Ransomware-rushens glada dagar ser ut att vara över – men hotet kvarstår

En ny rapport från F-Secure visar att antalet ransomware-attacker (utpressningsvirus) formligen exploderade under 2017.

F-Secures säkerhetsrådgivare Sean Sullivan

Mycket tack vareWannaCry. Dock pekar en minskning av andra typer av ransomware på att en möjlig förändring i hur cyberkriminella använder ransomware är på väg ske.

Antalet ransomware-attacker ökade i volym med mer än 400 procent under 2017 jämfört med föregående år.

Enligt en ny rapport från F-Secure stod kryptomasken WannaCry för en stor del av ökningen.

Rapporten visar samtidigt att andra typer av ransomware-attacker minskade i omfattning under andra halvan av året – ett tecken på att cyberkriminella ändrat sin inställning till ransomware, och börjat använda dem på ett annat sätt.

Rapporten, ”The Changing State of Ransomware”, visar att det hände mycket på ransomware-fronten under förra året. Bland de mer framträdande hoten hittar vi långlivade varianter som Locky, Cryptolocker och Cerber, men det var WannaCry som kom att definiera ransomware-året 2017. Faktum är att mot slutet av året stod den notoriska kryptomasken för 9 av 10 upptäckta ransomware-hot.

Men samtidigt som WannaCry- familjen fortsatte sina härjningar under andra halvan av 2017, tycktes användningen av andra ransomware bland cyberkriminella minska.

Det är ett fenomen som F-Secures säkerhetsrådgivare Sean Sullivan ser som ett tecken på att många grupper tappade intresset för ransomware.

”Efter sommaren var det ett tydligt skifte bort från den typ av ransomwareaktivitet som vi har sett under de senaste två åren,” säger Sean Sullivan. ”Då kunde vi se hur cyberkriminella tog fram mängder av nya ransomware-varianter, men efter förra sommaren minskade den aktiviteten betänkligt. Det ser ut som att guldrushmentaliteten lagt sig, åtminstone bland amatörer och mer opportunistiska brottslingar. Vi ser nämligen också att de verkliga utpressarna fortsätter att använda sig av ransomware, och hur de blir allt bättre på att rikta in sig på företag och organisationer. WannaCry visade ju precis hur sårbara många av dem är.”

Rapporten visar att det, samtidigt som det finns tecken på att ransomware-aktiviteten sjönk mot slutet av 2017 också finns bevis som tyder på att ransomware-användningen kommer att riktas mer mot företagsvärlden, till exempel genom att attackera organisationer via sådant som exponerade RDP-portar. Ett exempel är ransomware-familjen SamSam som använder sig av detta tillvägagångssätt och redan har lyckats smitta flera amerikanska organisationer i år, bland annat drabbades många samhällsfunktioner i Atlanta hårt i en omfattande attack. *

Andra viktiga resultat i rapporten är:

• WannaCry, följt av Locky, Mole, Cerber och Cryptolocker var de vanligaste ransomware-familjerna år 2017

• Antalet ransomware-attacker ökade med 415 procent år 2017, jämfört med 2016

• WannaCry var fortfarande aktiv under den senare halvan av 2017, med majoriteten av F-Secures rapporter från användare i Malaysia, Japan, Colombia, Vietnam, Indien och Indonesien

• 343 unika familjer och varianter av ransomware upptäcktes år 2017, en ökning med 62 procent jämfört med föregående år

• Med undantag för WannaCry verkade användningen av såväl nya som befintliga ransomware-varianter minska i slutet av året

Enligt Sean Sullivan finns det flera faktorer som bidragit till den här utvecklingen: ”Priset på bitcoin är förmodligen den största faktorn här, eftersom det har gjort krypto-mining mycket mer attraktivt och antagligen även mindre riskabelt för de cyberkriminella. Jag tror också att det är rimligt att anta att intäkterna från ransomware sannolikt fallit i takt med att en ökad medvetenhet om hotet har uppmuntrat människor att hålla sig med tillförlitliga säkerhetskopior: Vi har också sett en utbredd skepsis kring hur tillförlitliga brottslingarna egentligen är gällande sina löften om att dekryptera data. En sak är dock säker, cyberkriminella väljer den enklaste vägen och kommer att fortsätta ge sig efter de lägst hängande frukterna, och de kommer att komma tillbaka till ransomware om det blir enklare eller mer lukrativt.”

* Källa: https://www.bleepingcomputer.com/news/security/city-of-atlanta-it-systems-hit-by-samsam-ransomware/