Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

Nominerad till
Publishingpriset 2017

En smartare it-nyhetssajt

Nominerad till
Publishingpriset 2017

Nu sprids Spora och ransomworms

Det nya ransomwaret Spora och så kallade ransomworms växer sig allt starkare, men vad är de för något och hur kan man skydda sig?

Text Fredrik Adolfsson 31 januari 2017 säkerhet

Magnus Sköld, Threat Prevention Security engineer på Check Point.

Säkerhetsåret 2017 har inletts med mycket snack om det nya ransomwaret Spora samt om ransomworms som verkar bli allt vanligare. På säkerhetsföretaget Check Point är Magnus Sköld Threat Prevention Security engineer, och han är smått förbluffad över Sporas effektivitet. 

 Spora är väldigt sofistikerat genomarbetat och har en krypteringsrutin som känns felfri. Utmärkande för Spora är också att det fungerar offline och kan kryptera filer direkt utan att behöva ta kontakt med någon, vilket gör det svårare för säkerhetssystem att då gå in och blockera. Man måste förlita sig till det lokala skyddet på klienten.

Utmärkande för Spora är bland annat att det fungerar offline och har en krypteringsrutin som känns felfri.

Magnus Sköld , Threat Prevention Security engineer, Check Point

Tillvägagångssättet för Sporas spridning är via email. Det skickas iväg ett mail som innehåller en zip-fil som i sin tur innehåller en hta-fil med dubbel filändelse för att gömma den sista ändelsen, vilket på så sätt får filen att se ut som ett vanligt dokument. Filen packar sedan upp ett Java Script som packar upp en exekverbar fil som traditionella antivirus aldrig kan hitta på grund av att den har randomiserat namn och annan hash. När Spora väl övertagit datorn så är det väldigt noga med vad det krypterar och rör aldrig något som kan påverka stabiliteten i datorn, såsom Windows-katalogen, programfiler och så vidare.

 Deras dekrypteringssida är i sin tur en SSL-baserad sajt skyddad av en TOR-gateway. Sidan är hur snyggt gjord som helst och ser ut som en vanlig kommersiell sajt. Betalningen är inte standardiserad utan anpassas unikt efter informationen de kommit åt, ska man återskapa vissa dokument kostar det en viss summa, ska man återskapa hela datorn kostar det lite mer, och så vidare.

 Man kan även lägga till en försäkring som innebär att Spora aldrig hackar dig igen. Det finns också en chatfunktion där man kan diskutera problemen och där de är väldigt hjälpsamma med betalningen, som i sig sker via bitcoins.

Bara drabbat Ryssland 

I dagsläget har Spora endast drabbat Ryssland men det är bara en tidsfråga innan det sprider sig, menar Magnus Sköld. 

– Jag tror att de kör en gigantisk proof of concept nu i Ryssland där hackarna försöker finputsa produkten och förbättra programvaran innan de går globalt, vilket kommer att ske snart. Man kan se att det inte är några nybörjare som skapat Spora utan de har tagit pusselbitar från olika ransomware och byggt vad man själv tycker är den ultimata ransomwaren. Vi har överhuvudtaget inte lyckats hitta några svagheter, än.

En annan snackis under början av året har varit ransomworms. De första varianterna av ransomworms kom egentligen under 2016 och innebär ett ransomware som sprids per automatik - likt en mask. Dessa blir vanligare på grund av att allt fler företag och privatpersoner fått en högre medvetenhet om ransomware och på så vis har hackarna fått svårare att ta sig in och tjäna pengar.

 Hackarna har börjat leta efter andra sätt att distribuera sitt ransomware, och med ransomworms kan det räcka med att en person klickar på fel fil för att hela företagets datorer ska bli krypterade. Och det blir ju en viss skillnad i proportioner för ett företag på 5000 anställda om en dator blir hackad eller om alla 5000 datorerna blir det.

Skydda molnet

Magnus Sköld ser även två andra potentiella förändringar inom säkerhetsbranschen under 2017. Den första rör betalningen efter att man blivit hackad och den andra rör molnet.

 Jag tror att innan hackarna krypterar din data med ransomware så kommer de stjäla den för att på så sätt ha en form av försäkring att du på något sätt måste betala. Om du exempelvis lyckas återställa din data på egen hand genom backup kommer de ändå kräva en ransom för att de inte ska distribuera datan till andra, de håller helt enkelt din data som gisslan. Att det inte är vanligare redan nu förvånar mig faktiskt.

