RANSOMWARE - SÅ SKYDDAR NI ER

Transkript

1 RANSOMWARE - SÅ SKYDDAR NI ER

2 Ransomware allt du behöver veta för att skydda dig 1. Vad är ransomware? 2. Några kända case från verkligheten 3. Fem vanliga ransomware-former 4. Det här kan du och din organization göra 5. Bästa skyddet mot ransomware: Advanced Endpoint Protection 24/7 1. Vad är ransomware? Ransomware, eller gisslanprogram som de ibland kallas i svensk press, är en form av elakartad kod som skapats av kriminella i syfte att komma över pengar från den som infekterats. Ransomware krypterar i regel filer eller hela hårddiskar, både lokalt och nätverksanslutna och kräver därefter en lösensumma från offret för att låsa upp de krypterade filerna. Så infekterar de din dator Det vanligaste är att ransomware sprids via phishing-mail som innehåller bilagor med en infekterad fil. Bilagorna kan exempelvis vara av typen.exe eller Microsoft Office-filer med makron. Ett annat sätt att infektera någon med ransomware är att sätta upp en webbplats med kod som utnyttjar kända sårbarheter i besökares webbläsare eller insticksprogram, så som Adobe Flash Player. Besökarna kan drivas till webbplatsen via exempelvis phishing-mail eller via länkar i forum. Genom att locka med gratis nedladdning av ett program (t.ex. en crackfil till ett dataspel) kan de få människor att hämta ned en fil och köra programfilen, vilket leder till att datorn infekteras. En dator som redan infekterats av en trojan kan få ransomware-kod installerad på sin dator via dess Command and Control-servrar. Genom att koppla in externa enheter (USB-stickor och externa hårddiskar) kan skadlig kod spridas vidare. När mottagaren väl klickat på den skadliga filen börjar processen med att infektera filer direkt eller efter ett tag. Vissa mer avancerade former börjar söka efter exempelvis nätverksanslutna hårddiskar för att åstadkomma största möjliga skada. PostNord-trojanen, som kanske är den mest uppmärksammade attacken i Sverige, infekterade mängder av datorer genom att skicka mejl i PostNords namn. Med budskap som Spåra ditt paket och Ditt paket kunde inte levereras har de kriminella lyckats lura många svenskar att både ladda ned bilagor och besöka skadliga webbplatser, som har spridit ransomware. Så fungerar ransomware i korthet Det finns flera olika former av ransomware som fungerar på lite olika sätt. Men i korthet kan man beskriva processen ungefär så här: 1. Ransomware når offrets dator via exempelvis ett phishing-mail 2. Offret klickar på den skadliga filen och processen inleds 3. Processen kommunicerar med encryption key-servrar

3 4. I processen söks det efter viktiga filer på datorn, exempelvis med filändelserna JPG, DOCX och PDF. 5. Krypteringen inleds vanligtvis via metoden byt namn, kryptera och byt namn igen, etc. 6. Krypteringen slutförs och programmet presenterar krav på lösensumma. Varför är ransomware så effektivt? Ransomware utnyttjar det faktum att det som finns lagrat främst har ett värde för informationsägaren själv. För en privatperson kan bröllopsbilder eller foton på ens nyfödda barn ha ett stort värde, medan bilderna för något annan inte har ett värde. På så vis är utpressningen ett smart sätt att locka användare att betala en oftast ganska överkomlig lösensumma för att få filerna tillbaka. Samma princip gäller också för företag att stjäla information och sälja är en betydligt mer mödosam och osäker metod för att tjäna pengar. Ransomware är helt enkelt en effektiv affärsmodell för bedragare som dessutom kan tillämpa den både mot privatpersoner och företag. Varför ökar antalet attacker kraftigt? Affärsmodellen är otroligt lukrativ. Enligt FBI omsatte ransomware-attacker 209 miljoner dollar under första kvartalet Det innebär att årsinkomsten var ungefär en miljard dollar för förra året. En av ransomwareformerna, Cryptowall, hade redan i juni 2015 dragit in 18 miljoner dollar till utpressarna. Snittpriset för en betalning låg på 679 dollar. Det är således mycket lönsamt för utpressarna att genomföra dessa attacker, i synnerhet eftersom det är enkelt att sprida den skadliga koden och sannolikheten för att åka fast är låg. De totala kostnaderna för de som drabbas är dock desto högre, i synnerhet för företag. Förutom att många betalar lösensummorna åsamkar ransomware kostnader till följd av arbetsbortfall, utredning av incidenten och kostnader för att återställa till normalläge efter en attack. Dessutom kan en infektion också leda till indirekta kostnader till följd av att organisationens varumärke tar stryk. Hur vanligt är det? Enligt en färsk undersökning från företaget PhishMe innehöll i stort sett alla (97,5 procent) phishing-mejl någon form av ransomware* och enligt Osterman Research hade hälften av alla amerikanska företag och organisationer utsatts för någon form av ransomware-attack.** I Sverige gjorde Dagens Nyheter under sommaren 2016 en undersökning där det framgick att 80 svenska myndigheter och 130 kommuner (44 procent av Sveriges kommuner) fått sina filer tagna som gisslan till följd av ransomware.*** Statistik från Sentors Security Operations Center (där våra säkerhetsanalytiker övervakar kunder dygnet runt) visar också på en kraftig ökning av attacker mot svenska organisationer. Jämfört med 2015, har attackerna under 2016 ökat kraftigt samtidigt som analyser visar att ransomware-typerna blivit allt mer avancerade i syfte att undgå att upptäckas. Ska man betala lösensumman? Enligt en undersökning från IBM hade 70 procent av de tillfrågade företagen som utsatts för en ransomwareattack betalat lösensumman. Hälften av dem betalade över dollar i lösensumma och 20 procent betalade över dollar. Det kan jämföras med att ungefär 50 procent av de tillfrågade privatpersonerna initialt uppgav att de skulle inte skulle betala en utpressare.

