at det ble så mange overskrifter.

Men det som sjokkerte mange var det faktum at sårbarheten som WannaCry utnyttet i Windows faktisk hadde blitt identifisert av Amerikanske National Security Agency (NSA) flere år tidligere. Men i stedet for å advare verden om det, holdt NSA stille og utviklet sin egen utnyttelse for å bruke svakheten som et cybervåpen. WannaCry var i effekt bygd på et system utviklet av en stats’ sikkerhetsbyrå.

Petya

Like bak WannaCry kom et annet transkontinentalt ransomwareangrep som brakte ned tusenvis av maskiner i alle fire verdenshjørner. Kjent som Petya, det som var bemerkelsesverdig om dette angrepet var at det brukte nøyaktig samme Windows sårbarhet som WannaCry, som viste nøyaktig hvor mektig NSAs planlage cybervåpen kunne ha vært. Det viste også, på tross av en sikkerhetsoppdatering som var lett tilgjengelig etter WannaCry angrepet, hvor vanskelig det er å få brukere til å holde systemet oppdatert.

LeakerLocker

Et tegn på hvor flytende ransomware trusselen er. En av de største angrepene som lagde overskrifter helt tilbake fra dagene med scareware og utpressingstaktikker, men med en oppdatert tvist. Målrettet mot Android enheter, LeakerLocker truet å dele fullstendig innhold på en mobilbrukers enhet med alle på deres kontaktliste. Så dersom du hadde noe pinlig eller hemmelig på telefonen din, måtte du nesten betale hvis ikke ville alle dine venner, kolleger og familier snart få innsyn i hva du hadde å skjule.

Hvordan ser fremtiden ut for ransomware?

Med tanke på den eksponentielle veksten i inntekt som cyberkriminelle har klart å tjene via ransomware, er det en rettferdig antagelse at vi vil få høre mye mer av det i fremtiden. WannaCrys suksess i å kombinere selv-replikertende ormteknologi med målretting mot kjente sårbarheter har sannsynligvis satt presedens for naturen til de fleste angrep på kort sikt. Men det er naivt å tro at ransomware utviklere ikke allerede tenker fremover og utvikler nye måter på å infisere, spre og tjene penger på deres malware.

Så hva kan vi forvente?

En stor bekymring er potensialet for ransomware å starte å rette seg mot digitale enheter i stedet for maskiner og smarttelefoner. Ettersom tingenes internett tar av, vil mer og mer generelt utstyr vi bruker daglig bli digitalisert og koblet til internett. Dette skaper et massivt nytt marked for cyberkriminelle, som kan velge å bruke ransomware for å låse bileier ute av kjøretøyene sine eller sette den sentrale termostaten i hjem til frysende temperatur med mindre de betaler løsepenger. På denne måten, vil evnen til ransomware å direkte påvirke livet vårt kun øke.

En annen mulighet er at ransomware vil bytte fokus bort fra individuelle enheter og deres brukere. I stedet kan de rette seg mot filer holdt på en maskin, ransomware kunne brukt SQL injiseringer for å kryptere databaser holdt på en nettverksserver. Resultatet ville vært katastrofalt – hele infrastrukturen til en global bedrift kunne blitt korrupt i et trekk, eller hele internettjenesten brakt ned, som ville påvirket hundretusenvis av brukere..

Uansett hvordan den utvikler seg, bør vi forberede oss på at ransomware vil fortsette å være en stor cybertrussel i årene som kommer. Så sjekk nøye gjennom epostene du åpnet, nettsidene du besøker, og sørg for å installere de nyeste sikkerhetsoppdateringen, hvis ikke kan det være at du ender opp gråtende akkurat som ofrene før deg.

Kan en VPN forhindre ransomwareangrep?

Mens bruk av en VPN ikke kan beskytte deg mot malwareangrep, øker det sikkerhetsnivået på systemet ditt, og dermed gjør det sikrere. Det er mange fordeler ved en VPN.

  • Når du bruker en VPN er din IP adresse skjult og du kan surfe på nettet anonymt. Dette gjør det vanskeligere for malwareskapere å rette seg mot din maskin. Vanligvis ser de etter mer sårbare brukere.
  • Når du deler eller bruker data på nett ved bruk av en VPN, vil den dataen bli kryptert og holder seg for det meste utenfor rekkevidden til malwareskapere.
  • Pålitelige VPN tjenester svartelister også suspekte URLer.

Grunnet disse faktorene vil bruk av en VPN holde deg tryggere mot malware, inklusiv ransomware. Det er mange VPN tjenester å velge i. Sørg for at VPN leverandøren du bruker har et godt rykte og har nødvendig ekspertise når det kommer til nettsikkerhet.

Dersom du ser etter en VPN, ta en kikk på våres mest anbefalte VPNer fra pålitelige brukere.

Var det hjelpsomt? Del det!