Vi har krypteret alle dokumentfiler på din pc. Betal 300 euro for krypteringsnøglen, der kan gendanne dem.
Den ubehagelige besked møder ofrene for det skadelige program CryptoLocker.
Truslens alvor understreges af et ur, der tæller ned.
Ifølge bagmændene vil nøglen blive slettet fra deres server, når uret når til nul. Derefter vil ingen kunne gendanne filerne.
CryptoLocker er et af de mere alvorlige eksempler på det, vi kalder ransomware: Skadelige programmer, der forsøger at presse penge af ofrene.
Angriber NAS
Tidligere på måneden så vi en ny variant af ransomware: Synolocker.
Synolocker adskiller sig fra andre ransomware-programmer ved ikke at angribe pc’er. I stedet er den rettet mod NAS-servere (Network-Attached Storage) fra firmaet Synology.
Tidligere versioner af styresystemet DSM (DiskStation Manager) havde en sårbarhed, som Synolocker udnytter til at komme ind på serveren. Herefter krypterer programmet brugerens filer.
Offeret får besked om, at nøglen til at dekryptere data koster 0,6 bitcoins. Man skal gå ind på en adresse beskyttet med Tor for nærmere oplysninger.
Skønt platformen er ny, er metoden den velkendte: Skurkene forhindrer offeret i at få adgang til sine data, indtil offeret hoster op med løsesummen.
Hullede apparater
Jeg ser ubehagelige perspektiver i Synolocker. Det skyldes, at den kombinerer to tendenser: Ransomware og sårbarheder i forbrugerelektronik.
Forbrugerelektronik såsom fjernsyn, routere, klimakontrolsystemer, køleskabe og anden hardware er kendetegnet ved, at brugeren sjældent har nem adgang til den underliggende software.
Derfor er det svært at sikre sig, at udstyret bliver opdateret. Desuden skal brugeren informeres om, at der er kommet en opdatering.
Synology har for eksempel forlængst udsendt rettede versioner af DSM – men det skal fedt hjælpe, når mange kunder aldrig installerer opdateringen.
Derfor forudser jeg, at vi en dag vil se ransomware rettet mod for eksempel smart-tv. Så kan afpressere tvinge os til at betale løsepenge for at få adgang til de kanaler, vi i forvejen har betalt for.
Sikkerhedsforskere har allerede afdækket en række sårbarheder i flere leverandørers smart-tv-platforme. Og efterhånden som udstyret får flere avancerede funktioner, bliver der også flere potentielle huller.
Senest har vi hørt om smart-tv baseret på Android. Hvis der er sårbarheder i Android, bliver fjernsyn altså potentielle mål for angreb på dem.
Producenter har ansvaret
Hvad kan vi gøre ved problemet? Ikke så meget, desværre.
Som administratorer skal vi selvfølgelig sørge for at opdatere software og firmware til alle vores apparater.
Men problemet er ofte, at producenterne ikke lukker hullerne.
For eksempel bliver der jævnligt fundet huller i Android.
Google er hurtige til at udsende rettede versioner, der lukker hullerne.
Men derefter skal de enkelte producenter af smartphones og tablets tage koden fra Google og integrere den i deres egen software.
Ofte sker det ikke. Eller det sker først måneder eller år efter, at rettelsen er klar fra Google.
På samme måde er det reglen snarere end undtagelsen, at der er sikkerhedshuller i de routere, forbrugerne bruger til at komme på nettet med.
Tænk sikkert fra starten
Derfor er løsningen, at vi sætter ind på to områder.
For det første skal producenterne af forbrugerelektronik blive klar over, at de nu er softwareudviklere. Og at de udvikler software til udstyr, der kan nås fra hele verden via internettet.
Derfor skal de tænke sikkerheden ind i hele udviklingsprocessen. På den måde kan vi undgå huller i form af standard-passwords og administrator-interfaces, der kan nås fra internettet.
For det andet skal vi i it-branchen lære forbrugerne, at de nu er systemadministratorer.
Når du køber en router, køber du også en sikkerhedsrisiko.
Derfor skal du sætte dig ind i, hvordan du opdaterer firmwaren på den. Og du skal jævnligt tjekke, om der er opdateringer.
Med årene vil den sidste del af løsningen fylde mindre. Ligesom software til computere i dag i høj grad opdaterer sig selv, kommer firmware og anden indlejret software også til at gøre det.
Det forudsætter blot, at første del af løsningen bliver til virkelighed. Bolden ligger hos producenterne.
Det endte godt
Lad mig slutte med den lykkelige slutning på historien om CryptoLocker: Sikkerhedsforskere har fået fat i de krypteringsnøgler, bagmændene har brugt.
Sikkerhedsfirmaerne FireEye og Fox IT har oprettet tjenesten DeCryptoLocker. Her kan ofre for CryptoLocker ganske gratis få udleveret nøglen, som dekrypterer deres filer.
En lige så god slutning har jeg desværre ikke til ofre for Synolocker. Det forlyder, at bagmændene vil trække sig ud og har sat 5.500 private nøgler til salg for en samlet pris på 200 bitcoins.
Dermed kan andre overtage afpresningen – hvis ikke en sikkerhedsorganisation vælger at købe nøglerne.
Links:
How to recover files from a CryptoLocker attack – for free
DeCryptoLocker
Synology disk HACKED (Synolock)
SynoLocker Ransomware Affecting Synology DiskStation
Ransomware Race (Part 3): SynoLocker Under The Hood
DKCERT er et dansk Computer Security Incident Response Team. I samarbejde med tilsvarende CERT’er over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT udsender advarsler og tager imod henvendelser om sikkerhedsrelaterede hændelser på internettet. DKCERT er en organisation i DeIC, DTU.
Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.