4 När Svante Nygren, analytiker hos Myndigheten för samhällsskydd och bevakning tillfrågas rekommenderar de dock att man inte gör så. - Det är svårt att veta hur många som betalar. Men vi och polisen rekommenderar givetvis inte att man betalar utpressarna. Det är inte alls säkert att man får tillbaka sina filer bara för att man betalar. Rekommendationen till trots får dock många som utsatts för attackerna sina filer upplåsta ifall de betalar lösensumman. Ifall utpressarna slutar att låsa upp filerna vid betalning skjuter de sin egen affärsmodell i sank, vilket skulle kunna få till följd att de som drabbats på sikt slutar betala. Men några garantier finns såklart inte, datorn kan fortfarande vara infekterad av skadlig kod som kan nyttjas för en ny ransomware-attack eller för andra ändamål. Hur går betalningen till? Vanligtvis kräver utpressarna betalning i någon form av kryptovaluta (oftast Bitcoin). Eftersom det är enkelt att dölja finansiell aktivitet och hålla sig anonym vid transaktioner med kryptovaluta är det ett naturligt val av utpressarna. När pengarna väl finns på ett Bitcoin-konto exempelvis, kan de enkelt tvättas för att sedan konverteras till en konventionell valuta. På senare tid har det även dykt upp en del kreativa upplägg för att lösa betalningsbiten för den som är drabbad. En ransomware-typ som går under namnet Popcorn Time kräver 770 US dollar i lösensumma, eller att man infekterar två andra personer med den skadliga koden. Summorna som utpressarna kräver kan variera från en tusenlapp till miljonbelopp beroende på form av ransomware och målgruppen för angreppen.

5 2. Några kända case från verkligheten Allt från sjukhus till småföretagare och myndigheter drabbas av ransomware. Här är några uppmärksammade case. Hollywood Presbyterian Medical Center I februari förra året infekterades Los Angeles-sjukhuset med ett ransomware och stora delar av sjukhuset lamslogs. Nätverket låstes vilket gjorde sjukhusets filer otillgängliga samtidigt som det digitala journalsystemet påverkades. Efter tio dagar gav sjukhuset upp och valde att betala lösensumman på dollar. Kritiker hävdade att det var fel av sjukhuset att betala lösensummen men sjukhuschefen försvarade sig med att de inte hade något val för att kunna sköta verksamheten. Pendeltågstrafiken i San Franscisco I november möttes pendeltågsresenärerna i San Franscisco av skyltar som berättade att biljettsystemet var out of service och free. Bakom låg ett ransomware som drabbade persondatorer hos tågbolaget men man valde också att ta systemet för spärrarna ur bruk. Tågbolaget hävdade senare att man låtit resenärer resa gratis under tiden man utredde vad som egentligen hade hänt. Bolaget uppgav att ingen data gått förlorad och att säkerheten inte hade äventyrats för resenärerna. Efteråt spekulerades det om det var en känd sårbarhet i en Oracle WebLogicserver som hade utnyttjats. Baltimore s Union Memorial I våras infekterades datorer på Baltimore-sjukhuset och ägaren Medstar av ett ransomware kallat Samsan. Data på nätverket krypterades och en lösensumma på dollar krävdes. Attacken utnyttjade en sårbarhet i mjukvaran JBoss Management Console som används för att administrera JBoss-baserade applikationsservrar. Standardinstallationen av JBoss lämnar ett JMX-gränssnitt osäkrat från tillgång utifrån. Angriparna utnyttjade denna sårbarhet för att få tillgång till servern och installera Samsam-kod på webbapplikationsservern. Därifrån spreds Ransomware-klienter till Windowsservrar som sedan krypterades. Svenska kommuner och myndigheter Skolverket, Sveriges Geologiska Undersökning och Stockholms läns landsting har alla drabbats av ransomware. I Skolverkets fall blev en hel filserver nedlåst vilket lamslog hela verksamheten och det tog flera dagar innan man kunde få tillgång till alla filer igen. Många kommuner har också drabbats. Skellefteå kommun infekterades av den så kallade Post Nord-trojanen som spred ett ransomware kallat Cryptolocker. Två datorer infekterades och man tvingades stänga ner hela IT-miljön över natten. Eftersom de drabbade saknade administratörsrättigheter spreds inte attacken till nätverket utan bara personliga filer på hårddiskarna krypterades. Även Vänersborgs och Helsingborgs kommuner har drabbats.

