Udviklingen af ransomware: Fra simpel malware til sofistikerede RaaS-operationer

En bærbar skærm, der viser en rød advarselsmeddelelse med et hængelåsikon og ordet "RANSOMWARE" med fede hvide bogstaver, efterfulgt af teksten "DINE FILER ER KRYPTET".

Ransomware forbliver en evigt tilstedeværende trussel

En af de største cybernøglere i de sidste par år har uden tvivl været Ransomware, der har forårsaget milliarder i økonomiske tab og driftsforstyrrelser for virksomheder
og enkeltpersoner.
Ransomware er vokset fra et primitivt værktøj designet til at kryptere filer og kræve betaling til et avanceret kriminelt økosystem med Ransomware-as-a-Service (RaaS) kapaciteter, der gjorde det nemt for trusselsaktører at udføre angreb.

Udviklingen af piratkopiering fra en handling begået af amatører til en truende forbrydelse rundt om i verden

Det første ransomware-angreb, der blev rapporteret, skete i 1989, og denne computervirus blev kaldt AIDS Trojan; denne virus blev kopieret til disketter og delt mellem deltagerne til Verdenssundhedsorganisationens konference. I modsætning til nutidens ransomware, som er højt udviklet til at afpresse penge fra brugeren, var denne tidlige type ransomware mindre sofistikeret, og den krypterede blot filerne på en computer og viste derefter en pop-up-meddelelse i bytte for penge for at ukryptere filerne.
Ransomware forblev en regional trussel i et stykke tid, men med internettets indtrængen og fremskridt inden for teknologi spredte det sig til internationalt niveau.
Ransomware dukkede først op i begyndelsen af 2000’erne og blev spredt gennem brug af inficerede e-mails med vedhæftede filer og via websteder, der overtaler folk til at downloade
malwaren og køre den på deres systemer.
De første ransomware-varianter, der dukkede op, omfattede GPCode og Archiveus, som brugte uerfarne krypteringsmetoder, der nemt kunne dekrypteres, således,
muligheden for at betale var ikke den eneste måde at få filerne tilbage på.

Teknikker og strategier til CryptoLocker og nuværende ransomware

Det var dog i 2013, at det overordnede billede af ransomware-programmer udviklede sig med udgivelsen af CryptoLocker ransomware, der brugte kryptering af høj kvalitet til at låse filer af de inficerede og krævede betaling i bitcoins.CryptoLocker blev leveret via vedhæftede filer i e-mails og blev også aktiveret på ikke-patchet software som Java eller Adobe Flash til at inficere systemer. Det var meget succesfuldt, påvirkede over 500.000 systemer og indkasserede anslået $3 millioner i løsesum, før det blev lukket ned i 2014 af myndigheder. En ny race af ransomware, CryptoLockers efterfølgere CryptoWall, Locky og Cerber er blot nogle, de er fortsat med at dukke op på markedet igen. Disse nye moderne ransomware-varianter anvendte forskellige grader af kompleksitet, som inkluderer polymorf kryptering og anti-analysemekanismer for at undgå at blive opdaget af sikkerhedsprogrammer. De flyttede også deres fokus ikke kun til de almindelige mennesker, men også til virksomhederne og organisationerne, hvor løsesummer sædvanligvis beløber sig til titusinder eller hundredvis af tusindvis af dollars.

Fremkomsten af Ransomware-as-a-Service

Med den nuværende hastighed har ransomware undergået flere ændringer i de sidste to år med indførelsen af Ransomware-as-a-Service (RaaS). RaaS står for ransomware as a service, som er en forretningsmodel, hvorigennem ransomware-udviklere licenserer deres værktøjer til deres partnere og videresælger dem, mens de modtager et cut af beløbene betalt af ofrene. Denne model har givet mulighed for at påbegynde ransomware-angreb selv af de personer med ringe viden om kodning og programmering i deres hænder. Nogle af de mest berygtede ransomware-as-a-service (RaaS) varianter, der har fundet sted, omfatter Sodinokibi, almindeligvis omtalt som REvil.Sodinokibi optrådte i begyndelsen af 2019 og betragtes som en af de mest aktive ransomware i det nuværende trussellandskab, der påvirkede store brands, såsom Travelex, Grubman Shire Meiselas & Sacks, og Kaseya blandt andre. Sodinokibi arbejder under kapaciteten af en overskudsgivende virksomhed, hvor partnerne belønnes med 60 til 70 procent af gemmerne beslaglagt som løsesummer.
En anden RaaS, der er værdig til særlig opmærksomhed, er DarkSide, der trådte ind i verdens søgelys i første halvdel af 2021, da den med succes målrettede Colonial Pipeline fører til brændstofknaphed i flere stater i den sydøstlige region af USA. Spekulationer om Darksides’ operationer genlyder med Sodinokibis i form af profit andel, hvor affiliate-enden tager en 75-90% reduktion af løsesummen.

Fremtiden for Ransomware

Da ransomware er en konstant opvarmning med tiden og er blevet så meget sofistikeret som muligt, er det ikke overraskende at forudsige besværlige og udbredte ransomware-angreb i funktion. En af de nye tendenser, der allerede er blevet observeret, er det såkaldte dobbeltløbede scenarie, ifølge hvilket, sammen med kryptering af filer, angriberne laver uautoriserede kopier af dataene og truer med at offentliggøre dem, hvis pengene ikke overføres til dem. Dette pres multiplicerer chancerne for, at ofrene vil betale løsesummen, da alle ofte er klar til at gøre alt for at forhindre lækage af følsomme oplysninger. Andre tendenser, der forventes at fortsætte, vedrører specifikke angreb vektorer, der involverer kritisk infrastruktur og forsyningskæder. Colonial Pipeline og JBS Foods blev ramt for nylig for at demonstrere, at ransomware-angreb ikke er i orden kun for
målrettet organisation alene. Efterhånden som vital infrastruktur fortsætter med at forbinde sine processer med internettet og det operationelle teknologimiljø, vil ransomware blive meget mere end en økonomisk trussel – det vil være langt mere dødbringende. På grund af de stigende tilfælde af ransomware-trusler, der er eksponentielt destruktive, er det vigtigt for organisationer at årvågne i beskyttelsen af deres systemer mod cyberangreb. Dette indebærer at sikre, at der er gode backup- og gendannelsesmekanismer, vi har, hyppig opdatering af softwaren og firewall, og sikre, at medarbejderne bliver undervist i, hvordan man skelner mellem ægte og falske e-mails eller enhver anden form for kommunikation, der er et resultat af en cybersikkerhed trussel. Det indebærer også at omfavne andre innovative sikkerhedsløsninger som EDR og MDR til realtidsdetektion og respons på ransomware-angreb.

Hvad synes du?

Related articles

Kontakt Os

Partner med os for omfattende
IT sikkerhed

Vi besvarer gerne alle spørgsmål, du måtte have, og hjælper dig med at finde ud af, hvilken af vores tjenester der passer bedst til dine behov.

Dine fordele:

Hvad sker der nu?

1

Vi aftaler et opkald, når det passer dig

2

Vi laver en opdagelses- og rådgivningsmåling

3

Vi udarbejder et forslag

Bestil en gratis konsultation

Contact Us