Ransomware-hotets historia: då, nu och framtiden

Vi tittar på historien bakom ransomware (utpressningstrojaner) och hur de har utvecklats genom åren. Dela

Den massiva attacken av den malware kallad WannaCry, som i maj 2017 fick rubriker världen över, införde ett nytt ord i allmänhetens medvetande – ransomware.

Inom cybersäkerhet och i tekniska kretsar har dock ransomware redan diskuterats alldeles för länge. Faktum är att under det senaste decenniet har ransomware antagligen varit det synligaste och envisaste cyberhotet. Enligt amerikanska regeringens siffror har ransomware-attacker sedan 2005 varit den vanligaste typen av dataintrång.

Kanske har det faktum att ransomware-attacker inte traditionellt varit på en global skala hjälpt till att hålla det under radarn för allmänhetens medvetande. WannaCry ändrade allt. Genom att påverka över 300 000 datorer över hela världen fick WannaCry rubriker efter att ha tagit ner flertalet större institutioner, däribland Storbritanniens nationella hälso- och sjukvårdsservice (NHS).

Om WannaCry var den sortens storskaliga cyberattack som kan få världen att vakna till, tyder detta på att den är försmak av vad som väntas kan. Då maskarna som används för att sprida ransomware blir alltmer avancerade och metoderna som används för att sprida dem allt effektivare, växer sannolikheten för större och större attacker.

I den här artikeln kommer vi att titta på historien bakom ransomware och spåra dess utveckling, från det att den kom ut ur skuggorna till att bli ett av århundradets största cybersäkerhetshot. Vi kommer att kartlägga de större attackerna, de olika metoderna som användes och de stora innovationerna som ledde till den senaste tidens globala attacker, innan vi tittar på vad vi kan förvänta oss av framtiden.

Vad är Ransomware?

Först och främst några definitioner. Ransomware hamnar i en grupp av malware som är särskilt utformad för ekonomisk vinning. Men till skillnad från de virus som används vid hackingattacker är ransomware inte utformat för att få tillgång till en dator eller ett IT-system för att kunna stjäla data från den. Den försöker inte heller lura offer på pengar, vilket synliggjorts med olika falska antivirusprogram (s.k. ”scareware”) och nätfiske.

Olyckligtvis för offren är effekterna av ransomware alltför verkliga.

Ransomware fungerar genom att störa driften av ett datorsystem, vilket gör det oanvändbart. Gärningsmännen skickar sedan ett utpressningsbrev till ägarna, där de kräver pengar i gengäld mot att ta bort ändringarna.

De flesta exemplen på ransomware faller i en av två kategorier. Vissa ransomware-virus låser ut användaren från enheten, antingen genom att frysa CPU:n, ta över användarverifieringssystemet eller någon liknande metod. Andra typer av ransomware, vanligtvis kallad krypto-ransomware, kommer istället att kryptera lagringsenheterna och dess innehåll, vilket gör det omöjligt att öppna mappar och filer eller köra program.

I de flesta fall när ransomware körs på ett system kommer det också att utlösa sändningen av utpressningsbrevet. Detta kan poppa upp på skärmen i ett låst system, eller i händelse av en kryptoattack kan det till och med skickas som e-mail eller chattmeddelande till offret.

Ransomwares förhistoria

AIDS-trojanen

Den första allmänt erkända ransomware-attacken förekommer faktiskt uppkomsten av det onlinehot som vi känner till idag med nästan två årtionden. 1989 deltog en akademiker vid Harvard, Joseph L Popp, i en konferens organiserad av Världshälsoorganisationen (WHO) om AIDS. Som förberedelse för konferensen skapade han 20 000 skivor att skicka till delegaterna, vilka han döpte till ”AIDS-information – introduktionsdisketter.”

Vad de intet ont anande delegaterna inte insåg var att disketterna faktiskt innehöll ett datavirus som, efter att annat innehåll på skivan kördes, förblev dold på offrets dator under en tid. Efter 90 omstarter kickades viruset igång och började direkt kryptera filer och dölja mappar. Ett meddelande visades och informerade användaren om att deras system skulle återgå till det normala efter att de skickat 189 $ till en postbox i Panama.