 Jag tror också att det blir vanligare att hackarna fokuserar hårdare på data i molnet där företagen generellt har sämre backups. Där finns en stor affärsmöjlighet för dem och jag tror det är något av en tickande bomb.

Magnus Skölds fem råd för att klara er undan incidenter under säkerhetsåret 2017.

  1. Vi på Check Point är med i ett samarbete mellan säkerhetsleverantörer och myndigheten Europol som heter no more ransom och finns på sajten nomoreransom.org. Tidigare har säkerhetsleverantörer tävlat mot varandra men ransomware är ett så stort problem idag så att alla företag måste samarbeta. På sidan kan man även få tips om hur man skyddar sig samt skicka in krypterade filer ifall man blivit attackerad. Ibland har vi dekrypteringsnyckeln och kan helt gratis lösa problemen åt dig.
  2. Flera lager av säkerhet är ett krav. Företaget måste ha någon form av zero day protection med sandboxing-funktionalitet på både nätverks- och klientnivå. Spora är unikt i varje infektion och då går det inte att lita på traditionella antivirus.
  3. Utbilda användarna är viktigt. Här pratar jag inte om informationsmail eller liknande för dessa går användarna förbi. Utbildningen måste istället vara integrerad i säkerhetsprodukten så användarna informeras löpande i realtid om vad som gäller.
  4. Använd säkerhetssystem som realtidsscannar dokument i en sandbox och bara ger ut säkra kopior av dokumenten du öppnar. Sedan när sandboxingen är gjord får du originaldokumentet om du behöver det.
  5. Kör en kontinuerlig backup på all data, även den i molnet. Testa att göra en komplett återställning av datan för att se om backuprutinerna fungerar.

Rekommenderad läsning

Truesecs tips för ett bättre företagsskydd

16 maj 2017 säkerhet

I tider av WannaCry och andra säkerhetshot är företags säkerhetsarbete viktigare än någonsin. Marcus Murray från säkerhetsföretaget Truesec tycker att många företag fokuserar på fel saker när det gäller att skydda sig. Det enkla är ofta det viktigaste. 

Voister förklarar

Ransomware

20 jun 2017 Voister förklarar

It-säkerhet är ständigt på tapeten och ransomware är ett av de största hoten mot företagen just nu. Voister förklarar vad som skiljer dem från virus, hur du kan undvika dem och vad du gör om du blivit drabbad. 

Så attackerade WannaCry världen

15 maj 2017 säkerhet

På ett par dagar infekterade WannaCry hundratusentals datorer över hela världen. Nu befarar säkerhetsexperter fler vågor av viruset.

Se upp för nytt ransomware

31 maj 2016 säkerhet

Just nu huserar en våg av ransomware. Allt fler luras av ett falskt mail från Telia som i själva verket är ett virus. Så här skyddar du dig. 

Ingen säkerhet utan branschstandard

3 jun 2016 säkerhet

Branschen måste gå ihop och jobba efter standarder, annars försvåras säkerhetsarbetet för kunderna. Det är budskapet från Christoffer Callender, SE manager för Norden och Baltikum på Intel Security.

Utbildning ger resultat mot ransomware

6 okt 2016 säkerhet

video

Ransomware och andra hot botas bäst med utbildning. Efter att Boliden införde korta lektioner agerar medarbetarna snabbt och rätt vid attacker.

Skydda dig mot digitala bedrägerier

12 dec 2016 Säkerhet

Id-kapningar ökar med cirka 15 procent i Sverige per år och alltifrån vd-bedrägerier, phishing och ransomware blir vanligare. Mest dramatiska utvecklingen finns dock kring köp med andra personers kreditkortsuppgifter - som ökar med 50-60 procent.
– Ha ditt kort spärrat mot internetköp och handla på sidor som erbjuder 3D-Secure, tipsar Jan Olsson, förundersökningsledare på Nationell bedrägericentrum på Polisen.

Cisco: Se upp för spam och höga kostnader

1 feb 2017 säkerhet

Ciscos årliga säkerhetsrapport har kommit och i år innehåller den mycket nytt. Bland annat kom det fram att 20 procent av företagen som blivit utsatta för intrång tappat kunder på grund av detta och 30 procent har förlorat intäkter.