Vad är BlackCat Ransomware? FBI har nyligen utfärdat en varning om en ny typ av utpressningstrojaner som kallas BlackCat Ransomware (även kallad Noberus och AlphaV) och som har orsakat förödelse på företag och persondatorer över hela världen (främst i USA). FBI-agenter är oroliga för att BlackCat kan bli ett allvarligt problem för företag om det inte kontrolleras. Även om de flesta företag har starka säkerhetssystem för att hålla hackare borta är de kanske inte förberedda på en attack som denna.
Du kan läsa hela artikeln i Forbes här.
BlackCat Ransomware: Ett nytt Ransomware-gäng är på fri fot
BlackCat använder liknande krypteringstekniker som andra typer av utpressningstrojaner, men lägger också till ytterligare säkerhetsåtgärder för att göra det svårare att dekryptera filer om de krypteras. Detta inkluderar användning av två olika krypteringsalgoritmer och att se till att dekrypteringsnyckeln aldrig lagras på samma enhet som krypterade filer.
Skaparna av BlackCat verkar rikta sig till företag och organisationer snarare än privatpersoner, vilket är logiskt eftersom dessa typer av organisationer tenderar att vara mer villiga att betala lösensumman än vad privatpersoner skulle vara.
BlackCat är en grupp cyberkriminella som riktar sig till företag för att stjäla deras immateriella rättigheter och personuppgifter. Den är känd för att rikta in sig på företag inom bygg- och verkstadsindustri, detaljhandel, transport, kommersiella tjänster, försäkringar och maskiner.
Gruppen har också attackerat organisationer i Europa och Filippinerna. Hittills har det största antalet offer kommit från USA, men detta kan komma att förändras när gruppen fortsätter att utvidga sin räckvidd över hela världen.
D
Vad är BlackCat Ransomware: En Ransomware-as-a-Service (RaaS)
BlackCat Ransomware är en affärsmodell för Ransomware-as-a-service (RaaS) som bygger på en struktur för affiliate-marknadsföring. Att arbeta som en RaaS-affärsmodell innebär att BlackCat inte själv är värd för eller distribuerar skadlig kod, utan förlitar sig på att tredje part gör det åt dem. Genom att arbeta på detta sätt undviker BlackCat juridiskt ansvar och undviker dessutom att upptäckas av antivirusprogram.
Vad är Ransomware-as-a-Service?
Ransomware-as-a-service (RaaS) är en relativt ny typ av cyberattack som gör det möjligt för vem som helst att köpa skadlig programvara och använda den för att hålla filer som gisslan, vanligtvis tills en lösensumma betalas.
RaaS är extremt lönsamt för hackare eftersom de kan hyra ut sin programvara för utpressningstrojaner till andra brottslingar utan att behöva oroa sig för att åka fast av de rättsvårdande myndigheterna, vilket de skulle göra om de genomförde sina egna attacker.
RaaS fungerar med hjälp av "affiliate"-program, som i huvudsak är program som gör det möjligt för människor att tjäna pengar genom att sprida skadlig kod. Affiliates får betalt för varje offer som de infekterar och för varje gång skadlig kod genererar intäkter. Ju mer framgångsrik en affiliate är med att sprida RaaS, desto mer pengar kan de tjäna.
Hur fungerar det?
Ransomware levereras vanligtvis via e-post eller via en webbplats som har hackats. Det skadliga programmet krypterar sedan alla användarens filer och visar en varning om att användaren har brutit mot federala lagar, vilket leder till att datorn låses. Angriparen informerar sedan användaren om att de kan låsa upp sin dator genom att betala en lösenavgift - vanligtvis mellan 200 och 600 dollar - via bitcoin eller annan kryptovaluta.
Anledningen till att RaaS-kriminella kan komma undan med den här typen av bedrägeri är att de flesta offer inte rapporterar när de infekteras av ransomware, utan försöker lösa problemet själva genom att betala lösensumman och hoppas på det bästa.