Dr Popps uppfinningsrikedom var före sin tid, och det skulle dröja ytterligare 16 år innan någon tog över stafettpinnen från hans ransomware-idé och sprang in med den i interneteran. Popp själv blev arresterad men hans fall kom aldrig upp i rättegång på grund av dålig psykisk hälsa.

2005: År noll

När nästa exempel på ransomware dök upp hade Dr Joseph L Popp glömts sedan länge, och datavärlden hade förvandlats av internet. Trots alla dess goda fördelar hade internet även gjort spridningen av alla typer av malware mycket enklare för cyberbrottslingar, och de mellanliggande åren hade också gjort det möjligt för programmerare att utveckla mycket kraftfullare krypteringsmetoder än de som användes av Dr Popp.

GPCoder

Ett av de första exemplen på ransomware som distribuerades online var GPCoder-trojanen. Efter att ha identifierats 2005 infekterade GPCoder Windows-system och attackerade filer med en mängd olika tillägg. När de väl hittats, kopierades filerna i krypterad form och originalen raderades från systemet. De nyligen krypterade filerna var oläsliga, och användningen av stark RSA-1024-kryptering säkerställde att försök att låsa upp dem hade väldigt liten chans att lyckas. Ett meddelande visades på användarens startskärm som hänvisade dem till en .txt-fil på datorns skrivbord, som innehöll detaljer om hur man betalade lösensumman och låste upp de drabbade filerna.

Archievus

Samma år som GPCoder identifierades dök en annan trojan som använde säker 1024-bitars RSA-kryptering upp på scenen. I stället för att attackera vissa körbara filer och filtillägg krypterade Archievus helt enkelt allt i offrets Mina Dokument-mapp. I teorin betydde detta att offret fortfarande kan använda datorn och alla filer som lagrats i andra mappar. Men eftersom de flesta lagrar många av sina viktigaste filer, inklusive dokument för arbetet, i Mina Dokument-mappen som standard var effekten fortfarande märkbar.

För att få bort Archievus hänvisades offren till en webbplats där de var tvungna att köpa ett 30-siffrigt lösenord – inte mycket chans att gissa sig till den.

2009 – 2012: Pengar rullar in

Det tog ett tag för dessa tidiga former av online-ransomware att få fotfäste i cyberbrottslighetens undre värld. Avkastningen från trojaner som GPCoder och Archievus var relativt låg, främst på grund av att de lätt upptäcktes och avlägsnades av antivirusprogram, vilket innebar att de hade kort tid på sig att tjäna pengar.

I stort sett föredrog dagens cybergäng att hålla sig till hacking, phishing och att lura människor med falska antivirusprogram.

De första tecknen på förändring började synas 2009. Det året bytte ett känt ”scareware”-virus kallat Vundo taktik och började fungera som ransomware. Tidigare hade Vundo infekterat datorsystem och sedan utlöst sin egen säkerhetsvarning som hänvisade användarna till en falsk lösning. Under 2009 upptäckte analytiker dock att Vundo hade börjat kryptera filer på offrens datorer och sålde medel till att låsa upp dem.

Detta var ett första tecken på att hackare började se att det fanns pengar att tjäna i ransomware. Med hjälp av ökningen av anonyma betalningsplattformer på nätet blev det också lättare att få lösensummor på en massiv skala. Dessutom växte självklart förfiningen av ransomware.

År 2011 hade strömmen blivit en flod. Under årets första kvartal upptäcktes 60 000 nya ransomware-attacker. Vid första kvartalet 2012 hade antalet stigit till 200 000. I slutet av 2012 uppskattade forskare vid Symantec att svarta marknaden för ransomware var värd 5 miljoner dollar.

WinLock-trojanen

Under 2011 dök en ny form av ransomware upp. WinLock-trojanen anses vara det första utbredda exemplet på vad som blev känt som ”locker-ransomware”. Istället för att kryptera filer på offrets enhet gör en ”locker” det helt enkelt omöjligt att logga in på enheten, punkt slut.

