BITCOINS og RANSOMWARE

Ransomware blev sidste år en milliard industri og betalinger af løsepenge – eller ransoms - udgør nu næsten 10% af hele Bitcoin økonomien.

Hvis man vil undgå at blive en del af den statistik, kræver det, at man har en god endpoint security og effektive backups. Men hvad hvis dit forsvar kommer til kort, dine backups er utilstrækkelige, alle forsøg på at genskabe data mislykkes og du alligevel må betale ransom – hvad gør du så?

Allerførst skal du i gang med at forbedre din sikkerhed. Dernæst skal du tage det med et gran salt hvis et ransomware indeholder en anbefaling af, hvor du skal købe Bitcoins. Disse fyre er trods alt kriminelle. De kan pege dig i den forkerte retning.

I stedet skal du finde et velrenommeret sted at købe dem.

 

Ville ransomware uddø, hvis man droppede Bitcoins?

Flere eksperter har anbefalet Coinbase. Det er den største Bitcoin børs og den har modtaget en licens fra New York Department of Financial Services tidligere i år. Det betyder, at de imødekommer statens forbrugerbeskyttelses- og cybersikkerhedsstandarder.

"Coinbase er også den eneste børs, der er forsikret" udtalte Konstantinos Karagiannis, CTO i sikkerhedkonsulentafdelingen i BT Americas forleden. "De er forsikret hos Lloyds i London."

De har endvidere lave transaktionsgebyrer og er nemme at bruge, tilføjede han.

"Det er det, jeg anbefaler alle, der ikke har erfaring med dette" sagde han. "Coinbase er den mest brugervenlige og den sikreste måde at skaffe sig Bitcoins på."

"Men hvis du mister dit password, dækker de det ikke for dig," advarede han.

Rick Holland, strategisk vicepræsident i det London-baserede Digital Shadows, har også anbefalet Coinbase, men tilføjer, at transaktioner nogle gange kan tage op til fire dage. "Når det drejer sig om  ransomware betalinger kan tid være en kritisk faktor, og så har du brug for at finde en børs, der hurtigt kan overføre Bitcoins til din konto" sagde han og anbefalede Bitcoin brokeren Local Bitcoins.

Hvis du vil se flere Bitcoin børser, kan du se listen med anbefalinger på Bitcoin.com, fortalte Israel Barak, CISO og Incident Response Director hos Cybereason.

"Der er masser af velrenommerede steder på den liste" sagde han.

Barak sagde, at han har benyttet adskillige Bitcoin børser, herunder Coinbase, Bitpay og Coingate og at de har fungeret som de skulle.

Derudover tilbyder nogle børser også Bitcoin-relaterede services, hvis en af deres klienter skal betale en ransom i en fart, sagde Barak,

 

Køb et lager af Bitcoins på forhånd

Hvis du tror, at der er en risiko for, at din virksomhed kan blive ramt og at du skal betale ransom, kan det være fornuftigt at oprette en Bitcoin konto på forhånd og at gennemgå udbyderens godkendelsessystem og eventuelt købe nogle Bitcoins, som du kan have i reserve.

Dette er især vigtigt for virksomheder, der ikke har en nødprocedure for indkøb, sagde Barak.

"Det kan i nogle virksomheder tage et godt stykke tid at komme igennem en indkøbsproces, hvis de bliver ramt af ransomware og skal købe Bitcoins" sagde han. "I nogle organisationer kan det tage dage, nogle gange endnu længere."

 

Bitcoin børsen har normalt en ”tegnebog” (eller en ”wallet”), som du kan have dine Bitcoins i.

Coinbase giver fx kunderne mulighed for at oprette flere “wallets” til Bitcoins og har også en Bitcoin "boks" med ekstra sikkerhedsforanstaltninger, herunder mulighed for at kræve godkendelse fra flere brugere ved hver enkelt transaktion.

"Så selv om nogen kaprer dine e-mail adresser, kan de ikke få penge ud den vej”, sagde BT America's Karagiannis.

"Hvis det drejer sig om et mindre beløb, som du gerne vil have til rådighed til hurtige transaktioner, er Coinbase velegnet", tilføjede han.

Der findes også andre Bitcoin wallet alternativer, herunder en, som kan være placeret i ens egen virksomhed – men hvis selve denne wallet bliver en del af et ransomware angreb, kan det give problemer.

 

Hvor mange skal du købe?

Ifølge Barak varierer ransom størrelserne i forhold til offerets størrelse. Individuelle forbrugere skal typisk betale 1 eller 2 Bitcoins, hvilket svarer til ca. 1.000-2.000 dollars.

Små til mellemstore virksomheder ser typisk ransom krav på mellem 2 og 20 Bitcoins, sagde Barak.

"En stor organisation kan blive mødt med højere krav", tilføjede han. "Det største krav, vi har set, var på omkring $150.000, hvilket svarede til ca. 150 Bitcoins. Men der er en tendens til, at ransom kravene bliver stadigt større, især ved større virksomheder og vi ser også ransomware, der forvolder større skader."

 

Hvordan skal man reagere på Ransomware trusler?

De fleste eksperter anbefaler, at man ikke betaler løsepengene.

"Grunden til, at der bliver stadigt flere ransomware angreb, er, at folk betaler" udtalte Luis Corrons, PandaLabs tekniske direktør hos Panda Security. "Hvis alle ofrene holdt op med at betale, ville ransomware angrebene holde op i løbet af få dage."

