Ransomware: Hur det startade

För tio år sedan kvalificerades ransomware som en ”tillfällig trend”, här är vad som hänt sedan dess.

Ransomware kan beskrivas som ”en delmängd av skadlig kod där data på offrets dator blir låsta, vanligtvis genom kryptering, och betalning utkrävs för att datat ska kunna dekrypteras och offret ska få åtkomst igen“.

Det första exemplet som faller under denna definition, även om den inträffade flera år innan den definierades som sådan, var AIDS Trojan. En skadlig programvara fick detta namn på grund av att offren riktade sig mot alla delegater vid Världshälsoorganisationens AIDS-konferens i Stockholm 1989.

Alla deltagare fick disketter (för er som kommer ihåg dem ?!) som innehöll skadlig kod. Koden krypterade namnen på alla filer och gömde alla kataloger på enheten efter att systemet startade för 90: e gången efter att ha smittats. Detta resulterade i att systemet blev oanvändbart.

Offren fick ett meddelande om att de var tvungna att skicka 189 dollar till en postadress i Panama om de ville att deras system skulle återställas. Även om det är långt ifrån moderna ransomware-attacker, är denna attack känd som det första försöket att pressa ut pengar från offer genom att förhindra åtkomst till deras filer och system. Lyckligtvis, på grund av den svaga krypteringen som användes av Trojanen, kunde säkerhetsexperter släppa ett gratis dekrypteringsverktyg som hjälpte offren, den gången.

Ransomware: En tillfällig trend

Efter mitten av 2000-talet fortsatte ransomware att utvecklas och började använda starkare, krypteringsmekanismer. Attacker begränsades fortfarande främst till enskilda hemanvändare, ofta där de begärde högst några hundra dollar för lösen. Det kan också tillskrivas det faktum att lösen vid den tiden skulle betalas i standardvaluta, vilket inte gav någon form av skydd för brottslingarna.

År 2012 publicerades en artikel på eWeek ”I stället för att kryptera hela hårddisken använder brottslingar ganska osofistikerad ransomware för att låsa ett offers dator och sedan kräva kontanter för nycklarna till dekryptering”. Detta var en av få tidiga offentliga observationer av det nya hot som ransomware var – en av de myriader av affärsmodeller som it-brottslighet experimenterade med vid den tiden. Journalisten avslutade artikeln med den här meningen: ”Jag tror att det bara är en tillfällig trend tills någon hittar en bättre idé att göra enkla pengar på”.

Kommentaren om en “bättre idé att göra enkla pengar på” pekade på ransomware akilleshäl vid den tiden, nämligen att det inte fanns något enkelt sätt att ta emot betalning från ransomware-offret, utan att brottslingen tvingades till användning av förbetalda kort eller penningöverföringar.

Vid den tiden verkade det tydligt att ransomware, som en form av brott, sannolikt inte skulle få något fäste eftersom det var alldeles för svårt att få betalning från offret. Numera verkar det slutliga citatet smått ironiskt. Trenden var, som det visar sig, allt annat än ”tillfällig”, något som diagrammet nedan illustrerar.

Offentligt rapporterade ransomware-incidenter

För ekosystemet för cyberbrott 2012 var ransomware en naturlig pivot. Det representerade en affärsmodell som möjliggjorde “direkt intäktsgenerering”, i motsats till att stjäla data till exempel, som sedan skulle behöva säljas igen för att någon vinst skulle kunna uppnås.

Ransomware har haft några fördelar, särskilt genom att det finns mindre behov av malwareoperatören att upprätthålla en Command and Control (C&C) kanal med den infekterade maskinen.

Men vid den tiden saknas fortfarande en avgörande fördel. De kunde inte använda de billiga och pålitliga betalningsnäten som kreditkortsföretagen tillhandahöll för att hämta betalningar från sina kunder. Det fanns inget säkert och effektivt sätt att ta emot och verifiera betalningar från offer och det innebar att ransomware, som affärsmodell för cyberkriminella, upplevdes som oanvändbar.