Ransomware

Ransomware är en typ av skadlig programvara från kryptovirologi som hotar att publicera offrets personliga data eller permanent blockera åtkomst till den om inte en lösensumma betalas ut. Medan vissa enkla ransomware kan låsa systemet utan att skada några filer, använder mer avancerad skadlig programvara en teknik som kallas kryptoviral utpressning. Den krypterar offrets filer, gör dem otillgängliga och kräver en lösensumma för att dekryptera dem. I en korrekt implementerad kryptoviral utpressningsattack är det ett svårlöst problem att återställa filerna utan dekrypteringsnyckeln – och svåra att spåra digitala valutor som paysafecard eller Bitcoin och andra kryptovalutor används för lösen, vilket gör det svårt att spåra och lagföra gärningsmännen.

Ransomware-attacker utförs vanligtvis med en trojan förklädd som en legitim fil som användaren luras att ladda ner eller öppna när den kommer som en e-postbilaga. Ett högprofilerat exempel, WannaCry-masken , färdades dock automatiskt mellan datorer utan användarinteraktion.

Med början så tidigt som 1989 med den första dokumenterade ransomware känd som AIDS-trojanen , har användningen av ransomware-bedrägerier växt internationellt. Det förekom 181,5 miljoner ransomwareattacker under de första sex månaderna av 2018. Detta rekord markerar en ökning med 229 % jämfört med samma tidsram 2017. I juni 2014 släppte leverantören McAfee data som visade att de hade samlat in mer än dubbelt så många ransomware-prover det kvartalet än det hade under samma kvartal föregående år. CryptoLocker var särskilt framgångsrik och skaffade uppskattningsvis 3 miljoner USD innan den togs ned av myndigheterna, och CryptoWall uppskattades av US Federal Bureau of Investigation (FBI) ha samlat in över 18 miljoner USD i juni 2015. 2020 fick IC3 2 474 klagomål identifierades som ransomware med justerade förluster på över 29,1 miljoner USD. Förlusterna kan bli mer än så, enligt FBI. Enligt en rapport från SonicWall fanns det cirka 623 miljoner ransomware-attacker 2021.

Drift

Konceptet med filkrypterande ransomware uppfanns och implementerades av Young och Yung vid Columbia University och presenterades vid 1996 IEEE Security & Privacy-konferensen. Det kallas kryptoviral utpressning och det var inspirerat av den fiktiva facehugger i filmen Alien . Kryptoviral utpressning är följande protokoll i tre omgångar som utförs mellan angriparen och offret.

[angripare→offer] Angriparen genererar ett nyckelpar och placerar motsvarande offentliga nyckel i skadlig programvara. Skadlig programvara släpps.
[offer→angripare] För att utföra den kryptovirala utpressningsattacken genererar skadlig programvara en slumpmässig symmetrisk nyckel och krypterar offrets data med den. Den använder den offentliga nyckeln i skadlig programvara för att kryptera den symmetriska nyckeln. Detta är känt som hybridkryptering och det resulterar i en liten asymmetrisk chiffertext såväl som den symmetriska chiffertexten av offrets data. Den nollställer den symmetriska nyckeln och de ursprungliga klartextdata för att förhindra återställning. Den lägger upp ett meddelande till användaren som inkluderar den asymmetriska chiffertexten och hur man betalar lösensumman. Offret skickar den asymmetriska chiffertexten och e-pengar till angriparen.
[angripare→offer] Angriparen tar emot betalningen, dechiffrerar den asymmetriska chiffertexten med angriparens privata nyckel och skickar den symmetriska nyckeln till offret. Offret dechiffrerar den krypterade informationen med den symmetriska nyckeln som behövs och slutför därigenom kryptovirologiattacken.

Den symmetriska nyckeln genereras slumpmässigt och hjälper inte andra offer. Inte vid något tillfälle exponeras angriparens privata nyckel för offren och offret behöver bara skicka en mycket liten chiffertext (den krypterade symmetriska chiffernyckeln) till angriparen.

