Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Nu sprids Spora och ransomworms

Det nya ransomwaret Spora och så kallade ransomworms växer sig allt starkare, men vad är de för något och hur kan man skydda sig?

Text Fredrik Adolfsson 31 januari 2017 säkerhet

magnus skold 960640.jpg

Magnus Sköld, Threat Prevention Security engineer på Check Point.

Säkerhetsåret 2017 har inletts med mycket snack om det nya ransomwaret Spora samt om ransomworms som verkar bli allt vanligare. På säkerhetsföretaget Check Point är Magnus Sköld Threat Prevention Security engineer, och han är smått förbluffad över Sporas effektivitet. 

 Spora är väldigt sofistikerat genomarbetat och har en krypteringsrutin som känns felfri. Utmärkande för Spora är också att det fungerar offline och kan kryptera filer direkt utan att behöva ta kontakt med någon, vilket gör det svårare för säkerhetssystem att då gå in och blockera. Man måste förlita sig till det lokala skyddet på klienten.

Utmärkande för Spora är bland annat att det fungerar offline och har en krypteringsrutin som känns felfri.

Magnus Sköld , Threat Prevention Security engineer, Check Point

Tillvägagångssättet för Sporas spridning är via email. Det skickas iväg ett mail som innehåller en zip-fil som i sin tur innehåller en hta-fil med dubbel filändelse för att gömma den sista ändelsen, vilket på så sätt får filen att se ut som ett vanligt dokument. Filen packar sedan upp ett Java Script som packar upp en exekverbar fil som traditionella antivirus aldrig kan hitta på grund av att den har randomiserat namn och annan hash. När Spora väl övertagit datorn så är det väldigt noga med vad det krypterar och rör aldrig något som kan påverka stabiliteten i datorn, såsom Windows-katalogen, programfiler och så vidare.

 Deras dekrypteringssida är i sin tur en SSL-baserad sajt skyddad av en TOR-gateway. Sidan är hur snyggt gjord som helst och ser ut som en vanlig kommersiell sajt. Betalningen är inte standardiserad utan anpassas unikt efter informationen de kommit åt, ska man återskapa vissa dokument kostar det en viss summa, ska man återskapa hela datorn kostar det lite mer, och så vidare.

 Man kan även lägga till en försäkring som innebär att Spora aldrig hackar dig igen. Det finns också en chatfunktion där man kan diskutera problemen och där de är väldigt hjälpsamma med betalningen, som i sig sker via bitcoins.

Bara drabbat Ryssland 

I dagsläget har Spora endast drabbat Ryssland men det är bara en tidsfråga innan det sprider sig, menar Magnus Sköld. 

– Jag tror att de kör en gigantisk proof of concept nu i Ryssland där hackarna försöker finputsa produkten och förbättra programvaran innan de går globalt, vilket kommer att ske snart. Man kan se att det inte är några nybörjare som skapat Spora utan de har tagit pusselbitar från olika ransomware och byggt vad man själv tycker är den ultimata ransomwaren. Vi har överhuvudtaget inte lyckats hitta några svagheter, än.

En annan snackis under början av året har varit ransomworms. De första varianterna av ransomworms kom egentligen under 2016 och innebär ett ransomware som sprids per automatik - likt en mask. Dessa blir vanligare på grund av att allt fler företag och privatpersoner fått en högre medvetenhet om ransomware och på så vis har hackarna fått svårare att ta sig in och tjäna pengar.

 Hackarna har börjat leta efter andra sätt att distribuera sitt ransomware, och med ransomworms kan det räcka med att en person klickar på fel fil för att hela företagets datorer ska bli krypterade. Och det blir ju en viss skillnad i proportioner för ett företag på 5000 anställda om en dator blir hackad eller om alla 5000 datorerna blir det.

Skydda molnet

Magnus Sköld ser även två andra potentiella förändringar inom säkerhetsbranschen under 2017. Den första rör betalningen efter att man blivit hackad och den andra rör molnet.

 Jag tror att innan hackarna krypterar din data med ransomware så kommer de stjäla den för att på så sätt ha en form av försäkring att du på något sätt måste betala. Om du exempelvis lyckas återställa din data på egen hand genom backup kommer de ändå kräva en ransom för att de inte ska distribuera datan till andra, de håller helt enkelt din data som gisslan. Att det inte är vanligare redan nu förvånar mig faktiskt.

 Jag tror också att det blir vanligare att hackarna fokuserar hårdare på data i molnet där företagen generellt har sämre backups. Där finns en stor affärsmöjlighet för dem och jag tror det är något av en tickande bomb.