WinLock-trojanen startade ransomware-trenden att imitera genuin programvara, vilket liknar den gamla scareware-taktiken. Då den infekterade Windows-system kopierade den Windows produktaktiveringssystem och låste användarna ute tills de köpte en aktiveringsnyckel. För att lägga till en touch av kaxighet sade meddelandet som visades på den falska aktiveringsskärmen faktiskt till offret att deras Windows-konto måste aktiveras på nytt på grund av bedrägeri, innan det guidade dem till att ringa ett internationellt nummer för att lösa problemet. Telefonnumret var maskerat som gratis, men det var egentligen ett dyrt betalnummer vars förtjänst troligtvis landade i fickorna på brottslingarna bakom programvaran.

Reveton och ”polis-ransomware”

En variation på temat att imitera mjukvara för att lura offer att betala falska prenumerationer var uppkomsten av så kallat ”polis-ransomware”. I dessa attacker skulle malware attackera infekterade system med meddelanden som hävdar att de är från brottsbekämpande organ och statliga myndigheter, hävdande att det finns bevis för att enheten har använts för olaglig verksamhet. Enheten skulle vara låst som ”konfiskering” tills någon form av muta eller böter betalades.

Dessa exempel distribuerades ofta via pornografiska sidor, fildelningstjänster och andra webbplattformar som kunde användas för potentiellt olagliga ändamål. Tanken var utan tvivel att skrämma eller skämma offer till att betala mutan innan de hade en chans att tänka rationellt om huruvida hotet om åtal var äkta eller inte.

För att få attackerna att verka mer autentiska och hotande, skulle polis-ransomware ofta anpassas efter offrets plats, visa deras IP-adress eller i vissa fall spela upp ett live-flöde från deras egen webbkamera, vilket antydde att de övervakades och spelades in.

Ett av de mest kända exemplen på polis-ransomware kallades Reveton. Ursprungligen spridd genom Europa blev Revetonfamiljen småningom tillräckligt utbredd för att börja dyka upp i USA, där offren fick höra att de var under övervakning av FBI och beordrade att betala böter på 200 $ för att få sin enhet upplåst. Betalningen togs genom förbetalda elektroniska token-tjänster som MoneyPak och Ukash. Denna taktik började användas av annan polis-ransomware som Urausy och Kovter.

2013 – 2015: Tillbaka till kryptering

Under andra halvan av 2013 kom en ny variant av krypto-ransomware fram som drog en ny linje i sanden i kampen om cybersäkerhet. CryptoLocker ändrade spelreglerna för ransomware på ett antal sätt. För det första brydde den sig inte om de lagvrängnings- eller bluffmakartaktiker som användes av scareware eller polis-ransomware. CryptoLockers programmerare var mycket direkta om vad de gjorde och skickade ett rakt meddelande till offren att alla deras filer hade krypterats och skulle raderas om inte lösensumman betalades inom tre dagar.

För det andra visade CryptoLocker att krypteringsstyrkan som cyberkriminella nu kunde använda var betydligt starkare än de som var tillgängliga när de första krypto-trojanerna dök upp närmare ett decennium tidigare. Med C2-servrar på det dolda Tor-nätverket kunde CryptoLockers programmerare generera 2048-bitars RSA-kryptering för öppna och privata nycklar för att infektera filer med särskilda tillägg. Detta fungerade som en dubbellåsning – den som söker efter den öppna nyckeln som en bas för att lista ut hur man dekrypterar filerna fick kämpa, eftersom de var gömda på Tor-nätverket, medan den privata nyckeln som programmerarna hade var extremt stark i sin egen rätt.

För det tredje bröt CryptoLocker ny mark i hur den spreds. Infektionen spreds ursprungligen via Gameover Zeus botnet, ett nätverk av infekterade ”zombie”-datorer som används specifikt för att sprida malware över internet. CryptoLocker var därför det första exemplet på ransomware som spreds via infekterade webbplatser. CryptoLocker spreds emellertid också via nätfiske, särskilt med bifogade filer i e-post som skickades till företag som utgjordes för att vara kundklagomål.

Alla dessa egenskaper har sedermera blivit dominerande särdrag för ransomware-attacker, påverkadade av CryptoLockers framgång. Genom att ta 300 $ per gång för att dekryptera infekterade system anses det att dess utvecklare har tjänat så mycket som 3 miljoner dollar.