Ransomware-attacker utförs vanligtvis med en trojan , som kommer in i ett system genom till exempel en skadlig bilaga, inbäddad länk i ett nätfiske-e -postmeddelande eller en sårbarhet i en nätverkstjänst. Programmet kör sedan en nyttolast , som låser systemet på något sätt, eller påstår sig låsa systemet men inte gör det (t.ex. ett skrämselprogram ). Nyttolaster kan visa en falsk varning som påstås ha av en enhet som en brottsbekämpande myndighet , felaktigt hävdar att systemet har använts för olagliga aktiviteter, innehåller innehåll som pornografi och "piratkopierad" media .

Vissa nyttolaster består helt enkelt av en applikation som är utformad för att låsa eller begränsa systemet tills betalning görs, vanligtvis genom att ställa in Windows-skalet till sig själv, eller till och med modifiera huvudstartposten och/eller partitionstabellen för att förhindra att operativsystemet startas tills det är repareras. De mest sofistikerade nyttolasterna krypterar filer, med många som använder stark kryptering för att kryptera offrets filer på ett sådant sätt att endast skadlig programvara har den nödvändiga dekrypteringsnyckeln.

Betalning är praktiskt taget alltid målet, och offret tvingas betala för att ransomware ska tas bort antingen genom att tillhandahålla ett program som kan dekryptera filerna, eller genom att skicka en upplåsningskod som ångrar nyttolastens ändringar. Även om angriparen helt enkelt kan ta pengarna utan att lämna tillbaka offrets filer, ligger det i angriparens bästa intresse att utföra dekrypteringen enligt överenskommelse, eftersom offren kommer att sluta skicka betalningar om det blir känt att de inte tjänar något syfte. En nyckelfaktor för att få ransomware att fungera för angriparen är ett bekvämt betalningssystem som är svårt att spåra. En rad sådana betalningsmetoder har använts, inklusive banköverföringar , premium-sms , förbetalda kupongtjänster som paysafecard och kryptovalutan Bitcoin .

I maj 2020 rapporterade leverantören Sophos att den globala genomsnittliga kostnaden för att åtgärda en ransomware-attack (med tanke på driftstopp, personaltid, enhetskostnad, nätverkskostnad, förlorad möjlighet och betalad lösen) var $761 106. Nittiofem procent av organisationerna som betalade lösensumman fick sina data återställda.

Historia

Krypterar ransomware

Den första kända utpressningsattacken med skadlig programvara, "AIDS-trojanen" skriven av Joseph Popp 1989, hade ett designfel så allvarligt att det inte var nödvändigt att betala utpressaren alls. Dess nyttolast gömde filerna på hårddisken och krypterade endast deras namn och visade ett meddelande som hävdade att användarens licens att använda en viss mjukvara hade löpt ut. Användaren ombads att betala USD till "PC Cyborg Corporation" för att få ett reparationsverktyg trots att dekrypteringsnyckeln kunde extraheras från trojanens kod. Trojanen var också känd som "PC Cyborg". Popp förklarades mentalt olämplig att ställas inför rätta för sina handlingar, men han lovade att donera vinsten från skadlig programvara för att finansiera AIDS- forskning.

Idén att missbruka anonyma kontantsystem för att på ett säkert sätt samla in lösen från mänsklig kidnappning introducerades 1992 av Sebastiaan von Solms och David Naccache . Denna metod för insamling av elektroniska pengar föreslogs också för utpressningsattacker med kryptovirus. I von Solms-Naccache-scenariot användes en tidningspublikation (eftersom bitcoin-reskontra inte fanns när tidningen skrevs).

Uppfattningen att använda kryptografi med offentlig nyckel för datakidnappningsattacker introducerades 1996 av Adam L. Young och Moti Yung . Young och Yung kritiserade den misslyckade AIDS-informationstrojanen som enbart förlitade sig på symmetrisk kryptografi , det fatala felet var att dekrypteringsnyckeln kunde extraheras från trojanen, och implementerade ett experimentellt proof-of-concept kryptovirus på en Macintosh SE/30 som använde RSA och Tiny Encryption Algorithm (TEA) för att hybridkryptera offrets data. Eftersom kryptografi med offentlig nyckel används innehåller viruset endast krypteringsnyckeln . Angriparen håller motsvarande privata dekrypteringsnyckel privat. Young och Yungs ursprungliga experimentella kryptovirus fick offret att skicka den asymmetriska chiffertexten till angriparen som dechiffrerar den och returnerar den symmetriska dekrypteringsnyckeln den innehåller till offret mot en avgift. Långt innan elektroniska pengar existerade föreslog Young och Yung att elektroniska pengar också skulle kunna pressas ut genom kryptering, och angav att "virusförfattaren effektivt kan hålla alla pengarna lösen tills hälften av dem ges till honom. Även om e-pengarna var tidigare krypterad av användaren, är det till ingen nytta för användaren om det krypteras av ett kryptovirus". De hänvisade till dessa attacker som " kryptoviral utpressning", en öppen attack som är en del av en större klass av attacker inom ett område som kallas kryptovirologi , som omfattar både öppna och hemliga attacker. Det kryptovirala utpressningsprotokollet var inspirerat av det parasitära förhållandet mellan HR Gigers facehugger och dess värd i filmen Alien .