Magnus Skölds fem råd för att klara er undan incidenter under säkerhetsåret 2017.

  1. Vi på Check Point är med i ett samarbete mellan säkerhetsleverantörer och myndigheten Europol som heter no more ransom och finns på sajten nomoreransom.org. Tidigare har säkerhetsleverantörer tävlat mot varandra men ransomware är ett så stort problem idag så att alla företag måste samarbeta. På sidan kan man även få tips om hur man skyddar sig samt skicka in krypterade filer ifall man blivit attackerad. Ibland har vi dekrypteringsnyckeln och kan helt gratis lösa problemen åt dig.
  2. Flera lager av säkerhet är ett krav. Företaget måste ha någon form av zero day protection med sandboxing-funktionalitet på både nätverks- och klientnivå. Spora är unikt i varje infektion och då går det inte att lita på traditionella antivirus.
  3. Utbilda användarna är viktigt. Här pratar jag inte om informationsmail eller liknande för dessa går användarna förbi. Utbildningen måste istället vara integrerad i säkerhetsprodukten så användarna informeras löpande i realtid om vad som gäller.
  4. Använd säkerhetssystem som realtidsscannar dokument i en sandbox och bara ger ut säkra kopior av dokumenten du öppnar. Sedan när sandboxingen är gjord får du originaldokumentet om du behöver det.
  5. Kör en kontinuerlig backup på all data, även den i molnet. Testa att göra en komplett återställning av datan för att se om backuprutinerna fungerar.

Rekommenderad läsning

wang dong 960 640.jpg

Truesecs tips för ett bättre företagsskydd

16 maj 2017 säkerhet

I tider av WannaCry och andra säkerhetshot är företags säkerhetsarbete viktigare än någonsin. Marcus Murray från säkerhetsföretaget Truesec tycker att många företag fokuserar på fel saker när det gäller att skydda sig. Det enkla är ofta det viktigaste. 

Voister_forklarar_ransomware_960x640.jpg
Voister förklarar

Ransomware

20 jun 2017 Voister förklarar

It-säkerhet är ständigt på tapeten och ransomware är ett av de största hoten mot företagen just nu. Voister förklarar vad som skiljer dem från virus, hur du kan undvika dem och vad du gör om du blivit drabbad. 

WannaCry_960x640.jpg

Så attackerade WannaCry världen

15 maj 2017 säkerhet

På ett par dagar infekterade WannaCry hundratusentals datorer över hela världen. Nu befarar säkerhetsexperter fler vågor av viruset.

people-in-city.jpg

Cisco: Mjukvaran hotar säkerheten

13 dec 2017 säkerhet

2017 har varit ett helt banbrytande år när det gäller cyberattacker, där Petya och WannaCry är några av de kändaste. Utvecklingen beror bland annat på att hårdvaran fortsätter utvecklas enligt Moores lag, men mjukvaran har hamnat efter.

it-hot.jpg

Största it-hoten 2018

6 dec 2017 säkerhet

It-säkerhetsföretaget Trend micro har i sin årliga spaningsrapport identifierat i huvudsak fyra farliga trender inom hackingvärlden att hålla ögonen öppna för – och där Sveriges demokratiska process kan hamna i farozonen.

crab.jpg

Gandcrab 2.0 slår till

7 mar 2018 säkerhet

Gisslanprogrammet Gandcrab har under den senaste månaden infekterat runt 53 000 datorer runt om i världen. Europol och Bitdefender tog fram en gratistjänst som skydd men nu slår hackarna tillbaka.

monero-mynt.jpg

Kryptonappning sprider malware

13 feb 2018 säkerhet

Mjukvaruprogram som tar över produktionen av en kryptovaluta har blivit den vanligaste formen av malware. Bara förra helgen drabbades över 4000 organisationer av en attack.

myllrande-manniskor-pa-konferens.jpg

Kryptokapningen växer

15 mar 2018 säkerhet

Under februari påverkades 42 procent av världens organisationer av kryptokapare och Coinhive var den vanligaste skadliga koden enligt en rapport från säkerhetsföretaget Check Point. 

Mikko_960x640.jpg

IoT är årets största hot

19 mar 2018 säkerhet

Internet of things kan i år komma att bli vad ransomware var förra året, nämligen det största hotet mot privatpersoner och företag. Det menar Mikko Hyppönen, F-Secure, som i april kommer till Sverige och talar på Strategi säkerhet 2018.