6 3. Fem vanliga ransomware-former Cryptolocker Det var Cryptolocker som gjorde ransomware stort. Det var första gången som krypteringskod spreds via bifogade dokument i mejl eller via nedladdningar från komprometterade webbplatser. Det spreds fort eftersom utpressarna redan hade ett existerande botnet. Under 2014 lyckades polismyndigheter och säkerhetsbolag att stänga ned detta botnet. Men Cryptolocker var utpressningstrojanen som bevisade att ransomware är en framgångsrik affärsmodell. Locky Locky är ett av de mest spridda ransomwaren som vanligen göms i ett Microsoft Word-dokument och exekveras genom att aktivera macron. Det levereras huvudsakligen via spam och använder ett botnet som kallas Necur, även känt för att distribuera trojanen Dridex som är riktad mot banker. Eftersom Locky huvudsakligen distribueras med Necur botnet så påverkades Locky när man lyckades stoppa Necur under några veckor i somras men efter några veckor var detta botnet aktivt igen. Cryptowall Cryptowall är fortfarande ett vanligt förekommande ransomware. Det har producerats i flera versioner sedan det kom ut första gången Det använder ett vanligtvis en mjukvara kallad Angler exploit kit för att genomföra intrånget, vilket bland annat gör samtliga krypterade filnamn helt unika, något som gör det svårare att analysera och förstå skadorna. Cerber Cerber är ett ransomware as a service. Det sprids genom en pyramid-organisation. Den som hjälper till att sprida trojanen får 60 procent av vinsten, och ett tillägg på 5 procent för att rekrytera en ny medlem. Resten av vinsten går uppåt i pyramiden. Cerber smittar genom e-postbilagor eller infekterade webbplatser. Viruset använder en stark och välbeprövad krypteringsalgoritm för att kryptera offrets filer. Det ställer in sig för att köras automatiskt vid nästa datorstart. Då skickar trojanen slumpmässiga felmeddelanden och startar sedan om datorn i felsäkert läge och börjar kryptera filer. Betalningen sker genom att koppla upp sig till en webbplats via anonymiseringstjänsten Tor och betalas med Bitcoin. Tox och Encryptor är andra varianter av ransomware as a service. Petya Vanligtvis krypterar ransomware filers innehåll men Petya skrev istället över datorns huvudstartssektor och krypterade hårddiskens filförteckning vilket fick till följd att datorn inte ens gick att starta förrän betalningen hade skett. En förutsättning för att detta skulle vara möjligt var att programmet fick administratörsrättigheter. Ifall det inte var möjligt fanns ett annat mer traditionellt ransomware redo för att initiera en mer klassisk attack.

7 4. Det här kan du och din organisation göra Från ordning på administratörsrättigheter till välinformerad personal som inte klickar på länkar och bifogade filer. Med rätt åtgärder kan man undvika många utpressningsförsök. Det här kan du som användare göra Var restriktiv när det gäller att klicka på länkar eller bifogade filer i mejl. Tjata inte till dig administratörsrättigheter om du inte verkligen behöver det. Det ökar risken för att hela nätverket blir infekterat. Koppla inte in okända externa enheter i din dator eftersom det kan få till följd att ransomware sprids från dessa enheter till din dator. Besök inte illegitima webbplatser (gambling, porr, torrentsidor etc.) och ladda inte ned filer från tveksamma sidor. Säkerställ att du använder en modern webbläsare (vissa versioner av Internet Explorer är sårbara t.ex.) och att dina insticksprogram är uppdaterade till senaste versionen. Det här kan ni som organisation göra Öka medvetenheten hos användarna i organisationen så att de undviker att klicka på tveksamma länkar och bifogade filer. De bör också informeras om hur de ska agera ifall de misstänker att de har drabbats av en infektion. Filtrera inkommande e-postbilagor och tillåt inte att exekverbara filer når användarnas inkorgar. Ta backuper regelbundet, förvara de separat och testa återställningen av filer regelbundet. Se till att backupfiler skyddas och att backupen inte är i ständig åtkomst med systemen som kopieras. Autentisera inkommande mejl genom att använda tekniker som förebygger mejlspoofing (att avsändaradressen är falsk). Blockera åtkomst till kända webbsidor som sprider skadlig kod. Installera skyndsamt säkerhetsuppdateringar för operativsystem och mjukvara på olika enheter. Detta kan göras med ett centraliserat hanteringssystem för patchar. Se till att implementera ett modernt anti-malware-skydd, samt att det ständigt uppdateras och att de kontinuerligt körs på användarnas enheter. Minska antalet användare som har administratörsrättigheter. Begränsa rättigheter så att om en användare har rättigheter att läsa filer i ett centralt register så behöver hon eller han inte automatiskt ha rätt att skriva i filservrar eller andra register. Implementera mjukvarukontrollerande policys för att förhindra program att exekveras från platser som ofta nyttjas av ransomware i datorer såsom temporary folders som stödjer webbläsare eller kompressionsprogram som inkluderar AppData/Local AppData-foldern. Sätt inställningarna så att exempelvis Office Viewer, i stället för hela Microsoft Office-sviten, startar när man klickar på bifogade filer. Överväg att använda vitlistning för applikationer vilket bara tillåter system att exekvera program som är kända och tillåtna enligt er säkerhetspolicy.