Onions och Bitcoins

CryptoLocker dog till stor del ut 2014 när Gameover Zeus botnet togs ner, men vid det laget fanns det redan gott om imitatörer redo att ta över stafettpinnen. CryptoWall var den mest betydande, och använde samma RSA-enkryption med öppna och privata nycklar som genereras bakom Tor-nätverkets skärm och distribueras via nätfiske.

Onionroutern, mer känd som Tor, började spela en större och större roll i utvecklingen och distributionen av ransomware. Uppkallad efter hur den driver internettrafik runt ett komplext globalt servernätverk, som påstås vara ordnade som lagren på en lök, är Tor ett anonymitetsprojekt som gör det möjligt för människor att hålla det de gör online privat. Dessvärre har detta lockat cyberkriminella som är angelägna om att hålla sin aktivitet dold från brottsbekämpningens ögon, och därmed har Tor kommit att spela en roll i historien om ransomware.

CryptoWall bekräftade dessutom den växande roll som Bitcoin spelade i ransomware-attacker. Vid 2014 var kryptovalutan den föredragna betalningsmetoden. Förbetalda elektroniska krediter var anonyma, men svåra att ta ut utan tvättning, medan Bitcoin kunde användas online som en vanlig valuta för att handla med och överföra pengar direkt.

Vid 2015 beräknades CryptoWall ensam att ha genererat 325 miljoner dollar.

Androidattacker

Ett annat viktigt steg i ransomware-historien var utvecklingen av versioner som attackerar mobila enheter. Dessa var först uteslutande riktade mot Android-enheter, och utnyttjade Androids öppna källkod.

De första exemplen dök upp 2014 och kopierade formatet från polis-ransomware. Sypeng, som infekterade enheter via ett förfalskat Adobe Flash-uppdateringsmeddelande, låste skärmen och visade ett falskt FBI-meddelande som krävde 200 $. Koler var ett liknande virus som är anmärkningsvärt för att vara ett av de första exemplen på en ransomware-mask, ett självreplikerande stycke malware som skapar sina egna distributionsvägar. Koler skickade automatiskt ett meddelande till alla i en infekterad enhets kontaktlista, med en länk för nedladdning av masken.

Sitt namn till trots var SimplLocker en tidig typ av krypto-ransomware för mobiler, medan majoriteten av de andra tog form som låsningsattacker. En annan innovation som kom med Android-ransomware var uppkomsten av gör-det-själv-verktyg som framtida cyberkriminella kunde köpa på nätet och själva konfigurera. Ett tidigt exempel var ett kit baserat på Pletor Trojan som såldes för 5000 $ online.

2016: Hotet utvecklas

2016 blev ett rekordår för ransomware. Nya levereranssätt, nya plattformar och nya sorters malware blev sammanlagt ett allvarligt ökande hot som beredde vägen för de påföljande massiva globala attackerna.

CryptoWall-evolution

Till skillnad från många andra exempel på ransomware som har några dagar i solen och sedan neutraliseras av en lösning eller en annan, gick hotet från CryptoWall aldrig bort. Genom att utvecklas till fyra distinkta utgåvor banade CryptoWall vägen för tekniker som imiterades av annan ransomware, till exempel genom att använda replikerade registernycklar så att malware laddas ner vid varje omstart. Detta är smart gjort, eftersom malware inte alltid körs omedelbart utan väntar tills den kan ansluta till den fjärrserver som innehåller krypteringsnyckeln. Automatisk laddning vid omstart maximerar chanserna för att detta ska hända.

Locky

Med sin aggressiva phishing-baserade distribution skapade Locky ett prejudikat som följdes av bl.a. WannaCry för sin snabba och omfattande distribution. Vid sin höjdpunkt rapporterades det att den infekterade upp till 100 000 nya system om dagen, med hjälp av det franchise-system som först använts av Android-verktygslådor för att uppmuntra fler och fler brottslingar att delta i distributionen. Den förebådade också WannaCry-attacken genom att attackera hälsovårdsleverantörer, eftersom dess skapare snabbt insåg att viktiga offentliga tjänster var snabba med att betala lösensumman för att få igång sina system igen.

