Under de senaste åren har vi sett en enorm ökning av gisslanprogram (ransomware). En bidragande orsak är att det i dag är enkelt att distribuera och skapa den här typen av program. Utvecklingen eldas också på av att Ransomware as a Service (RaaS) nu finns som färdiga paketlösningar för människor med begränsade tekniska förkunskaper.
Ett är säkert – attackerna kommer att fortsätta och det gäller att vara uppmärksam och väl förberedd. I den här säkerhetskrönikan vill jag därför ge en översikt över de senaste trenderna och färska exempel på olika RaaS-paket.
E-post effektivt
E-post är fortfarande det vanligaste sättet att distribuera gisslanprogram. Där ser vi också att skaparna använder olika tider på året för att få högsta möjliga genomslagskraft. Under julen har vi exempelvis sett en stor ökning av gisslanprogram som distribueras via falska e-postmeddelanden som ser ut att komma från Postnord.
Ett liknande exempel dyker upp i samband med att deklarationerna ska lämnas in. Då ökar antalet e-postmeddelanden som ser ut att komma från Skatteverket för att lura användare att klicka på länkar eller öppna bifogade filer.
RaaS-tjänster i molnet
Utvecklingen påskyndas dessutom av att nästan vem som helst kan köpa sig en färdig paketlösning, ett RaaS-kit. Det är en färdigpaketerad molntjänst på samma sätt som exempelvis SaaS (Software as a Service) och IaaS (Infrastructure as a Service). Tjänstepaketeringen gör det förhållandevis enkelt för personer med väldigt lite teknisk förkunskap att planera och genomföra attacker.
I en del fall säljs RaaS-paketen mot att en procentandel av de pengar som gisslanprogrammet inbringar går till säljaren. I andra fall kan det handla om att tjänsten säljs mot en engångsavgift som kan omfatta mer eller mindre support och olika garantier. De mer ambitiösa RaaS-aktörerna erbjuder ofta stöd för flera språk, chatt-funktion och support dygnet runt.
Flera forskare och säkerhetsföretag arbetar i dag med att identifiera och kartlägga marknaden för RaaS. Samtidigt säljs majoriteten av RaaS-paketen på den så kallade ”dark web” och att mäta hur många som faktiskt köper och använder tjänsterna är svårt. De som utvecklar dessa verktyg är i allmänhet också väldigt duktiga på att dölja sina spår.
Sophos Labs arbetar med att analysera skadlig kod och har på senare tid sett en tydlig ökning av den här typen av gisslanprogram. Dorka Palotay, säkerhetsanalytiker vid Sophos Labs, har identifierat några av de mer framträdande RaaS-kiten:
Philadelphia – Detta är ett av de mer sofistikerade RaaS-paketen som finns att tillgå. Philadelphia har utvecklats av Rainmaker Labs och ger möjlighet att skräddarsy gisslanprogram. För en relativt liten summa (389 dollar) får användaren även full tillgång till en obegränsad licens som bland annat inkluderar fria uppdateringar och tillgång till support.
I april 2017 greps en tonåring i Österrike för att ha använt detta RaaS-paket. Det hade då använts för att infektera ett lokalt företag där bland annat servrar och databaser hade krypterats. Företaget krävdes på 400 dollar för att få dessa dekrypterade men vägrade betala och lyckades till sist återställa alla data från backuper.
Stampado – Detta är föregångaren till Philadelphia och började säljas sommaren 2016. Stampado har också utvecklats av Rainmaker Labs men är inte alls lika avancerad som efterföljaren Philadelphia. Priset är också betydligt lägre, endast 39 dollar. Trots att Philadelphia finns tillgängligt säljs Stampado fortfarande.
Satan – Denna tjänst har ett annat upplägg. De ger bort en licens gratis men vill i gengäld ha en andel av de pengar som genereras genom tjänsten. De påstår att deras ransomware inte kommer att upptäckas av antivirusprogram och kunden kan själv sätta ett pris. Satan tar sedan 30 procent av de intäkter som deras gisslanprogram genererar. De erbjuder dessutom en rabatt beroende på hur mycket pengar som dras in genom deras tjänst.
Vaken och rätt resurser
Attackerna lär fortsätta, så det viktigaste är att fortsätta vara vaksam och att ha rätt resurser och hjälpmedel på plats för att snabbt kunna åtgärda problem när de uppstår. Sedan är de allmänna råden alltid aktuella. Det vill säga att regelbundet säkerhetskopiera och att förvara dessa kopior krypterade och på annan plats, att inte aktivera makron i e-postbilagor och att vara snabb med att installera nya uppdateringar och patchar. Då gör vi det svårare för skurkarna att ställa till skada.
Per Söderqvist
Säkerhetsexpert på Sophos
Den tryckta upplagan av Datormagazin rymmer mycket, till exempel säkerhetskrönikor. Den du kan läsa här publicerades i nummer 4-2018 (nummer 5-2018 finns i butik men kan även köpas på https://shop.datormagazin.se).