8 Kategorisera data baserad på organisationsnivå och implementera logisk och fysisk separation av nätverk och data för olika organisatoriska enheter. Genomför regelbundna penetrationstester för att identifiera brister som behöver åtgärdas. Se till att ni har loggning på era filsystem. Även om det finns backuper så är det svårt att veta vilka filer som är krypterade om loggning saknas. Det innebär att man måste återläsa alla filer. I större organisationer kan det ta upp till en vecka vilket givetvis påverkar verksamheten negativt. Loggning kan även vara ett bra sätt att larma om en attack pågår samtidigt som man vet vilken data som drabbats. Om ni har drabbats av ransomware Genom att koppla bort datorn från nätverket kan ni eventuellt förhindra att command-and-control-servrar (som styr botnätet) inte hinner kommunicera med systemet, vilket i så fall kan förhindra att filerna krypteras. Koppla ifrån backup- och restore-system från nätverket för att minimera risken att dessa också infekteras. Beroende på vilken version av ransomware som använts kan man i vissa fall använda system-restore för att komma tillbaka till en ren version av systemet. Senare versioner av till exempel Cryptolocker raderar även så kallade shadow-filer vilket omöjliggör en sådan operation. Vissa varianter av ransomware har en tidsgräns innan priset för att avkryptera filerna går upp. I vissa fall kan man återställa systemklockan och på så sätt köpa sig tid innan man blir tvungen att betala en högre lösensumma. För fler bra resurser om du drabbats av ransomware se; här finns resurser som kan vara användbara, till exempel kända krypteringsnycklar Anmäl intrånget till polisen. Myndigheter ska rapporter attacker till MSB om mer än fem datorer har infekterats och även nätverk eller extern lagring har påverkats.

9 5. Bästa skyddet mot ransomware: Advanced Endpoint Protection 24/7 Många organisationer står utan, eller med ett bristfälligt skydd när det kommer till att skydda sig mot ransomware. När traditionellt skydd som brandväggar och antivirusprogram inte längre är tillräckligt effektivt för att detektera attacker måste nya metoder för att upptäcka och stoppa attacker tas i bruk. Detektion av ransomware måste genast övergå i avhjälpande insatser i nära realtid för att tillföra värde. Sentors unika tjänst EndpointSentry bygger på ny teknik som identifierar hot på servrar och klienter. Via heuristisk analys i realtid kan vi identifiera när kod beter sig onormalt på klienter och servrar. Hot som ransomware stoppas i realtid från att exekveras och information om eventuella hot och misstänkt aktivitet rapporteras och korreleras av säkerhetsanalytiker i Sentors Security Operations Center 24/7. När en incident har bekräftats av vår personal kan en rad åtgärder vidtas omedelbart i enlighet med er incidenthanteringsplan. Vi kan exempelvis: Isolera klient/server från nätverk Stoppa processer Rensa filer Extrahera filer för analys Låsa användare Notifiera kunden vid incident (utförs alltid vid upptäckta incidenter) EndpointSentry är med andra ord en tjänst som inte bara upptäcker skadlig kod, som ransomware, utan också avhjälper problemet i nära realtid utan att ta resurser från er i anspråk. Vill ni veta mer? Kontakta Sentor för mer information om hur du och din organisation kan skydda er mot ransomware. Ni når oss på eller på telefonnummer.

10 Huvudkontoret Regionkontor Syd Sentor MSS AB Björn Trädgårdsgränd Stockholm +46 (0) Sentor MSS AB Adelgatan Malmö +46 (0)