Exempel på utpressande ransomware blev framträdande i maj 2005. I mitten av 2006 började trojaner som Gpcode , TROJ.RANSOM.A, Archiveus , Krotten, Cryzip och MayArchive använda mer sofistikerade RSA-krypteringsscheman, med ständigt ökande nyckelstorlekar. Gpcode.AG, som upptäcktes i juni 2006, krypterades med en 660-bitars RSA publik nyckel. I juni 2008 upptäcktes en variant känd som Gpcode.AK. Med en 1024-bitars RSA-nyckel ansågs den vara tillräckligt stor för att vara beräkningsmässigt omöjlig att bryta utan en samlad distribuerad ansträngning.

Kryptering av ransomware återgick till framträdande plats i slutet av 2013 med spridningen av CryptoLocker — med hjälp av Bitcoins digitala valutaplattform för att samla in lösenpengar. I december 2013 ZDNet baserat på Bitcoin-transaktionsinformation att mellan 15 oktober och 18 december hade operatörerna av CryptoLocker skaffat cirka 27 miljoner USD från infekterade användare. CryptoLocker-tekniken kopierades flitigt under månaderna efter, inklusive CryptoLocker 2.0 (tros inte vara relaterad till CryptoLocker), CryptoDefense (som initialt innehöll ett stort designfel som lagrade den privata nyckeln på det infekterade systemet på en plats som användaren kan hämta, pga . till dess användning av Windows inbyggda krypterings-API) och upptäckten i augusti 2014 av en trojan som specifikt riktar sig mot nätverksanslutna lagringsenheter producerade av Synology . I januari 2015 rapporterades det att ransomware-liknande attacker har inträffat mot enskilda webbplatser via hackning och genom ransomware utformade för att rikta in sig på Linux -baserade webbservrar .

I vissa infektioner finns en tvåstegs nyttolast, vanlig i många skadlig programvara. Användaren luras att köra ett skript, som laddar ner huvudviruset och kör det. I tidiga versioner av systemet med dubbel nyttolast fanns skriptet i ett Microsoft Office-dokument med ett bifogat VBScript-makro eller i en WSF-fil (Windows Scripting Facility). När detektionssystem började blockera dessa första stegs nyttolaster identifierade Microsoft Malware Protection Center en trend bort mot LNK-filer med fristående Microsoft Windows PowerShell -skript. Under 2016 visade sig PowerShell vara involverad i nästan 40 % av slutpunktssäkerhetsincidenterna,

Vissa ransomware-stammar har använt proxyservrar kopplade till Tors dolda tjänster för att ansluta till deras kommando- och kontrollservrar , vilket ökar svårigheten att spåra brottslingarnas exakta plats. Dessutom mörka webbleverantörer alltmer börjat erbjuda tekniken som en tjänst , där ransomware säljs, redo att distribueras på offrens maskiner, på en prenumerationsbasis, på samma sätt som Adobe Creative Cloud eller Office 365.

Symantec har klassificerat ransomware som det farligaste cyberhotet.

drabbades datorsystemen hos USA:s största vårdgivare Universal Health Services av en ransomware-attack. UHS-kedjan från olika platser rapporterade att de märkte problem, med vissa platser rapporterade låsta datorer och telefonsystem från tidig söndag (27 september).