Multiplattform

2016 såg också ankomsten av det första ransomware-skriptet som påverkade Mac-system. KeRanger var särskilt otrevligt, eftersom det lyckades kryptera Time Machine-säkerhetskopior såväl som vanliga Mac-filer, vilket övervann den vanliga möjligheten på Mac-datorer att återgå till tidigare versioner när ett problem uppstår.

Kort efter KeRanger uppkom den första ransomware-attacken som kunde infektera flera operativsystem. Programmerad i JavaScript kunde Ransom32 i teorin påverka enheter som körs på Windows, Mac eller Linux.

Kända sårbarheter

Så kallade ”exploit kits” är leveransprotokoll för malware som attackerar kända sårbarheter i populära mjukvarusystem för att implantera virus. Angler-kittet är ett exempel på ett som var känt för att användas i ransomware-attacker så tidigt som 2015. Saker och ting blev värre 2016, med ett antal högprofilerade ransomware-virus som riktade sig mot sårbarheter i Adobe Flash och Microsoft Silverlight – varav en var CryptoWall 4.0.

Cryptoworm

Som en följd av Kolervirusets innovationer blev kryptomaskar en del av ransomwares ledande riktning 2016. Ett exempel var ZCryptor-masken som först rapporterades av Microsoft. Ursprungligen spridd genom nätfiskeattacker kunde ZCryptor sprida sig automatiskt via nätverksanslutna enheter genom att replikeras och köras av sig själv.

2017: Året ransomware slog igenom

Med tanke på de snabba framstegen inom förfining och omfattning av ransomware-attacker 2016 trodde många cybersäkerhetsanalytiker att det bara var en tidsfråga innan en verkligen global incident inträffade på skala med de största hackningsattackerna och dataöverträdelserna. WannaCry bekräftade dessa rädslor och skapade rubriker runt om i världen. Men WannaCry är långt ifrån den enda ransomware som hotar datoranvändare i år.

WannaCry

Den 12 maj 2017 slog ransomware-masken som skulle bli känd världen över som WannaCry till mot sina första offer i Spanien. Inom några timmar hade det spridit sig till hundratals datorer i dussintals länder. Dagar senare hade siffrorna stigit till över 250 000 datorer, vilket gjorde WannaCry till den största ransomware-attacken i historien och fick hela världen att vakna till och uppmärksamma hotet.

WannaCry är en förkortning av WannaCrypt, som hänvisar till det faktum att WannaCry är krypto-ransomware. Mer specifikt är det en kryptomask som kan replikera och sprida sig automatiskt.

Det som gjorde WannaCry så effektiv och så chockerande för allmänheten var hur den spreds. Det fanns inga phishing-bedrägerier och inga nedladdningar från äventyrade botnet-sidor. I stället markerade WannaCry en ny fas i ransomware som riktade sig mot kända brister i datorer. Det var programmerat att söka igenom nätet efter datorer som körs på äldre versioner av Windows Server – som hade ett känt säkerhetsfel – och infektera dem. När det en gång hade infekterat en dator i ett nätverk sökte den snabbt ut andra med samma fel och smittade dem också.

Det var på detta sätt som WannaCry spreds så snabbt och anledningen till varför det var särskilt bra på att attackera stora organisationers system, inklusive banker, transportmyndigheter, universitet och folkhälsovårdstjänster, såsom Storbritanniens NHS. Detta var också anledningen till varför den fick så många rubriker.

Men det som chockade många var det faktum att säkerhetsbristen som WannaCry utnyttjade i Windows faktiskt hade identifierats av USA:s nationella säkerhetsbyrå (NSA) flera år tidigare. Men i stället för att varna världen om det höll sig NSA tyst och utvecklade sin egen attackmetod för att använda bristen som ett cybervapen. I själva verket byggdes WannaCry på ett system som hade utvecklats av en statlig säkerhetsbyrå.

