Nu sprids Spora och ransomworms

magnus skold 960640.jpg

Magnus Sköld, Threat Prevention Security engineer på Check Point.

Det nya ransomwaret Spora och så kallade ransomworms växer sig allt starkare, men vad är de för något och hur kan man skydda sig?

Säkerhetsåret 2017 har inletts med mycket snack om det nya ransomwaret Spora samt om ransomworms som verkar bli allt vanligare. På säkerhetsföretaget Check Point är Magnus Sköld Threat Prevention Security engineer, och han är smått förbluffad över Sporas effektivitet. 

 Spora är väldigt sofistikerat genomarbetat och har en krypteringsrutin som känns felfri. Utmärkande för Spora är också att det fungerar offline och kan kryptera filer direkt utan att behöva ta kontakt med någon, vilket gör det svårare för säkerhetssystem att då gå in och blockera. Man måste förlita sig till det lokala skyddet på klienten.

Utmärkande för Spora är bland annat att det fungerar offline och har en krypteringsrutin som känns felfri.

Magnus Sköld , Threat Prevention Security engineer, Check Point

Tillvägagångssättet för Sporas spridning är via email. Det skickas iväg ett mail som innehåller en zip-fil som i sin tur innehåller en hta-fil med dubbel filändelse för att gömma den sista ändelsen, vilket på så sätt får filen att se ut som ett vanligt dokument. Filen packar sedan upp ett Java Script som packar upp en exekverbar fil som traditionella antivirus aldrig kan hitta på grund av att den har randomiserat namn och annan hash. När Spora väl övertagit datorn så är det väldigt noga med vad det krypterar och rör aldrig något som kan påverka stabiliteten i datorn, såsom Windows-katalogen, programfiler och så vidare.

 Deras dekrypteringssida är i sin tur en SSL-baserad sajt skyddad av en TOR-gateway. Sidan är hur snyggt gjord som helst och ser ut som en vanlig kommersiell sajt. Betalningen är inte standardiserad utan anpassas unikt efter informationen de kommit åt, ska man återskapa vissa dokument kostar det en viss summa, ska man återskapa hela datorn kostar det lite mer, och så vidare.

 Man kan även lägga till en försäkring som innebär att Spora aldrig hackar dig igen. Det finns också en chatfunktion där man kan diskutera problemen och där de är väldigt hjälpsamma med betalningen, som i sig sker via bitcoins.

Bara drabbat Ryssland 

I dagsläget har Spora endast drabbat Ryssland men det är bara en tidsfråga innan det sprider sig, menar Magnus Sköld. 

– Jag tror att de kör en gigantisk proof of concept nu i Ryssland där hackarna försöker finputsa produkten och förbättra programvaran innan de går globalt, vilket kommer att ske snart. Man kan se att det inte är några nybörjare som skapat Spora utan de har tagit pusselbitar från olika ransomware och byggt vad man själv tycker är den ultimata ransomwaren. Vi har överhuvudtaget inte lyckats hitta några svagheter, än.

En annan snackis under början av året har varit ransomworms. De första varianterna av ransomworms kom egentligen under 2016 och innebär ett ransomware som sprids per automatik - likt en mask. Dessa blir vanligare på grund av att allt fler företag och privatpersoner fått en högre medvetenhet om ransomware och på så vis har hackarna fått svårare att ta sig in och tjäna pengar.

 Hackarna har börjat leta efter andra sätt att distribuera sitt ransomware, och med ransomworms kan det räcka med att en person klickar på fel fil för att hela företagets datorer ska bli krypterade. Och det blir ju en viss skillnad i proportioner för ett företag på 5000 anställda om en dator blir hackad eller om alla 5000 datorerna blir det.

Skydda molnet

Magnus Sköld ser även två andra potentiella förändringar inom säkerhetsbranschen under 2017. Den första rör betalningen efter att man blivit hackad och den andra rör molnet.

 Jag tror att innan hackarna krypterar din data med ransomware så kommer de stjäla den för att på så sätt ha en form av försäkring att du på något sätt måste betala. Om du exempelvis lyckas återställa din data på egen hand genom backup kommer de ändå kräva en ransom för att de inte ska distribuera datan till andra, de håller helt enkelt din data som gisslan. Att det inte är vanligare redan nu förvånar mig faktiskt.

 Jag tror också att det blir vanligare att hackarna fokuserar hårdare på data i molnet där företagen generellt har sämre backups. Där finns en stor affärsmöjlighet för dem och jag tror det är något av en tickande bomb.

Magnus Skölds fem råd för att klara er undan incidenter under säkerhetsåret 2017.

  1. Vi på Check Point är med i ett samarbete mellan säkerhetsleverantörer och myndigheten Europol som heter no more ransom och finns på sajten nomoreransom.org. Tidigare har säkerhetsleverantörer tävlat mot varandra men ransomware är ett så stort problem idag så att alla företag måste samarbeta. På sidan kan man även få tips om hur man skyddar sig samt skicka in krypterade filer ifall man blivit attackerad. Ibland har vi dekrypteringsnyckeln och kan helt gratis lösa problemen åt dig.
  2. Flera lager av säkerhet är ett krav. Företaget måste ha någon form av zero day protection med sandboxing-funktionalitet på både nätverks- och klientnivå. Spora är unikt i varje infektion och då går det inte att lita på traditionella antivirus.
  3. Utbilda användarna är viktigt. Här pratar jag inte om informationsmail eller liknande för dessa går användarna förbi. Utbildningen måste istället vara integrerad i säkerhetsprodukten så användarna informeras löpande i realtid om vad som gäller.
  4. Använd säkerhetssystem som realtidsscannar dokument i en sandbox och bara ger ut säkra kopior av dokumenten du öppnar. Sedan när sandboxingen är gjord får du originaldokumentet om du behöver det.
  5. Kör en kontinuerlig backup på all data, även den i molnet. Testa att göra en komplett återställning av datan för att se om backuprutinerna fungerar.

31 januari 2017Uppdaterad 2 oktober 2023Reporter Fredrik Adolfsson säkerhet

Läs mer om ämnet:

Voisters nyhetsbrev

Allt om digitalisering, branschens insikter och smartare teknik.

Rekommenderad läsning

Stäng