Icke-krypterande ransomware

I augusti 2010 arresterade ryska myndigheter nio personer kopplade till en ransomware-trojan känd som WinLock. Till skillnad från den tidigare Gpcode-trojanen använde WinLock inte kryptering. Istället begränsade WinLock obetydligt åtkomsten till systemet genom att visa pornografiska bilder och bad användarna att skicka ett premium-SMS (kostar runt 10 USD) för att få en kod som kunde användas för att låsa upp deras maskiner. Bedrägeriet drabbade många användare i Ryssland och angränsande länder – enligt uppgift tjänade gruppen över 16 miljoner USD.

År 2011 dök en ransomware-trojan upp som imiterade meddelandet om Windows-produktaktivering och informerade användarna om att ett systems Windows-installation måste återaktiveras på grund av att "[att vara ett] offer för bedrägeri". Ett onlineaktiveringsalternativ erbjöds (som den faktiska Windows-aktiveringsprocessen), men var inte tillgänglig, vilket krävde att användaren ringde ett av sex internationella nummer för att ange en 6-siffrig kod. Medan skadlig programvara hävdade att det här samtalet skulle vara gratis, dirigerades det genom en oseriös operatör i ett land med höga internationella telefontaxor, som parkerade samtalet, vilket fick användaren att ådra sig stora internationella långdistansavgifter .

I februari 2013 dök en ransomware-trojan baserad på Stamp.EK- exploatsatsen upp; skadlig programvara distribuerades via webbplatser som var värd för projektvärdtjänsterna SourceForge och GitHub som påstod sig erbjuda "falska nakenbilder" av kändisar. I juli 2013 dök en OS X -specifik ransomware-trojan upp, som visar en webbsida som anklagar användaren för att ladda ner pornografi. Till skillnad från sina Windows-baserade motsvarigheter, blockerar den inte hela datorn, utan utnyttjar helt enkelt webbläsarens beteende för att förhindra försök att stänga sidan på vanliga sätt.

I juli 2013 överlämnade sig en 21-årig man från Virginia, vars dator av en slump innehöll pornografiska fotografier av minderåriga flickor som han hade sexualiserat kommunikation med, sig själv till polisen efter att ha tagit emot och blivit lurad av FBI MoneyPak Ransomware som anklagade honom för att ha innehaft barnpornografi. En utredning upptäckte de kränkande akterna och mannen åtalades för sexuella övergrepp mot barn och innehav av barnpornografi.

Exfiltration (Leakware / Doxware)

Motsatsen till ransomware är en kryptovirologisk attack uppfunnen av Adam L. Young som hotar att publicera stulen information från offrets datorsystem snarare än att neka offret åtkomst till den. I en läckageattack exfiltrerar skadlig programvara känslig värddata antingen till angriparen eller alternativt till avlägsna instanser av skadlig programvara, och angriparen hotar att publicera offrets data om inte en lösensumma betalas. Attacken presenterades på West Point 2003 och sammanfattades i boken Malicious Cryptography på följande sätt, "Attacken skiljer sig från utpressningsattacken på följande sätt. I utpressningsattacken nekas offret tillgång till sin egen värdefulla information och har att betala för att få tillbaka den, där offret i attacken som presenteras här behåller tillgången till informationen men avslöjandet sker efter datavirusets gottfinnande”. Attacken är rotad i spelteorin och kallades ursprungligen "icke-nollsummespel och överlevbar skadlig programvara". Attacken kan ge ekonomisk vinst i fall där skadlig programvara får tillgång till information som kan skada offrets användare eller organisation, t.ex. skada på ryktet som kan bli resultatet av att publicera bevis på att själva attacken var en framgång.

Vanliga mål för exfiltration inkluderar:

tredje parts information som lagras av det primära offret (såsom kundkontoinformation eller hälsojournaler);
information som ägs av offret (såsom affärshemligheter och produktinformation)
pinsam information (som offrets hälsoinformation eller information om offrets personliga förflutna)

Exfiltrationsattacker är vanligtvis riktade, med en kurerad offerlista, och ofta preliminär övervakning av offrets system för att hitta potentiella datamål och svagheter.