Petya

Direkt efter WannaCry tog en annan transkontinental ransomware-attack ner tusentals datorer i världens alla hörn. Känd som Petya, var det mest anmärkningsvärda om denna attack att den använde exakt samma Windows-säkerhetsbrist som användes av WannaCry, och visade precis hur kraftfullt NSA:s planerade cybervapen kunde ha varit. Den visade också, trots att en patch gjordes allmänt tillgänglig efter WannaCry-attacken, hur svårt det är att få användare att skaffa de senaste säkerhetsuppdateringarna.

LeakerLocker

Som ett tecken på hur flytande hotet från ransomware är, återvänder en av de senaste storskaliga attackerna som fått rubriker tillbaka till tiden för scareware och utpressningstaktik, men med en uppdaterad twist. Genom att attackera Android-enheter hotade LeakerLocker att dela hela innehållet i en mobilanvändares enhet med alla i deras kontaktlista. Så om du hade något pinsamt eller komprometterande lagrat på din telefon är det bäst att du betalar om du inte vill att alla dina vänner, kollegor och släktingar snart skulle få tillgång till det du gömmer för dem.

Vad är framtiden för ransomware?

Med tanke på den exponentiella ökningen av intäkter som cyberkriminella har kunnat göra från ransomware är det ett rimligt antagande att vi kommer att få höra mycket mer om det i framtiden. WannaCrys framgång med att kombinera självreplikerande maskteknik riktade mot kända systembrister har förmodligen banat vägen för de flesta attackerna på kort sikt. Men det vore dumt att tro att ransomware-utvecklare inte redan tänker framåt och utvecklar nya sätt att infektera, sprida och tjäna pengar på sin malware.

Så vad kan vi förvänta oss?

Ett stort orosmoment är möjligheten för ransomware att börja attackera andra digitala enheter än datorer och smartphones. När sakernas internet kommer igång blir allt mer allmän utrustning som vi använder vardagligt digitalt och anslutet till internet. Detta skapar en enorm ny marknad för cyberkriminella, som kan välja att använda ransomware för att låsa bilägare ur sina fordon eller ställa termostaten i bostäder på iskallt om de inte betalar lösensumman. På detta sätt kommer ransomwares förmåga att direkt påverka vårt dagliga liv bara att öka.

En annan möjlighet är att ransomware kommer att ändra fokus från enskilda enheter och deras användare. I stället för att attackera filer på en dator kan ransomware i teorin sträva efter att använda SQL-injektioner för att kryptera databaser som lagras på en nätverksserver. Resultaten skulle vara katastrofala – hela infrastrukturen i ett globalt företag skulle kunna fördärvas i ett enda drag, eller hela internettjänster kunde tas ur spel och påverka hundratusentals användare.

Hur det än utvecklas bör vi förbereda oss för ransomware att bli ett stort cyberhot under de kommande åren. Så kontrollera de e-postmeddelanden du öppnar och de webbplatser du besöker, och se till att du har de senaste säkerhetsuppdateringarna, annars kanske du får gråta ut tillsammans med alla ransomware-offer före dig.

Kan en VPN-tjänst förebygga ransomware-attacker?

Medan en VPN inte kan skydda dig mot malware-attacker, ökar den säkerhetsnivån för ditt system, vilket gör dig säkrare. Det finns många fördelar med en VPN.

  • När du använder en VPN är din IP-adress dold och du kan få åtkomst till internet anonymt. Detta gör det svårare för malware-skapare att inrikta sig mot din dator. Vanligtvis söker de efter sårbarare användare.
  • När du delar eller får tillgång till data online med hjälp av en VPN krypteras datan och förblir i stor utsträckning utom räckhåll för malware-skapare.
  • Tillförlitliga VPN-tjänster svartlistar också tvivelaktiga webbadresser.

Tack vare dessa faktorer håller användningen av en VPN dig säkrare från malware, inklusive ransomware. Det finns många VPN-tjänster att välja mellan. Se till att VPN-leverantören du registrerar dig med är ansedd och har den nödvändiga kompetensen inom området onlinesäkerhet.

Om du letar efter en VPN, kolla in våra mest rekommenderade VPN-tjänster från betrodda användare.

Var detta till hjälp? Dela det!
Dela på Facebook
0
Lägg upp det här på Twitter
0
Dela om du tror att Google inte vet tillräckligt mycket om dig
0