1. Blogg
  2. Cyberdefense
  3. Ransomware: Hur det startade

Ransomware: Hur det startade

För tio år sedan kvalificerades ransomware som en ”tillfällig trend”, här är vad som hänt sedan dess.

Den gamla versionen av ransomware, på en diskett

Ransomware kan beskrivas som ”en delmängd av skadlig kod där data på offrets dator blir låsta, vanligtvis genom kryptering, och betalning utkrävs för att datat ska kunna dekrypteras och offret ska få åtkomst igen“.

Det första exemplet som faller under denna definition, även om den inträffade flera år innan den definierades som sådan, var AIDS Trojan. En skadlig programvara fick detta namn på grund av att offren riktade sig mot alla delegater vid Världshälsoorganisationens AIDS-konferens i Stockholm 1989.

Alla deltagare fick disketter (för er som kommer ihåg dem ?!) som innehöll skadlig kod. Koden krypterade namnen på alla filer och gömde alla kataloger på enheten efter att systemet startade för 90: e gången efter att ha smittats. Detta resulterade i att systemet blev oanvändbart.

Offren fick ett meddelande om att de var tvungna att skicka 189 dollar till en postadress i Panama om de ville att deras system skulle återställas. Även om det är långt ifrån moderna ransomware-attacker, är denna attack känd som det första försöket att pressa ut pengar från offer genom att förhindra åtkomst till deras filer och system. Lyckligtvis, på grund av den svaga krypteringen som användes av Trojanen, kunde säkerhetsexperter släppa ett gratis dekrypteringsverktyg som hjälpte offren, den gången.

Ransomware: En tillfällig trend

Efter mitten av 2000-talet fortsatte ransomware att utvecklas och började använda starkare, krypteringsmekanismer. Attacker begränsades fortfarande främst till enskilda hemanvändare, ofta där de begärde högst några hundra dollar för lösen. Det kan också tillskrivas det faktum att lösen vid den tiden skulle betalas i standardvaluta, vilket inte gav någon form av skydd för brottslingarna.

År 2012 publicerades en artikel på eWeek ”I stället för att kryptera hela hårddisken använder brottslingar ganska osofistikerad ransomware för att låsa ett offers dator och sedan kräva kontanter för nycklarna till dekryptering”. Detta var en av få tidiga offentliga observationer av det nya hot som ransomware var – en av de myriader av affärsmodeller som it-brottslighet experimenterade med vid den tiden. Journalisten avslutade artikeln med den här meningen: ”Jag tror att det bara är en tillfällig trend tills någon hittar en bättre idé att göra enkla pengar på”.

Kommentaren om en “bättre idé att göra enkla pengar på” pekade på ransomware akilleshäl vid den tiden, nämligen att det inte fanns något enkelt sätt att ta emot betalning från ransomware-offret, utan att brottslingen tvingades till användning av förbetalda kort eller penningöverföringar.

Vid den tiden verkade det tydligt att ransomware, som en form av brott, sannolikt inte skulle få något fäste eftersom det var alldeles för svårt att få betalning från offret. Numera verkar det slutliga citatet smått ironiskt. Trenden var, som det visar sig, allt annat än ”tillfällig”, något som diagrammet nedan illustrerar.

Offentligt rapporterade ransomware-incidenter

Källa: Orange Cyberfense och Temple University. Projekt: ”Critical Infrastructures Ransomware Attacks (CIRWAs). Inkluderar 687 poster samlade från offentligt upptäckta incidenter mellan november 2013 och augusti 2020.

Ransomware: Det nästan perfekta cybervapnet

För ekosystemet för cyberbrott 2012 var ransomware en naturlig pivot. Det representerade en affärsmodell som möjliggjorde “direkt intäktsgenerering”, i motsats till att stjäla data till exempel, som sedan skulle behöva säljas igen för att någon vinst skulle kunna uppnås.

Ransomware har haft några fördelar, särskilt genom att det finns mindre behov av malwareoperatören att upprätthålla en Command and Control (C&C) kanal med den infekterade maskinen.

Men vid den tiden saknas fortfarande en avgörande fördel. De kunde inte använda de billiga och pålitliga betalningsnäten som kreditkortsföretagen tillhandahöll för att hämta betalningar från sina kunder. Det fanns inget säkert och effektivt sätt att ta emot och verifiera betalningar från offer och det innebar att ransomware, som affärsmodell för cyberkriminella, upplevdes som oanvändbar.

När ransomware möter Bitcoin

Den 18 augusti 2008 registrerades domännamnet bitcoin.org. Senare samma år publicerade den mystiska Satoshi Nakamoto sitt banbrytande dokument om metoder för att använda peer-to-peer på “ett system för elektroniska transaktioner utan att det bygger på någon form av tillit”. Den 3 januari 2009 startade bitcoin-nätverket.

Bitcoin visade sig vara precis vad brottsmodellen baserat på ransomware behövde -ett säkert, billigt, enkelt och pålitligt sätt att få betalning från sina offer. Förutom den höga graden av anonymitet, kan en hackare helt enkelt se i den offentliga blockchain när och om ett offer har betalat angiven summa. De kan till och med skapa en unik betalningsadress för varje offer och automatisera processen för att låsa upp filerna vid en bekräftad bitcoin-transaktion.

År 2013 hade CryptoLocker-ransomware – som använt Bitcoin för att samla in lösenpengar – tjänat cirka 27 miljoner US-dollar på bara två månader

Kryptovalutor har hjälpt till att göra ransomware till en mycket stark affärsmodell för it-brottslighet. När cyberförsäkringar började betala ut lösensumman på offrets vägnar, skapades den perfekta stormen. Ransomware är nu cyberbrottens ”killer-app” och så långt vi kan se är det, tyvärr, här för att stanna.

För att upptäcka mer om ransomware, läs vår Security Navigator.

Läs nästa bloggpost gällande ransomeware här.

 

Kontakt & support

Share