Guide

Under angreb

Ransomware dækker over en type cyberangreb, hvor data på et offers system bliver gjort utilgængelige – typisk gennem kryptering – hvorefter offeret afkræves løsesum for at få udleveret den kryptonøgle, der giver adgang til deres data igen.

Et af de første eksempler på ransomware er fra 1989, men fra 2012 begyndte ransomwareangreb for alvor at blive udbredt. Løsepengene skal typisk betales i kryptovaluta.

Prosabladet har allieret sig med Whitehat-hacker Magnus Klaaborg Stubman fra Improsec for at sammensætte et konkret scenarie for, hvordan et ransomware-angreb kan se ud
1. Et typisk angreb kan starte med en mail til en bruger i en virksomhed. I vores eksempel har mailen en vedhæftet Office-fil af lidt ældre karakter. Det vil sige .doc-formatet, som er velegnet til at indlede et angreb med, da denne filtype sjældent bliver bortfiltreret af et mailfilter. Desuden er det muligt at indlejre makrokode i filen, som også kan eksekveres i nyere udgaver af Office. 2. Mailen formuleres på en måde, så brugeren lokkes til at åbne den vedhæftede fil. Mailen udgiver sig for at være fra et headhunterbureau, og modtageren får et løfte om at kunne tjekke sit reelle lønniveau ved at åbne filen og indtaste sine løn-info.
3. Når brugeren åbner filen, dukker en advarsel op om, at filen indeholder makrokode. Den situation foregriber angriberen i mailformuleringen ved at instruere brugeren i, at det er nødvendigt at acceptere makrokode i dokumentet, for at lønberegneren kan fungere. 4. Mens brugeren studerer sit værd på jobmarkedet, kører makroen i baggrunden. Makroen henter i vores eksempel yderligere ondsindet kode ned fra nettet over en krypteret forbindelse. Det giver hackeren fjernadgang til maskinen.
5. Efter at have kompromitteret klientmaskinen går hackeren på jagt efter Active Directory, som ofte er målet i denne slags angreb. Et kompromitteret AD giver uhindret adgang til hele organisationen. AD er et udbredt værktøj fra Microsoft til adgangsstyring. 6. For at komme videre ind i organisationens netværk anvender hackeren en teknik kaldet kerberoasting. Teknikken indebærer – kort fortalt – at hackeren fra den kompromitterede maskine anmoder AD-miljøet om at få tilsendt service tickets. En del af sådan en ticket består af en stump data, som er en hashed udgave af det kodeord, servicen anvender.
7. Hackeren trækker nu hash-værdien ud, for så at brute-force sig til det rigtige kodeord offline. Det kan eksempelvis ske via cracker-programmet Hashcat. 8. Med det crackede kodeord til servicekontoen får hackeren adgang til en applikationsserver, hvor en domain-admin tidligere har været logget ind. Ved brug af et program som eksempelvis Mimikatz hiver hackeren domain-administratorens password-hash ud af rammen på serveren. 9. Dette kodeord brute-forcer hackeren også offline. Nu har hackeren fuld adgang til domain-controlleren og AD’et – og dermed alle brugerkonti i organisationen.
10. Adgangen benytter hackeren til at slå backuppen fra og hive værdifulde data ud af virksomheden for så til sidst at udrulle kode, der krypterer samtlige maskiner i organisationen. Kilder: Improsec

Illustration > Mikkel Henssel

304.700.000

Antallet af angrebsforsøg med ransomware på verdensplan i første halvår af 2021. Dermed er 2021 allerede det år med flest angreb i historien.

Kilde: Sonic Wall

Tema:

Denne artikel er en del af et tema om ransomware: 

Våbenkapløbet

Magnus kan knække et Active Directory før frokost

Cyberkriminelle spekulerer i GDPR-skræk

Guide: Under angreb

Læs også

02. august 2021 Kom ind i klimakampen
05. marts 2021 Global vision
04. januar 2021 Fem cloud-tip til dig med livrem og seler

Læs også...

Søren blev ramt af stress: "Det tog tid at erkende, at jeg ikke havde det godt"

Det var en helt ny fornemmelse, da Søren tidligere på året blev ramt af stress, for han havde aldrig oplevet stresssymptomer før. Søren har arbejdet i…

Berit har arbejdet med IT i godt 25 år: "Man tror mere på individet i dag"

I 1999 havnede Berit Søgaard mere eller mindre tilfældigt i IT-branchen, og hun har arbejdet her lige siden. I dag er hun compliancedirektør i Visma,…

7 websider du (måske) burde kende

Nettet er proppet til randen med websider, som kan hjælpe dig med det ene eller andet eller har så nørdet viden, at de med fordel kan besøges.

I Kina laver de droner – og på KEA omfavner de unge AI

Unge tech-folk fortæller om deres håb og drømme for fremtiden. Danske virksomheder kigger mod et tysk eksporteventyr. Forfatter sætter spot på Kina og…

Intet rammer dig så hårdt som et godt spil

26-årige Francesca Tremulo rejste til Danmark fra Italien for tre år siden for at realisere drømmen om en fremtid i spilbranchen. Hun er uddannet…

Vågn op – Kina fører stort inden for udvikling af teknologi

Kinas tech fungerer og er udviklet i benhård konkurrence til at være bedst og billigst. Talentmassen er enorm, og der er prestige og attraktive…

"Jeg er blevet meget overrasket over, at jeg synes, at det er så sjovt at kode"

Alberte Viendahl er 25 år og har læst multimediedesign på KEA. Hun er blevet vild med at kode og nørde, og nu vil hun gerne tage en top up-uddannelse…

"Når jeg tænker på AI og mit arbejdsliv, er jeg nok lidt pessimistisk"

Benjamin Elias Harris er 27 år, og han har gået på datamatikerlinjen på KEA. Han startede egentlig med at læse engelsk på Københavns Universitet, men…

"Jeg drømmer om at have min egen virksomhed"

28-årige Yousra Diab arbejdede i flere år som socialrådgiver, inden hun tog springet og startede på datamatikeruddannelsen. Det har været svært at…

"Jeg tror, jeg har lidt af det der imposter-syndrom"

26-årige Sophie Ankjær Andersen har læst multimediedesign på KEA. Hun drømmer om, at hun i fremtiden skal tage sit arbejde med til Bali og arbejde…