Mobil ransomware

Med den ökade populariteten för ransomware på PC-plattformar har ransomware som riktar sig till mobila operativsystem också ökat. Vanligtvis är mobila ransomware-nyttolaster blockerare, eftersom det finns lite incitament att kryptera data eftersom det enkelt kan återställas via onlinesynkronisering. Mobil ransomware riktar sig vanligtvis till Android -plattformen, eftersom den tillåter att applikationer installeras från tredjepartskällor. Nyttolasten distribueras vanligtvis som en APK-fil installerad av en intet ont anande användare; det kan försöka visa ett blockeringsmeddelande över alla andra applikationer, medan en annan använde en form av clickjacking för att få användaren att ge den "enhetsadministratör"-privilegier för att få djupare åtkomst till systemet.

Olika taktiker har använts på iOS- enheter, som att utnyttja iCloud- konton och använda Find My iPhone- systemet för att låsa åtkomst till enheten. På iOS 10.3 korrigerade Apple ett fel i hanteringen av JavaScript-popup-fönster i Safari som hade utnyttjats av ransomware-webbplatser. Det nyligen ^{[ när? ]} har visats att ransomware också kan rikta in sig på ARM-arkitekturer som de som kan hittas i olika Internet-of-Things (IoT)-enheter, såsom Industrial IoT edge-enheter.

I augusti 2019 visade forskare att det är möjligt att infektera DSLR-kameror med ransomware. Digitalkameror använder ofta Picture Transfer Protocol (PTP – standardprotokoll som används för att överföra filer.) Forskare fann att det var möjligt att utnyttja sårbarheter i protokollet för att infektera målkameror med ransomware (eller exekvera valfri godtycklig kod). Denna attack presenterades på Defcons säkerhetskonferens i Las Vegas som en proof of concept-attack (inte som faktisk väpnad skadlig programvara).

Anmärkningsvärda attackmål

Anmärkningsvärda mjukvarupaket

Reveton

En nyttolast från Reveton, som bedrägligt hävdar att användaren måste betala böter till Metropolitan Police Service

Under 2012 började en stor ransomware-trojan känd som Reveton att spridas. Baserat på Citadel Trojan (som i sig är baserad på Zeus Trojan), visar dess nyttolast en varning som påstås komma från en brottsbekämpande myndighet som hävdar att datorn har använts för olagliga aktiviteter, som att ladda ner olicensierad programvara eller barnpornografi . På grund av detta beteende kallas det vanligtvis för "polistrojanen". Varningen informerar användaren om att för att låsa upp sitt system måste de betala böter med en kupong från en anonym förbetald kontanttjänst som Ukash eller paysafecard . För att öka illusionen av att datorn spåras av brottsbekämpande myndigheter visar skärmen även datorns IP-adress , medan vissa versioner visar bilder från ett offers webbkamera för att ge en illusion av att användaren spelas in.

Reveton började spridas i olika europeiska länder i början av 2012. Varianter lokaliserades med mallar som var märkta med logotyper för olika brottsbekämpande organisationer baserade på användarens land; till exempel innehöll varianter som användes i Storbritannien varumärkesmärkning av organisationer som Metropolitan Police Service och Police National E-Crime Unit . En annan version innehöll logotypen för royaltyinsamlingsföreningen PRS for Music , som specifikt anklagade användaren för att olagligt ladda ner musik. I ett uttalande som varnade allmänheten för skadlig programvara, klargjorde Metropolitan Police att de aldrig skulle låsa en dator på ett sådant sätt som en del av en utredning.

I maj 2012 upptäckte Trend Micro- hotforskare mallar för varianter för USA och Kanada , vilket tyder på att dess författare kan ha planerat att rikta in sig på användare i Nordamerika. I augusti 2012 började en ny variant av Reveton spridas i USA, och hävdade att de skulle kräva betalning av en $ till FBI med ett MoneyPak- kort. I februari 2013 greps en rysk medborgare i Dubai av spanska myndigheter för sin koppling till en brottskrets som hade använt Reveton; tio andra personer greps anklagade för penningtvätt . I augusti 2014 rapporterade Avast Software att man hittat nya varianter av Reveton som också distribuerar lösenordsstöldande skadlig programvara som en del av sin nyttolast.

