Advarsel: It-kriminelle skifter til kryptovaluta

En række angreb med skadelig software bruger de inficerede computere til at danne kryptovaluta.
Henrik Larsen, chef for DKCERT
Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Sig farvel til ransomware og goddag til software, der danner kryptovaluta.

Det er en klar tendens, når vi ser tilbage på 2017: Kryptovaluta fik sit gennembrud som en metode til at tjene penge til it-kriminelle. Og tendensen ser ud til at fortsætte i år.

Kryptovaluta er digitale penge, der typisk implementeres via blockchain-teknologi. Det mest kendte eksempel er Bitcoin.

Men de it-kriminelle foretrækker valutaen Monero. Det er der flere gode grunde til, dem vender jeg tilbage til senere.

Kriminelle kan typisk bruge kryptovalutaer til to ting: Til at modtage løsepenge eller betaling for kriminelle ydelser og til at danne penge via skadelig software.

Fald i ransomware

Ransomware-programmer har længe brugt kryptovalutaer til at opkræve løsepenge: Hvis offeret vil have adgang til sine data igen, skal vedkommende betale et beløb i Bitcoin eller en anden valuta.

Men vi har set et fald i ransomware den senere tid.

Det kan hænge sammen med, at det er en usikker metode til at tjene penge.

Hvis offeret har en sikkerhedskopi, er der ingen penge at hente.

Desuden har sikkerhedseksperter knækket krypteringen i nogle ransomwareprogrammer. Dermed er det muligt for ofrene at få deres data retur uden at betale bagmændene.

Derfor er dannelse af kryptovaluta blevet mere tillokkende for de it-kriminelle.

Programmer danner penge

Det kan foregå ved, at de kriminelle inficerer offerets computer eller smartphone med et skadeligt program. Det kører i baggrunden, hvor det arbejder på at udføre de opgaver, der skal til for at danne nye digitale penge.

Bitcoin stiller store krav til hardwaren, når der skal dannes nye penge via det såkaldte proof of work. Derfor er Bitcoin mindre egnet til de kriminelles behov.

De vil gerne have programmer, der kan køre på almindelige computere uden at optage så mange ressourcer, at brugerne opdager det.

Derfor er Monero blevet populær. Denne kryptovaluta har en arkitektur, der gør det mindre krævende at danne ny valuta.

Oven i købet findes der en implementering af algoritmen i JavaScript. Den gør det muligt at indlejre kode på websider, der danner Monero-valuta i browseren hos dem, der besøger webstedet.

En anden fordel ved Monero er, at udviklerne har gjort meget ud af privatlivsbeskyttelsen. Derfor er det enklere at anonymisere overførsler, så politiet ikke kan se, hvor pengene ender.

Venter vækst

Jeg forventer, at vi vil se flere eksempler på skadelig software, der danner kryptovaluta.

Det skyldes, at det giver en mere sikker indkomst end ransomware: Ved ransomware er den kriminelle afhængig af, at offeret betaler.

Men ved skadelig software er gevinsten garanteret, så snart det er lykkedes at inficere offerets computer.

Det kan for eksempel ske ved at udnytte kendte sårbarheder. I DKCERT har vi således hørt fra flere universiteter, der blev ramt af kryptovaluta-malware.

De blev inficeret ved, at angriberne udnyttede en ikke-opdateret version af programmet WebLogic på nogle servere.

Foruden servere kan de it-kriminelle også udnytte andre platforme. Der er set eksempler på apps til Android, der åbner en skjult webside, som danner Monero-valuta.

For nylig blev Mac-webstedet MacUpdate ramt af en infektion: Når man hentede Firefox, OnyX eller andre programmer fra tjenesten, fik man en uønsket ekstrafunktion med i form af dannelse af Monero-penge.

Et lignende angreb gik ud over firmaet Texthelp, der tilføjer oplæsningsfunktioner til websteder. Angribere lagde kode ind i de JavaScript-filer, som kundernes websteder kalder.

På den måde blev omkring 4.200 websteder ramt, så deres gæster uden at vide det var med til at danne kryptovaluta til bagmændene.

Senest har bilproducenten Tesla været ramt. Her havde it-folkene glemt at sætte password på en Kubernetes-server. It-kriminelle udnyttede hullet til at installere software, der dannede kryptovaluta.

Bagmændene gjorde sig umage for at undgå at blive opdaget. Således skjulte de deres server bag tjenesten Cloudflare, så den var vanskeligere at spore.

Programmet var også sat til at begrænse trækket på serverens ressourcer, så der var mindre risiko for, at det blev opdaget.

Velkendte spredningsmetoder

Som sikkerhedsmand har jeg ingen holdning til kryptovaluta. Det er et værktøj, som kan bruges til både gode og dårlige formål. Når it-kriminelle kaster sig over det, er årsagen enkel: Der er penge at hente.

Metoderne til at sprede skadelig software, der danner kryptovaluta, er velkendte: Udnyttelse af kendte sårbarheder eller svindel.

Så vi har ikke brug for at udvikle nye beskyttelsesværktøjer. I stedet kan vi gentage de gode, gamle råd: Hold software opdateret. Lad være med at klikke på noget, du ikke har bedt om.

Læs mere


Oprindelig bragt på Computerworld Online den 23. februar 2018