Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Nu sprids Spora och ransomworms

magnus skold 960640.jpg

Magnus Sköld, Threat Prevention Security engineer på Check Point.

Det nya ransomwaret Spora och så kallade ransomworms växer sig allt starkare, men vad är de för något och hur kan man skydda sig?

Säkerhetsåret 2017 har inletts med mycket snack om det nya ransomwaret Spora samt om ransomworms som verkar bli allt vanligare. På säkerhetsföretaget Check Point är Magnus Sköld Threat Prevention Security engineer, och han är smått förbluffad över Sporas effektivitet. 

 Spora är väldigt sofistikerat genomarbetat och har en krypteringsrutin som känns felfri. Utmärkande för Spora är också att det fungerar offline och kan kryptera filer direkt utan att behöva ta kontakt med någon, vilket gör det svårare för säkerhetssystem att då gå in och blockera. Man måste förlita sig till det lokala skyddet på klienten.

Utmärkande för Spora är bland annat att det fungerar offline och har en krypteringsrutin som känns felfri.

Magnus Sköld , Threat Prevention Security engineer, Check Point

Tillvägagångssättet för Sporas spridning är via email. Det skickas iväg ett mail som innehåller en zip-fil som i sin tur innehåller en hta-fil med dubbel filändelse för att gömma den sista ändelsen, vilket på så sätt får filen att se ut som ett vanligt dokument. Filen packar sedan upp ett Java Script som packar upp en exekverbar fil som traditionella antivirus aldrig kan hitta på grund av att den har randomiserat namn och annan hash. När Spora väl övertagit datorn så är det väldigt noga med vad det krypterar och rör aldrig något som kan påverka stabiliteten i datorn, såsom Windows-katalogen, programfiler och så vidare.

 Deras dekrypteringssida är i sin tur en SSL-baserad sajt skyddad av en TOR-gateway. Sidan är hur snyggt gjord som helst och ser ut som en vanlig kommersiell sajt. Betalningen är inte standardiserad utan anpassas unikt efter informationen de kommit åt, ska man återskapa vissa dokument kostar det en viss summa, ska man återskapa hela datorn kostar det lite mer, och så vidare.

 Man kan även lägga till en försäkring som innebär att Spora aldrig hackar dig igen. Det finns också en chatfunktion där man kan diskutera problemen och där de är väldigt hjälpsamma med betalningen, som i sig sker via bitcoins.

Bara drabbat Ryssland 

I dagsläget har Spora endast drabbat Ryssland men det är bara en tidsfråga innan det sprider sig, menar Magnus Sköld. 

– Jag tror att de kör en gigantisk proof of concept nu i Ryssland där hackarna försöker finputsa produkten och förbättra programvaran innan de går globalt, vilket kommer att ske snart. Man kan se att det inte är några nybörjare som skapat Spora utan de har tagit pusselbitar från olika ransomware och byggt vad man själv tycker är den ultimata ransomwaren. Vi har överhuvudtaget inte lyckats hitta några svagheter, än.

En annan snackis under början av året har varit ransomworms. De första varianterna av ransomworms kom egentligen under 2016 och innebär ett ransomware som sprids per automatik - likt en mask. Dessa blir vanligare på grund av att allt fler företag och privatpersoner fått en högre medvetenhet om ransomware och på så vis har hackarna fått svårare att ta sig in och tjäna pengar.

 Hackarna har börjat leta efter andra sätt att distribuera sitt ransomware, och med ransomworms kan det räcka med att en person klickar på fel fil för att hela företagets datorer ska bli krypterade. Och det blir ju en viss skillnad i proportioner för ett företag på 5000 anställda om en dator blir hackad eller om alla 5000 datorerna blir det.

Skydda molnet

Magnus Sköld ser även två andra potentiella förändringar inom säkerhetsbranschen under 2017. Den första rör betalningen efter att man blivit hackad och den andra rör molnet.

 Jag tror att innan hackarna krypterar din data med ransomware så kommer de stjäla den för att på så sätt ha en form av försäkring att du på något sätt måste betala. Om du exempelvis lyckas återställa din data på egen hand genom backup kommer de ändå kräva en ransom för att de inte ska distribuera datan till andra, de håller helt enkelt din data som gisslan. Att det inte är vanligare redan nu förvånar mig faktiskt.

 Jag tror också att det blir vanligare att hackarna fokuserar hårdare på data i molnet där företagen generellt har sämre backups. Där finns en stor affärsmöjlighet för dem och jag tror det är något av en tickande bomb.