Men det kan ikke altid lade sig gøre i praksis, sagde Barak. Lad os fx sige, at en ransomware spreder  sig gennem et stort antal maskiner og ikke bare angriber data men også operativsystemerne.

 

Hvis alle ofre holdt op med at betale, ville ransomware angrebene stoppe i løbet af få dage

Ifølge Luis Corrons, PandaLabs teknisk direktør hos Panda Security, er: "Mulighed nummer ét at du reinstallerer alle disse maskiner" "Det ville tage dig nogle dage. Eller du kan betale ransom og genoptage driften i virksomheden i løbet af en times tid."

Men i visse tilfælde bør man aldrig betale ransom. Hvis en angriber fx truer med at offentliggøre din virksomheds data.

"Selv om angriberne beviser, at de har dine data og viser nogle af dem til dig, kan du aldrig kontrollere, hvor disse data kommer hen, når de først har dem”, sagde han. Der er ingen garanti for, at de kriminelle sletter alle de data, de har lovet at slette.

Og hvis du prøver at undgå at skulle rapportere et brud, hjælper det ikke at betale ransom nu, hvor du ved, at de kriminelle har de pågældende data.

En anden situation, hvor du ikke skal betale ransom, er for at undgå et Distributed Denial-of-service attack (DDoS), sagde Barak.

"Ransom krav med trusler om DDoS attacks har eksisteret i lang tid og de fleste af dem er falske " uddybede han.

Selv ved traditionel ransomware, hvor angriberne krypterer dine filer, er der nogle gange en god grund til ikke at betale, sagde Eldon Sprickerhoff, der er grundlægger af og øverste sikkerhedsstrateg hos eSentire.

Fx kan hackerne have indlejret sig i dine systemer og hvis du ikke renser maskinerne og genskaber alt fra en god backup, kan de stadig være der.

"Du udsætter dig selv for fremtidige angreb", sagde han. "Hvis en hacker har succes første gang, prøver han igen."

Og selv om du betaler, er der ingen garanti for, at de genskaber alle dine filer eller at de overhovedet genskaber noget”, sagde han og tilføjede: "Det er bare ikke risikoen værd".

 

Hvordan opdager du et falsk ransom brev?

I stedet burde virksomheder forberede sig på et angreb ved at sikre sig, at deres backups er i orden, at patchingen er up-to-date, at systemerne er hårdføre og at brugerne er trænet i, hvad de skal holde øje med, sagde han.

Og endelig skal man, før man beslutter sig for at betale en ransom, lige undersøge det med den juridiske afdeling i virksomheden.

"Organisationen bør forstå de implikationer, der er i forbindelse med at betale ransom," sagde Digital Shadows' Holland. "Fx kan en cyber security forsikringspolice blive ugyldig, hvis man foretager en ransom betaling."

 

Alternativer til at betale ransom

Hvis du er blevet ramt af Ransomware, der et problem med jeres backups og du ikke vil betale – eller de kriminelle har taget jeres penge men ikke har genskabt jeres data -  så er der nogle muligheder.

"Det første I skal gøre, er at kigge på nogle af de værktøjer, der allerede er offentliggjort," sagde Karagiannis. "Det er muligt, at I kunne fjerne det uden at betale en øre."

Et sted at starte er No More Ransom (https://www.nomoreransom.org/), et site, som flere sikkerhedsvirksomheder står bag, herunder Intel Security, Kaspersky, Avast, Bitdefender og Trend Micro og en lang række retshåndhævende myndigheder som Europol.

Dette site hjælper ofre med at identificere den type Ransomware, de er blevet ramt af, og det indeholder downloads af en krypteringsløsning på den specifikke slags Ransomware, hvis en sådan findes.

 

Ransomware og Bitcoin økonomien

Der er ikke noget præcist tal på, hvor mange procent af alle Bitcoin transaktioner, der er betalinger af Ransomware.

Men der et par måder, man kan opnå et skøn over det på.

En måde er at se på de offentlige regnskabsbøger, der er knyttet til wallets forbundet med ransomware kriminelle. Bitcoin systemet registrerer hver enkelt transaktion. Disse wallets er ikke identificeret efter navn og det gør dem attraktive for forbrydere, men de kan stadig spores.  

En virksomhed, der gør det, er Cyence, en cyberrisiko virksomhed.

"Baseret på Cyence’s analyse af en regnskabsbog med Bitcoin transaktioner og trafik til kendte Ransomware servere, vurderer vi at ca. 9% af alle Bitcoin transaktioners værdi kan henføres til Ransomware eller betaling af en anden form for cyber pengeafpresning," sagde Phil Rosace, Cyence's Solutions Manager.

Cyence har også set en stigning i Bitcoin brugen og en mulig sammenhæng med sektorer ramt af Ransomware betalinger.

En anden måde at vurdere det på, er at se på de vurderinger af det samlede beløb, der blev brugt på  Ransomware betalinger og sammenligne det med den samlede Bitcoin markedsværdi, hvilket passerede 12 millarder dollars sidste år.

"De samlede ransom betalinger i 2016 var på 1 milliard dollar, hvilket jeg tror er et konservativt skøn", udtalte Barak. "Næsten alle blev betalt i Bitcoins."

Det betyder, at ransomware står for ca. 8%, sagde han. "Det er en ret stor del af Bitcoin økonomien.”

 

Copyright © 2017 IDG Communications, Inc.