Lösenorden är den minsta gemensamma nämnaren i ransomwareattacker
Hem Säkerhet Lösenorden är den minsta gemensamma nämnaren i ransomwareattacker

Lösenorden är den minsta gemensamma nämnaren i ransomwareattacker

Publicerat av: Redaktionen

Det har varit välkänt i decennier att lösenorden är den svaga länken i säkerhetskedjan.

De senaste årens kraftiga ökning av spektakulära attacker med utpressningsprogramvara hade varit omöjlig utan att först ta sig förbi lösenordsskydden.

Eftersom de ändå inte fungerar har det blivit dags att ifrågasätta om lösenorden egentligen behövs.

Den senaste spektakulära attacken med ransomware stoppade nyligen Colonial Pipeline company från att leverera bensin till södra och delar av östra USA. En rysk angripare lyckades på det sättet skapa en hel del uppmärksamhet – och tillfälligt högre bensinpriser.

Det är fortfarande inte känt om attacken riktade sig mot affärssystem eller operativa system (OT) som styr pipelinen. Hur som helst stängde företaget i samband med attacken ned sin pipeline eftersom de inte längre kunde driva den på ett säkert sätt.

Det som drabbade Colonial är dock inget unikt utan bara ett av många exempel. Ransomware kostar idag företag miljoner, till och med miljarder. Enligt en rapport från Chainalysis betalade offer minst 350 miljoner dollar till utpressare under 2020, vilket var fyra gånger så mycket som året innan. Andra säkerhetsexperter menar att det snarare handlar om miljarder.

Hur ransomware fungerar visar varför lösenorden inte fungerar

Vad kan vi göra för att hindra attacker med ransomware? En viktig del är att ta bort lösenorden. Orsaken till detta är enkelt att förstå om vi går igenom hur sådana attacker går till.

Steg 1 i en attack är att hitta offret. Sökandet sker i mycket stor skala, genom att med hjälp av en rad olika verktyg scanna av internet för att hitta svagheter i verksamheters nätverk. Scanningsverktygen är i högsta grad automatiska och ofta använder angriparna olika leverantörer som erbjuder sig att genomföra scanningen.

Verktygen är mycket effektiva på att hitta rätt sårbarheter att angripa. De vanligaste sårbarheterna som utnyttjas finns i RDP, remote desktop protocol. Genom RDP går det att få tillgång till datorer på distans, vilket ger administratörer möjlighet att köra verksamhetens system varifrån de än befinner sig. Det här gör RDP till en väldigt praktiskt måltavla för ransomwareangripare. Förutom RDP finns det andra distansverktyg som VNC, TeamViewer, LogMeIn och många fler.

Lösenorden är den minsta gemensamma nämnaren i ransomwareattackerHur kommer då angriparna in och kan börja styra dessa verktyg? Lösenordet. Oftast används vad som kallas en ”brute force”-metod, vilket innebär att de automatiskt provar miljoner vanligt förekommande lösenord tills de hittar det som fungerar. När de väl knäckt lösenordet, och vi vet ju alla att lösenord inte alltid är så svåra att gissa, så är det dags att gå vidare till steg 2 av attacken. Ofta säljs vid det här steget kunskapen om hur man kommer in på ett visst nätverk till någon annan grupp, som sedan genomför attacken. Det är sådant som sker på ”dark web”.

När lösenordet passerats är fältet öppet

Nästa steg i en ransomwareattack innebär att logga in på den drabbade verksamhetens nätverk med hjälp av ett helt legitimt användarnamn och lösenord. Därefter installeras själva programvaran, det ransomware som krypterar filer på nätverket så att offret inte kan använda dem. Här finns en rad programvaror att använda, en del av dem kan köpas av vem som helst. I fråga om Colonial Pipeline använda de ryska brottslingarna DARKSIDE, ett ransomware som säljs som en tjänst (as-a-service).

Det sista steget i attackerna handlar om att få betalt. Vanligtvis ska en summa betalas i Bitcoin, vilket gör det svårt att spåra vart pengarna går. Ett extra trick som en del börjat använda handlar om att hitta sätt att ”uppmuntra” verksamheter att betala. Det kan till exempel handla om att leta igenom filer och hota att avslöja information som kan vara känslig för verksamheter eller för cheferna eller som skapar kostnader, till exempel genom att avslöja affärshemligheter. Ett exempel är när polisen i Washington DC nyligen hotades med att privata uppgifter om 22 av deras polismän skulle avslöjas. Detta hot kom efter att polismyndigheten vägrat betala 100 000 dollar. Bland uppgifterna som sedan läcktes ut var till exempel polisernas fingeravtryck, deras bostadsadress och lögndetektortestresultat.

Det som gör den här tekniken speciellt användbar för angriparna är att den innebär att ett av de främsta skydden mot ransomware är meningslöst. Nämligen att alltid ha en backup. Visserligen kan det vara dyrt att återställa systemen efter att en angripare krypterat dem – men ännu värre är om skadan kan ske alldeles oavsett.

Ta bort lösenorden – lös problemet

Ett av de vanligaste råden som delas ut för att slippa ransomware handlar om att införa multi-faktor-autentisering. Därmed ska inte stulna lösenord kunna användas. Problemet är bara att även multifaktor-autentisering använder lösenord, till exempel engångslösenord som skickas via SMS eller andra osäkra kanaler. Det finns en rad sätt att hacka dessa metoder.

Om vi i stället tar bort lösenorden helt så slipper vi problemet. Lösenord kan aldrig bli starka nog, oavsett om de har en extra faktor. Säkerheten ökar när vi tar bort dem och bygger vår säkerhet på annan och mer modern teknik istället.

Juha Hakava, Nordenchef för Beyond Identity

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information >>