Magnus Skölds fem råd för att klara er undan incidenter under säkerhetsåret 2017.

  1. Vi på Check Point är med i ett samarbete mellan säkerhetsleverantörer och myndigheten Europol som heter no more ransom och finns på sajten nomoreransom.org. Tidigare har säkerhetsleverantörer tävlat mot varandra men ransomware är ett så stort problem idag så att alla företag måste samarbeta. På sidan kan man även få tips om hur man skyddar sig samt skicka in krypterade filer ifall man blivit attackerad. Ibland har vi dekrypteringsnyckeln och kan helt gratis lösa problemen åt dig.
  2. Flera lager av säkerhet är ett krav. Företaget måste ha någon form av zero day protection med sandboxing-funktionalitet på både nätverks- och klientnivå. Spora är unikt i varje infektion och då går det inte att lita på traditionella antivirus.
  3. Utbilda användarna är viktigt. Här pratar jag inte om informationsmail eller liknande för dessa går användarna förbi. Utbildningen måste istället vara integrerad i säkerhetsprodukten så användarna informeras löpande i realtid om vad som gäller.
  4. Använd säkerhetssystem som realtidsscannar dokument i en sandbox och bara ger ut säkra kopior av dokumenten du öppnar. Sedan när sandboxingen är gjord får du originaldokumentet om du behöver det.
  5. Kör en kontinuerlig backup på all data, även den i molnet. Testa att göra en komplett återställning av datan för att se om backuprutinerna fungerar.

31 januari 2017 Reporter Fredrik Adolfsson säkerhet

Rekommenderad läsning

bilkrasch-sakerhet-960640.jpg

En ny säkerhetsvärld

4 sep 2018 säkerhet

Hoten ökar och blir allt mer komplexa då hackare tar hjälp av AI och skapar maskinsnabba attacker. Samtidigt används vd-bedrägerier och andra angrepp till en stor kostnad för drabbade. Rik Ferguson, VP Security Research på Trend Micro, skissar en hotfull framtid under Trend Micros Xday.

dolda-cyberattacker-okar.jpg

Dolda cyberattacker ökar

29 aug 2018 säkerhet

Cyberkriminella har börjat röra sig från uppseendeväckande attacker via ransomware till mer dolda attacker för att stjäla pengar och känslig information utan att användaren märker det. Kryptokapningar har ökat dramatiskt och hittills i år har 114 miljarder kronor gått förlorade, visar en ny rapport från Trend Micro.

industrirobot-960640.jpg

Därför ska du uppdatera W10

2 jul 2018 digit

I Microsofts senaste uppdatering för Windows 10 ska användarna lättare kunna fokusera och komma tillbaka till gamla specifika tidpunkter. Men framförallt utökas skyddet mot ransomware och andra säkerhetshot.

ryssland-960640.jpg

Kaspersky till motattack

15 jun 2018 säkerhet

Efter EU:s påståenden om att Kaspersky labs produkter är en säkerhetsrisk, så avslutar nu det ryska säkerhetsföretaget sina samarbeten med både Europol och Nomoreransom.

fbi-trend-micro-hund-960640.jpg

Ett säkerhetshot mindre

12 jun 2018 säkerhet

FBI och Trend Micro har lyckats stänga ner Scan4You – ett verktyg för kriminella som hjälper dem utveckla sina virusprogram.

manniskor-i-konferenshall-i-rorelse.jpg

Kulmen för ransomware

4 jun 2018 säkerhet

Antalet kryptokapningar fortsätter att öka. Samtidigt minskar antalet vd-bluffmejl och attacker med kidnappningsprogram något, visar en ny säkerhetsrapport.

manniskor-i-rorelse.jpg

Telegram för cyberbrott

17 maj 2018 säkerhet

När polis och andra myndigheter stängt ner några handelsplatser för cyberbrott, verkar meddelandeappen Telegram nu vara ett populärt alternativ för skumraskaffärer.

manga-manniskor-pa-bred-gata.jpg

Okända appar hotar GDPR

25 apr 2018 säkerhet

Nära hälften av företagens nätverkstrafik och applikationer kan it-ansvariga inte identifiera och i en fjärdedel av fallen har 70 procent av nätverkstrafiken okänd identitet.

Mikko_960x640.jpg

IoT är årets största hot

19 mar 2018 säkerhet

Internet of things kan i år komma att bli vad ransomware var förra året, nämligen det största hotet mot privatpersoner och företag. Det menar Mikko Hyppönen, F-Secure, som i april kommer till Sverige och talar på Strategi säkerhet 2018.