Virksomheder og sikkerhedsfirmaer bliver bedre og hurtigere til at opdage og beskytte sig mod ransomware. Men desværre bliver de kriminelle, der udvikler og bruger ransomware også hele tiden dygtigere.
Svagheden ved ransomware har traditionelt været dens lineære arbejdsgang, der gør den forudsigelig.
“Hvis du forestiller dig alle filerne på et system som en liste, så går ransomware bare listen igennem og begynder at kryptere fra A til Z,” siger Brian Bartholomew, der er senior security researcher hos Kaspersky Lab, til Computerworlds amerikanske nyhedsbureau.
Men det er ved at ændre sig, forklarer Bartholomew i en gennemgang af, hvordan de it-kriminelle netop nu ændrer brugen af ransomware for at gøre malwaren sværere at stoppe.
Langsommere kryptering i tilfældig rækkefølge
En af de metoder, hackerne bruger til camouflere ransomware-angreb er at gøre malwaren langsommere. Ideen er, at en antivirus ikke vil kategorisere krypteringen af filerne som ransomware, hvis krypteringen foregår over længere tid.
“Du har måske en antivirus, der kategoriserer det som ransomware-angreb, hvis der etableres adgang til mere end 1000 filer indenfor 10 sekunder. Så kan hackerne sprede det ud over 10 minutter, så det ikke bliver opdaget. Det ser vi mere og mere af,” siger Brian Bartholomew.
Udover at sætte tempoet ned er hackerne også begyndt at konstruere ransomware, der krypterer filer i forskellige rækkefølger, så den undgår at blive opdaget af antivirus, der leder efter lineære mønstre.
PFD er det nye link
Email er suverænt den mest metode til spredning af ransomware, og selvom mange efterhånden er blevet tudet ørerne fulde med advarsler om ikke at klikke på links i emails, så sker det stadig. Ofte.
Alligevel er hackerne begyndt at bruge andre metoder. Den overordnede leveringsmekanisme hedder stadig email - men fordi folk bliver mere mistænksomme overfor links, bruger man for eksempel PDF eller JPEG-filer med ransomware.
“Man får en besked med det, der ligner et billede eller en kvittering vedhæftet. Det klikker folk altid på,” siger Hyder Rabbani, der er COO i sikkerhedsfirmaet Cybersight.
Låser hele harddisken
En anden udvikling inden for ransomware er at angribe selve harddisken i form af den såkaldte master boot record.
Det så man blandt andet i Petya-angrebet, der ramte A.P. Møller-Mærsk sidste år, og ifølge Brian Bartholomew er det ved at blive mere udbredt praksis.
“På den måde kan de holde hele harddisken som gidsel, uden at kryptere hver eneste fil,” siger han.
Muterende kode og flere angreb
Signaturbaseret sikkerhedssoftware er en vigtig del af mange virksomheders it-sikkerhed, men moderne ransomware kan i praksis sætte den ud af spillet. Ifølge Brian Bartholomew er hackerne i stigende grad begyndt at anvende såkaldt polymorf kode. Det vil sige, at koden ændrer sig, hver gang den kører, selvom den grundlæggende funktion forbliver den samme.
“Når du får styr på en given ransomwares signatur, bliver den lettere at stoppe. Men når koden hele tiden ændrer sig, er det meget svært,” siger Brian Bartholomew, der bakkes op af Hyder Rabbani.
Han frygter mest kombinationen af muterende kode og flertrådede ransomware-angreb. Det sidste dækker over ransomare-former, der starter flere krypteringsprocesser på samme tid.
“På den måde kan man hurtigt overvælde både processoren og hukommelsen, og derfra går det hurtigt ned ad bakke.”
Ifølge Brian Bartholomew er hackerne desuden begyndt at camouflere andre typer angreb som ransomware, ligesom man ser flere eksempler på ransomware-angreb mod ansattes mobilenheder som en vej ind i virksomhederne.
“Det er en konstant katten-efter-musen-situation.”