26/03/15Ransomweb

Hackerne har fundet en ny måde at afpresse virksomheder på. Denne metode går under navnet Ransomweb.

Ransomweb er en ny type angreb baseret på ideen bag Ransomware. Hvor Ransomware “nøjes” med at kryptere virksomhedens filer, går Ransomweb skridtet videre og skader virksomheden økonomisk og PR mæssigt ved at gøre kritiske systemer utilgængelige. Typisk vil det være virksomhedens hjemmeside som er målet så brugere ikke kan tilgå den.

Hvor Ransomware spredes mere eller mindre tilfældigt, ved at prøve at inficere tilfældige brugeres maskiner, er Ransomweb langt mere målrettet. Det foregår på den måde, at hackerne finder en sårbarhed på virksomhedens hjemmeside. Dette kan for eksempel være en fejlopsætning af serveren, et CMS system eller plugin som ikke er opdateret eller et svagt password. Via disse sårbarheder hackes hjemmesiden og hackerne får adgang til det bagvedliggende system. Herefter bliver de funktioner lokaliseret, som skriver og læser udvalgte data, såsom brugeroplysninger, til databasen. Der bliver indsat en stump kode som krypterer disse oplysninger når de bliver skrevet til databasen. Når informationerne skal bruges på hjemmesiden bliver den først dekrypteret ved hjælp af en nøgle, som findes på en ekstern server på internettet. Det vil sige, at hjemmesiden fungerer som den plejer hvilket gør det svært at opdage hvis man er blevet kompromiteret.

Når systemet har kørt sådan i en periode på op til et halvt års tid, er de fleste data i de kritiske tabeller i databasen blevet krypteret med hackernes krypteringsnøgle. Den dekrypteringsnøgle som ligger på en ekstern server og som systemet hidtil har benyttet til at dekryptere dataen når der var behov for det, bliver herefter fjernet af hackerne. Dette gør at dataen ikke længere kan læses og hjemmesiden vil komme med fejl. Efterfølgende vil virksomheden modtage en anmodning om løsepenge for at frigive den nøgle som kan låse dataen op igen.

Da angrebet har stået på i lang tid er der stor sansynlighed for at backupperne af dataen er blevet overskrevet med krypterede værdier, hvilket vil gøre disse backupper ubrugelige.

Hvordan beskytter man sig?
Dette er et angreb som er meget svært at beskytte sig mod. Det kræver kun én fejlopsætning, eller en sårbarhed i systemet før man er i risikozonen for et Ransomweb angreb.

Generelt anbefaler vi:

• Hold webserver, CMS system og plugins opdateret
• Fjern de funktioner fra hjemmesiden som ikke benyttes
• Benyt stærke kodeord til administrative brugere
• Fjern eller omdøb standard brugere
• Jævnlige sikkerhedstest af webapplikationsserveren
• Lav offline backup af serveren som ikke overskrives

Hvis man føler sig ekstra udsat kan man benytte en “File integrity monitoring” som holde øje med om data på serveren bliver ændret. Der kan endvidere sættes overvågning op på databasen, som registrerer hvis der sker unormalt mange ændringer i databasen.

Hvordan ved jeg om jeg er blevet ramt?
Det er meget vanskeligt at opdage hvis man er blevet ramt før systemet fejler. Der er dog et par ting som man kan holde øje med

• Hvis performance på hjemmesiden pludselig falder, kan det være tegn på at data bliver krypteret og dekrypteret af serveren
• Hvis serveren jævnligt kommunikerer med en fremmed ekstern server, kan det være tegn på at den eksterne krypteringsnøgle tilgås
• Hvis der opdages uautoriserede ændringer på systemet, kan det være hackerne, som har ændret i koden og eventuelt har installeret bagdøre
• Hvis det opdages i tide at I er blevet ramt, se om I kan spore krypteringsnøglen og få fat i den før den bliver slettet

Hvad gør jeg hvis jeg er blevet ramt?
Hvis du er blevet ramt er der ikke meget at gøre. Vi anbefaler, at prøve at finde backup af data, som ikke er krypteret og reinstallere serveren med disse data. Hvis først serveren har været komprimiteret anbefaler vi at den bliver reinstalleret fra bunden, da der kan være bagdøre, som er efterladt af hackerne.

Det anbefales IKKE at betale løsepenge, da der ikke er garanti for at man modtager krypteringsnøglen. Yderligere vil det anspore hackerne til at gå efter jeres virksomhed igen, da de ved at i er villige til at betale.

Af René Hansen, Sikkerhedskonsulent, Digicure 

Nyhedsoversigt