CryptoLocker

Kryptering av ransomware dök upp igen i september 2013 med en trojan känd som CryptoLocker , som genererade ett 2048-bitars RSA-nyckelpar och laddades upp i sin tur till en kommando-och-kontrollserver och användes för att kryptera filer med hjälp av en vitlista med specifika filtillägg . Skadlig programvara hotade att radera den privata nyckeln om en betalning av Bitcoin eller en förbetald kontantkupong inte gjordes inom 3 dagar efter infektionen. På grund av den extremt stora nyckelstorleken den använder ansåg analytiker och de som påverkades av trojanen CryptoLocker vara extremt svår att reparera. Även efter att tidsfristen gått ut kunde den privata nyckeln fortfarande erhållas med hjälp av ett onlineverktyg, men priset skulle öka till 10 BTC – vilket kostade cirka 2 300 USD från och med november 2013.

CryptoLocker isolerades genom beslagtagandet av Gameover ZeuS -botnätet som en del av Operation Tovar , som officiellt tillkännagavs av det amerikanska justitiedepartementet den 2 juni 2014. Justitiedepartementet utfärdade också offentligt ett åtal mot den ryske hackaren Evgeniy Bogachev för hans påstådda inblandning. i botnätet. Det uppskattades att minst 3 miljoner USD pressades ut med skadlig programvara innan avstängningen.

CryptoLocker.F och TorrentLocker

I september 2014 dök en våg av ransomware-trojaner upp som först riktade sig mot användare i Australien , under namnen CryptoWall och CryptoLocker (som, liksom med CryptoLocker 2.0, inte är relaterat till den ursprungliga CryptoLocker). Trojanerna spreds via bedrägliga e-postmeddelanden som påstår sig vara misslyckade paketleveransmeddelanden från Australia Post ; för att undvika upptäckt av automatiska e-postskannrar som följer alla länkar på en sida för att söka efter skadlig programvara, utformades denna variant för att kräva att användare besöker en webbsida och anger en CAPTCHA-kod innan nyttolasten faktiskt laddas ner, vilket förhindrar att sådana automatiserade processer att kunna skanna nyttolasten. Symantec fastställde att dessa nya varianter, som identifierades som CryptoLocker.F , återigen inte var relaterade till den ursprungliga CryptoLocker på grund av skillnader i deras funktion. Ett anmärkningsvärt offer för trojanerna var Australian Broadcasting Corporation ; direktsändning på sin tv- nyhetskanal ABC News 24 stördes i en halvtimme och flyttades till Melbourne studios på grund av en CryptoWall-infektion på datorer i sin studio i Sydney .

En annan trojan i denna våg, TorrentLocker , innehöll initialt ett designfel som var jämförbart med CryptoDefense; den använde samma nyckelström för varje infekterad dator, vilket gjorde krypteringen trivial att övervinna. Detta fel åtgärdades dock senare. I slutet av november 2014 uppskattades det att över 9 000 användare hade smittats av TorrentLocker enbart i Australien, vilket bara följde Turkiet med 11 700 infektioner.

CryptoWall

En annan stor ransomware-trojan som riktade sig mot Windows, CryptoWall, dök upp först 2014. En stam av CryptoWall distribuerades som en del av en malvertisingkampanj på Zedo -annonsnätverket i slutet av september 2014 som riktade sig mot flera stora webbplatser; annonserna omdirigerades till oseriösa webbplatser som använde webbläsarplugin för att ladda ner nyttolasten. En från Barracuda Networks noterade också att nyttolasten signerades med en digital signatur i ett försök att framstå som pålitlig för säkerhetsprogramvara. CryptoWall 3.0 använde en nyttolast skriven i JavaScript som en del av en e-postbilaga, som laddar ner körbara filer förklädda som JPG -bilder. För att ytterligare undvika upptäckt skapar skadlig programvara nya instanser av explorer.exe och svchost.exe för att kommunicera med dess servrar. Vid kryptering av filer raderar skadlig programvara också volymskuggkopior och installerar spionprogram som stjäl lösenord och Bitcoin-plånböcker .

FBI rapporterade i juni 2015 att nästan 1 000 offer hade kontaktat byråns Internet Crime Complaint Center för att rapportera CryptoWall-infektioner och uppskattade förluster på minst 18 miljoner dollar.

Den senaste versionen, CryptoWall 4.0, förbättrade sin kod för att undvika antivirusupptäckt, och krypterar inte bara data i filer utan även filnamn.

Fusob

Fusob är en stor familj av mobila ransomware. Mellan april 2015 och mars 2016 var cirka 56 procent av mobil ransomware Fusob.