Behöver du skydd mot utpressningstrojaner? Läs mer om DMARC och Ransomware här.
Anatomi av BlackCat Ransomware
Ransomware anses vara en sofistikerad infektionsmetod och kan göra en infekterad värd oanvändbar. Den kan orsaka stora skador på en organisation om den inte upptäcks snabbt. BlackCat ransomware har laddats ner via Microsoft Office-filer som innehåller en inbäddad skadlig körbar fil. Nyttolasten innehåller kod som gör det möjligt för skadlig kod att sprida sig över det infekterade nätverket och riktar sig mot både Windows- och Linuxsystem.
BlackCat Ransomware beskrivs som en attack i flera steg med syftet att utnyttja Active Directory (AD) användar- och administratörskonton för att kryptera filer på måldatorer. Dessutom utnyttjar BlackCat/ALPHV ransomware tidigare komprometterade användaruppgifter för att få initial tillgång till offrets system.
Hur förhindrar man BlackCat Ransomware?
Manuella steg för att förhindra BlackCat Ransomware-attacker:
- Uppdatera din programvara regelbundet. Ransomware riktar sig vanligtvis mot äldre system eller system som inte har uppdaterats på ett tag, så se till att du vet vilken programvara som körs på din dator och se till att den är uppdaterad.
- Säkerhetskopiera alla dina filer regelbundet och lagra dem på två olika ställen (t.ex. på två olika externa hårddiskar). På så sätt har du kopior av alla dina filer på en annan hårddisk eller i molnet på ett säkert ställe om den ena hårddisken går sönder eller infekteras med skadlig kod.
- Använd starka lösenord som inte återanvänds någon annanstans (särskilt inte flera gånger på olika konton) och klicka aldrig på länkar som skickas via e-post - även om de ser ut att komma från någon du litar på!
- Betala inte lösensumman! Att betala brottslingar är att kasta bort pengar. Det enda sättet för dem att häva blockeringen av dina data (påstår de) är om du betalar dem först - men de ljuger! Gå inte på det!
- Försök att använda Windows inbyggda filåterställningsverktyg för att återställa dina filer från Shadow Copies (ett säkerhetskopieringssystem). Det kanske inte fungerar 100 % av gångerna, men det är definitivt värt ett försök! Du hittar det här verktyget under "Systemåterställning" i din kontrollpanel (sök efter "Systemåterställning" om du inte ser det direkt).
Verktyg som du kan använda för att förhindra BlackCat Ransomware-attacker:
1. Den goda nyheten är att det finns en ny teknik som kan hjälpa dig att skydda ditt företag från BlackCat ransomware: DMARC.
A DMARC-policy gör det möjligt för avsändare att tala om för mottagande servrar om e-postmeddelanden är legitima eller inte. Det innebär att om en angripare försöker skicka ett phishing-e-postmeddelande med skadlig kod bifogad kommer mottagarens server att veta att det inte kommer från den legitima domänägaren och kan avvisa det innan någon skada är skedd.
Få din kostnadsfria DMARC-analysator idag.
2. Flerfaktorsautentisering (MFA) är ett sätt att hålla hackare borta från dina konton samtidigt som du kan få tillgång till dem. Genom att använda två eller flera uppgifter för att verifiera din identitet är det mycket svårare för någon som har stulit ditt lösenord eller annan identifieringsinformation att komma in på ditt konto utan att upptäckas av MFA.
3. Brandväggar kan skydda mot många BlackCat Ransomware-attacker. En brandvägg är en programvara som tillsammans med operativsystemet blockerar obehörig åtkomst till datorn, vilket inkluderar åtkomst av skadlig kod som ransomware. De flesta operativsystem innehåller brandväggar, men om du inte har någon eller vill ha ett extra skyddslager finns det gott om gratis alternativ - och många är lätta att installera.