Etter en liten nedgang i aktiviteten fra kriminelle hackergrupperer de tilbake igjen – denne gangen med et nytt triks i ermet. Det er vurderingen fra Lars Birch, som er sikkerhetskonsulent i Dubex og har gått gjennom trusselaktørenes siste oppfinnelse: BlackCat.
Denne siste løsepengevarianten er skrevet i Rust – og det gjør den spesielt vanskelig å oppdage og analysere.
– Alle antivirusleverandører har måttet skifte gir, og de som har demontert programvaren for å se hvordan den fungerer, har funnet det litt vanskeligere å lese koden sammenlignet med de mer vanlige løsepengevarevariantene, sier Birch, som har gjort omvendt utvikling av deler av BlackCat-koden.
Han bekrefter at det er gjort angrep med BlackCat i Danmark, men vil ikke si nøyaktig hvem som har funnet den nye løsepengevarianten på sine systemer.
Lett å bruke
I tillegg til å være det eneste moderne løsepengeprogrammet skrevet i Rust, utmerker BlackCat seg ved å være utrolig enkelt å bruke:
– Du trenger bare kunne én ting for å kunne bruke dette. Nemlig å mate det med data som du finner eller kjøper på nett, og så går du i gang. Det finner til og med filene som må krypteres og så videre, sier Birch.
Derfor regner han med at man vil se mye til BlackCat fremover. Den brukervennlige programvaren er allerede en hyllevare i det kriminelle miljøet.
– BlackCat er også utrolig lett å spre mellom maskiner, og programvaren er flink til å utnytte tilgangen den får, noe som gjør den til en svært effektiv løsepengeprogramvare. Alle disse funksjonene er ikke nye, men det er god kodekvalitet, sier Birch.
BlackCat er, som flere av sine løsepengeprogram-konkurrenter, Ransomware as a Service (RaaS). Det vil si at det er en programvare som en gruppe med samme navn gjør tilgjengelig for alle som ønsker å kjøpe seg inn i tilgangen – så i prinsippet kan det være hvem som helst som står bak de enkelte angrepene med programvaren.
Et annet kjent eksempel på Ransomware as a Service er LockBit, som nylig klarte å infisere vindturbingiganten Vestas.
Destruktivt multiverktøy
I tillegg til å være tilgjengelig for folk som er villige til å betale bakmennene, er programmet allsidig og har flere ulike innstillinger. Og det er verdt å ta med seg når man som bedrift eller organisasjon skal beskytte seg mot det.
– BlackCat kan skreddersys til ulike angrep fra dem som bruker programvaren. Utpressingvaren kan delvis være ekstremt ødeleggende. Hvis du starter den infiserte enheten på nytt, våkner den ikke til liv igjen, sier Birch om programvarens mest destruktive innstilling og fortsetter:
– Men den kan også brukes med en mildere innstilling, som bare tar offerets filer som gisler og krypterer dem. Da fungerer fremdeles datamaskinen, men dataene er borte. Og så er det mellomnivået, hvor den bare ødelegger operativsystemet nok til å ha en sikkerhetskopi i bakhånd – enten du betaler eller ikke.
Ellers er fremgangsmåten i utgangspunktet den samme. Flere angripere med programvaren bruker altså tretrinnsmetoden, hvor man først krypterer filene og prøver å få offeret til å betale løsepengene. Lykkes ikke det, prøver angriperne å stenge offerets infrastruktur med et DDoS-angrep eller andre metoder, og hvis dette ikke virker, truer de kriminelle med å publisere stjålne data som de har hentet ut under angrepet, sier Birch.
– Som hos alle andre grupper er den modellen giftig og motbydelig, fordi man opplever at angrepet ikke har noen ende.
Skjuler seg bak ny programvare
En annen BlackCat-fordel – sett fra utpressingsvare-aktørenes perspektiv – er at med ny programvare er det vanskeligere for myndigheter og etterforskere å trekke linjene til tidligere løsepenge-angrep.
– Koden er ny fra ende til annen, og derfor er det også vanskelig for oss på riktig side av loven å se om det er nye utviklere som står bak BlackCat eller om det er de samme som bare har lært seg et nytt kodespråk, sier Birch.
– Når det er sagt, er fremgangsmåten i bunn og grunn den samme, og det faktum at de har gått så målbevisst etter et stort oljeselskap i Tyskland, har fått mange i sikkerhetsbransjen til å lure på om det er noen av de samme personene som sto bak angrepet på Colonial Pipeline i USA, sier sikkerhetskonsulenten.
– Jeg tror dette kommer til å vare lenge. Når det er sagt, har bakmennene gjort noen av de klassiske feilene. For eksempel er hosting-infrastrukturen deres satt opp på samme måte, noe som gjør at den kan kapres dersom man går til motangrep, vurderer Lars Birch.
– Nøyaktig hvor sårbar den er, har jeg ikke fått sett på ennå.
Denne artikkelen ble først publisert på Version 2.
Se oversikten: Så lang tid bruker utpressingsvirus på å kryptere filene dine