Liksom de flesta andra delar av ransomware använder den skrämseltaktik för att pressa ut en rejäl summa från användaren. Appen fungerar som om det vore ett meddelande från myndigheterna, som kräver att offret ska betala böter från $100 till $200 USD eller på annat sätt ställas inför en fiktiv brottsanklagelse. Fusob begär iTunes-presentkort för betalning, till skillnad från de flesta cryptocurrency-centrerade ransomware.

För att infektera enheter utger sig Fusob som en pornografisk videospelare. När den är installerad kontrollerar den först enhetens systemspråk. Om språket är ryska eller östeuropeiskt förblir Fusob vilande. Annars låser den enheten och kräver lösen. Cirka 40 % av offren finns i Tyskland, medan Storbritannien omfattar 14,5 % av offren och USA omfattar 11,4 %. Fusob och Small (en annan familj av ransomware) representerade över 93 % av mobil ransomware mellan 2015 och 2016.

Vill gråta

I maj 2017 spreds WannaCry ransomware-attacken via Internet, med hjälp av en exploateringsvektor som heter EternalBlue , som påstås ha läckt från USA:s nationella säkerhetsbyrå . Ransomware-attacken, utan motstycke i omfattning, infekterade mer än 230 000 datorer i över 150 länder, med hjälp av 20 olika språk för att kräva pengar från användare som använder Bitcoin kryptovaluta. WannaCry krävde 300 USD per dator. Attacken drabbade Telefónica och flera andra stora företag i Spanien, såväl som delar av British National Health Service (NHS), där minst 16 sjukhus var tvungna att avvisa patienter eller ställa in planerade operationer, FedEx , Deutsche Bahn , Honda , Renault , samt ryska inrikesministeriet och ryska telekom MegaFon . Angriparna gav sina offer en 7-dagars deadline från den dag då deras datorer blev infekterade, varefter de krypterade filerna skulle raderas.

Petya

Petya upptäcktes första gången i mars 2016; till skillnad från andra former av kryptering av ransomware, syftade den skadliga programvaran till att infektera huvudstartposten genom att installera en nyttolast som krypterar filtabellerna för NTFS -filsystemet nästa gång det infekterade systemet startar, vilket blockerar systemet från att starta upp i Windows alls tills lösen betalas. Check Point rapporterade att trots vad man trodde var en innovativ utveckling inom ransomware-design, hade det resulterat i relativt färre infektioner än andra ransomware aktiva under samma tidsram.

Den 27 juni 2017 användes en kraftigt modifierad version av Petya för en global cyberattack främst riktad mot Ukraina (men som påverkar många länder). Denna version hade modifierats för att spridas med samma EternalBlue-exploat som användes av WannaCry. På grund av en annan designändring kan den inte heller låsa upp ett system efter att lösensumman har betalats; detta ledde till att säkerhetsanalytiker spekulerade i att attacken inte var avsedd att generera olaglig vinst, utan att helt enkelt orsaka störningar.

Dålig kanin

Den 24 oktober 2017 rapporterade några användare i Ryssland och Ukraina en ny ransomware-attack, kallad "Bad Rabbit", som följer ett liknande mönster som WannaCry och Petya genom att kryptera användarens filtabeller och sedan kräver en Bitcoin-betalning för att dekryptera dem. ESET trodde att ransomwaren hade distribuerats genom en falsk uppdatering av Adobe Flash -programvaran. Bland byråer som påverkades av lösensumman var: Interfax , Odesa International Airport , Kiev Metro och Ukrainas infrastrukturministerium. Eftersom det använde företagsnätverksstrukturer för att sprida, upptäcktes ransomware även i andra länder, inklusive Turkiet, Tyskland, Polen, Japan, Sydkorea och USA. Experter trodde att ransomware-attacken var kopplad till Petya-attacken i Ukraina (särskilt eftersom Bad Rabbits kod har många överlappande och analoga element till koden för Petya/NotPetya, som läggs till CrowdStrike Bad Rabbit och NotPetyas DLL (dynamisk länkbibliotek) delar 67 procent av samma kod) även om den enda identiteten för de skyldiga är namnen på karaktärer från Game of Thrones- serien inbäddade i koden.

