Under 2016 och 2017 fick ransomware stora rubriker i Sverige och runtom i världen. Flera svenska företag och organisationer blev drabbade och fick lägga mycket tid och pengar på att städa datorer efter Cryptolocker och Wannacry. I slutet på 2017 och i början på 2018 startade en ny våg av attacker efter att priset på kryptovaluta steg kraftigt – så kallad cryptominer malware eller kryptokapning.

Kryptokapning går ut på att stjäla cpu-kraft från en dator för att skapa kryptovaluta. En populär kryptovaluta är Monero, som är svårare att spåra för myndigheter och kräver mindre cpu-kraft än till exempel Bitcoin. Genom att bygga stora pooler med kapade datorer, så kallade botnät, kan kaparna göra många beräkningar under kort tid vilket genererar mer pengar.

Under våren och sommaren 2018 har man kunnat se att antalet kapade datorer globalt ökat i allt snabbare takt, något som ger stora och relativt riskfria inkomster till organiserad brottslighet. 

Vad lockar de kriminella?

Kryptokapning, till skillnad mot ransomware, har fördelen att den genererar en kontinuerlig ström av pengar, och kriminella behöver inte chansa på om de kommer att få betalt av offret eller ej. I dag står Moneros växlingskurs lägre än i början på året, men genom att öka andelen kapade datorer kontinuerligt kan kaparna bibehålla eller till och med öka sina intäkter.

Den än mer oroande orsaken med kryptokapning är att den till stora delar passerar under radarn för många organisationer, eftersom den inte påverkar produktion av varor och tjänster på samma drastiska sätt som ransomware.

Läs mer: Ransomware ut, kryptokapningar in – ett trendskifte bland cyberkriminella?

Dolda för antivirusprogram

För att kunna sprida sig och ta över datorer använder kriminella ofta botnät med specialdesignad malware, som utnyttjar sårbarheter i datorn för att installera sig och stjäla cpu-kraft. Det kan vara genom rena hack, som till exempel med Windows-sårbarheten EternalBlue som skapades av amerikanska signalspaningsmyndigheten NSA, och som även användes av Wannacry. Ett exempel på sådant avancerat kryptokapnings-malware är Powerghost som upptäcktes i somras. Powerghost använder bland annat Windows egna management-system, WMI, tillsammans med EternalBlue för att ta över en dator och sprida sig vidare i nätverket.

Kryptoprogrammet körs sedan direkt från minnet på datorn utan att skriva något till disk, vilket gör det svårt för antivirusprogram att upptäcka eftersom de ofta använder just signaturer från disk för att kunna hitta skadlig kod.

Det här är en artikel från Expert Network »

Denna typ av spridning utnyttjar ofta sårbarheter som redan varit kända en tid. Kaparna utnyttjar det faktum att organisationer ofta jobbar med schemalagda patchfönster, så att det finns ett visst utrymme mellan att leverantören släpper en patch och det att den rullas ut till det sårbara systemet.

Kryptokapning använder även andra vektorer för att generera kryptovaluta, till exempel webbsidor som kommer åt användare som surfar in på sidan. Ett vanligt sätt är att använda Coinhive, ett legitimt kryptoprogram som kan köras utan att informera användaren. Genom sårbarheter i till exempel skriptspråket PHP, som bland annat används för att bygga webbsajter, har det kunnat sprida sig till ett stort antal webbserverar.

Läs mer: Kryptokapningar är de kriminellas nya favorit – så skyddar du dig

Tre sätt att skydda sig

1. Kryptoprogram använder ofta kända domäner eller kända portar. Genom att lägga på ett DNS-skydd kan man upptäcka, och hindra, en pågående attack. DNS-skydd kan man få genom till exempel en Secure Internet Gateway, SIG.

2. För att snabbt kunna hitta den infekterade datorn är det viktigt att man använder system som kan koppla samman IP-adressen med användaren, till exempel med hjälp av arkitekturen pxGrid som låter säkerhetssystem från olika tillverkare dela den informationen som behövs sinsemellan.

3. Genom att övervaka trafiken mellan olika enheter i nätverket kan man bygga en baseline av den metadata som skapas. Genom kontinuerlig analys av metadata kan man sedan se trafikmönster som sticker ut, till exempel trafik till kryptopooler på internet. System som övervakar metadata kan också ofta integreras med ett DNS-skydd, eller med data från olika säkerhetsorganisationer, så kallad SI, security intelligence.

Krypotkapning av en dator i nätverket betyder att det finns minst ett säkerhetshål i organisationens it-skydd. Någon har redan tagit sig in och tagit över en dator och installerat ett ej godkänt program. Vad är det då som säger att de inte kan installera andra typer av program eller försöka ta sig vidare i nätverket från insidan?

Kryptokapning är ett växande hot mot organisationer. Det är viktigt att ta det på allvar och planera för det, så att det hanteras på rätt sätt.

Fakta

Befattning: Senior nätverks- och säkerhetskonsult
Företag: Conscia Netsafe
Linkedin: Mikael Gustafsson
Twitter: @Micke_G_
E-post: mikael.gustafsson@netsafe.se
Expertområden: Nätverks-, informations- och cybersäkerhet, säkerhetsarkitektur och -design.
Certifieringar: CCIE inom säkerhet, plus ett par till.
Bakgrund: 15-års erfarenhet som senior konsult inom nätverks- och säkerhetsområdet på stora bolag och offentliga organisationer.