Som vi skrev i det första inlägget av vår bloggserie om ransomware, när införandet av Bitcoin tog greppet om industrin i mitten av 2010-talet, skiftade angriparna sitt fokus och man såg en uppgång i ransomware-attacker. Lösensummor som krävdes i kryptovaluta gav angriparna en nivå av anonymitet, eftersom betalningarna blev svårare att spåra jämfört med vanlig valuta.
Med kryptovaluta blev det lättare att tjäna pengar på ransomware och attackerna ökade under 2016, med grupper likt ”Locky and Cerber” som visade vägen. ”Locky” distribuerades vanligtvis med hjälp av en e-postbilaga i Word-dokument som, förutom nonsens, innehöll en uppmaning att aktivera makron för att se dokumentet. Aktiveringen av makrot resulterade i att krypteringstrojanen laddas ner och kördes. Denna typ av ”social-engineering” användes även av ”Cerber”, vilka också använde distributionsmetoden med att e-posta ut Word-dokument med inbäddade skadliga makron.
År 2016 sågs även den första förekomsten av ransomware-as-a-service (RaaS) med författarna bakom ”Cerber” som effektivt hyrde ut access till den skadliga koden i utbyte mot en procentsats av alla betalade lösensummor. Genom att delegera arbetet med att hitta måltavlor och infektera system till partners, kunde de skala upp men ändå med mindre arbete för de ursprungliga ransomware-utvecklarna.
Ransomware förekom kontinuerligt under 2017. WannaCry-ransomware-attacken i maj 2017 hade en global inverkan som spred sig snabbt genom icke uppdaterade eller äldre Microsoft Windows-datorer. WannaCry spred sig med utnyttjandet av EternalBlueSMB som utvecklats av US National Security Agency och sedan stals och släpptes av hackinggruppen “Shadow Brokers”. Trots att Microsoft hade släppt en kritisk patch för sårbarheten, en månad tidigare förblev många system ouppdaterade och därför sårbara, vilket resulterade i en snabb spridning av WannaCry. Även om vissa rapporter visar på att offren hade betalat lösensumman i Bitcoin, som krävdes, finns det inga bevis för att någon av dem fick sina filer dekrypterade. Den allmänna uppfattningen är att det inte fanns något effektivt sätt att dekryptera filer inbyggda i den skadliga programvara, vilket innebar att detta bara var tänkt som en destruktiv skadlig handling.
Totalt påverkades datorsystem i 150 länder och de totala förlusterna som orsakades globalt, uppskattades till 4 miljarder dollar.
Hack i häl på WannaCry kom, i juni 2017, NotPetya. Till stor del tros det ha varit en cyberkrigshandling av Ryssland riktad mot Ukraina. NotPetya, en skadlig programvara för Microsoft Windows-baserade system och som infekterar ”master boot record” för att utföra en payload som krypterar hårddiskens filsystemstabell och förhindrar att Windows startar
Trots att en lösensumma presenterades, var varje försök att betala lösen meningslöst eftersom målet med NotPetya bara var att förstöra och det fanns ingen krypteringsnyckel tillgänglig. Flera högt uppsatta organisationer drabbades av betydande förluster på 100 miljoner dollar, såsom det danska rederiet Maersk, leveransföretaget FedEx, läkemedelsföretaget Merck och, kanske ironiskt nog, det ryska statliga oljebolaget Rosneft.
Dessa sofistikerade attacker ledde till en insikt för ransomware-grupper som snarare än att bara rikta in sig på enskilda system, istället kunde utnyttja opatchade sårbarheter och flytta i sidled till andra system, som kanske innehöll data med högre affärsvärde. Därmed orsakades mer kaos för offren, och som följd, en högre sannolikheten att betala lösensumman.
Snabbspolning fram till 2020 och ransomware är en väletablerad och mycket lukrativ del av cyberbrottsekosystemet. Ransomware i sig använder mycket bättre kod och krypteringsscheman implementeras bättre och därmed hindrar säkerhetsföretagens försök att dekryptera berörda data.
Även om det finns specifika och välkända ransomwaregrupper som till synes dominerar marknaden, betyder den allmänt antagna ransomware-as-a-service-modellen att det nästan är omöjligt att veta vem/vilka de verkliga aktörerna bakom en attack egentligen är.
Det har också skett betydande förändringar i den taktik som används av ransomwaregrupper. Ett nyckelfaktor i detta är en förändring från där man nyttjar hagelgevär och angriper enskilda system till vad vi nu ser som ett mycket fokuserat tillvägagångssätt, där organisationer blir måltavlor baserat på det potentiellt höga värdet som deras data anses ha, så kallade “Big Game Hunting” ransomware-attacker .
Den kanske största taktik-utvecklingen inom ransomware, är det som ursprungligen var banbrytande av Maze-gruppen mot slutet av 2019 och som därefter allmänt har antagits av de flesta grupper som följer deras bana. Taktiken Maze-gruppen använde var, istället för att bara kryptera data, rörde de sig genom ett nätverk för att stjäla värdefull data innan de sedan tryckte på knappen för att kryptera.
Denna stöld av data gav sedan ett extra lager för utpressning, varigenom de hotade att sälja uppgifterna eller släppa dem offentligt om ett offer vägrade att betala lösen. Denna attack av så kallad “dubbel-utpressning” innebär att en angripare har mycket högre sannolikhet för att få betalning. Antingen från själva lösen eller genom försäljning av data på Darkweb-Marketplace. För en utsatt organisation innebär detta flera vinklar på bekymren. Till att börja med betyder det att angriparna har varit inne i nätverket under en längre tid för att få åtkomst till de, ofta gigabyte-mängd, stulna data.
Ingen kan vara säker på om angriparna har implementerat bakdörrar eller kunnat stjäla uppgifter som gör det möjligt för dem att återvända, och de vet förmodligen inte heller exakt vilken data som har stulits.
Även om Maze-ransomwaregruppen har tillkännagivit att de upphört med verksamheten, men i allmänhet tror man att de helt enkelt ersattes av den nya gruppen Egregor, är det nu vanligt för majoriteten av ransomware-gäng att använda dubbel utpressning av denna typ.
De flesta av de högt profilerade grupperna, såsom Egregor, REvil (Sodinokibi), DoppelPaymer mfl, upprätthåller sidor för att läcka information antingen på darkweb eller det offentliga Internetet.2 Dessa sidor används för att “offentliggöra” organisationer som har attackerats och/eller vägrar att betala lösen och innehåller ofta teasers om vilka uppgifter de har stulit.
Denna metod sätter inte bara press på organisationer att betala, det fungerar också som ett sätt att offentliggöra avslöjandet, vilket innebär att en utsatt organisation inte kan försöka sopa attacken under mattan. Istället måste de behandla attacken som ett dataintrång och därmed omfattas av myndighetskontroller såsom GDPR, med följd om eventuella böter som ett resultat.
Läs vårt tidigare blogginlägg om hur ransomware startade här.
Läs om ifall att en EDR-lösning kan upptäcka ransomware här.