Säkerhetsexperter fann att ransomwaren inte använde EternalBlue-utnyttjandet för att sprida, och en enkel metod för att inokulera en opåverkad maskin som kör äldre Windows-versioner hittades den 24 oktober 2017. Dessutom har webbplatserna som hade använts för att sprida den falska Flash-uppdateringen gått offline eller tagit bort de problematiska filerna inom några dagar efter upptäckten, vilket effektivt dödade spridningen av Bad Rabbit.

SamSam

Under 2016 dök en ny stam av ransomware upp som riktade sig till JBoss- servrar. Denna stam, kallad "SamSam", visade sig kringgå processen med nätfiske eller olagliga nedladdningar till förmån för att utnyttja sårbarheter på svaga servrar. Skadlig programvara använder en brute-force-attack för Remote Desktop Protocol för att gissa svaga lösenord tills ett är trasigt. Viruset har legat bakom attacker mot regerings- och sjukvårdsmål, med anmärkningsvärda hack som inträffade mot staden Farmington, New Mexico , Colorado Department of Transportation , Davidson County, North Carolina , och nu senast en attack mot ransomware mot infrastrukturen i Atlanta .

Mohammad Mehdi Shah Mansouri (född i Qom , Iran 1991) och Faramarz Shahi Savandi (född i Shiraz , Iran , 1984) är eftersökta av FBI för att ha lanserat SamSam ransomware. De två ska ha tjänat 6 miljoner dollar på utpressning och orsakat över 30 miljoner dollar i skadestånd med hjälp av skadlig programvara.

Mörk sida

Den 7 maj 2021 utfördes en cyberattack mot USA:s koloniala pipeline. Federal Bureau of Investigation identifierade DarkSide som förövaren av Colonial Pipeline ransomware-attacken, utförd av skadlig kod , som ledde till en frivillig avstängning av huvudledningen som levererar 45 % av bränslet till USA:s östkust . Attacken beskrevs som den värsta cyberattacken hittills mot amerikansk kritisk infrastruktur . DarkSide har framgångsrikt pressat ut cirka 75 Bitcoin (nästan 5 miljoner USD) från Colonial Pipeline. Amerikanska tjänstemän undersöker om attacken var rent kriminell eller skedde med inblandning av den ryska regeringen eller en annan statlig sponsor. Efter attacken postade DarkSide ett uttalande som hävdade att "Vi är opolitiska, vi deltar inte i geopolitik...Vårt mål är att tjäna pengar och inte skapa problem för samhället."

Den 10 maj publicerade SentinelOne en analys av DarkSide Ransomware-attacken.

I maj 2021 utfärdade FBI och Cybersecurity and Infrastructure Security Agency en gemensam varning där de uppmanade ägarna och operatörerna av kritisk infrastruktur att vidta vissa åtgärder för att minska deras sårbarhet för DarkSide ransomware och ransomware i allmänhet.

Syskey

Syskey är ett verktyg som ingick i Windows NT -baserade operativsystem för att kryptera användarkontodatabasen, eventuellt med ett lösenord. Verktyget har ibland använts effektivt som ransomware under bedrägerier med teknisk support — där en uppringare med fjärråtkomst till datorn kan använda verktyget för att låsa användaren från sin dator med ett lösenord som endast är känt för dem. Syskey togs bort från senare versioner av Windows 10 och Windows Server 2017, på grund av att den var föråldrad och "känd för att användas av hackare som en del av ransomware-bedrägerier".

Ransomware-som-en-tjänst

Ransomware-as-a-service (RaaS) blev en anmärkningsvärd metod efter att den Rysslandsbaserade eller rysktalande gruppen REvil genomförde operationer mot flera mål, inklusive det Brasilien-baserade JBS SA i maj 2021, och det USA-baserade Kaseya Limited i Juli 2021. Efter ett telefonsamtal den 9 juli 2021 mellan USA:s president Joe Biden och Rysslands president Vladimir Putin , sa Biden till pressen: "Jag gjorde det mycket klart för honom att USA förväntar sig när en ransomware-operation kommer från hans mark även om det inte är sponsrat av staten, förväntar vi oss att de agerar om vi ger dem tillräckligt med information för att agera om vem det är." Biden tillade senare att USA skulle ta ner gruppens servrar om Putin inte gjorde det. Fyra dagar senare försvann REvils webbplatser och annan infrastruktur från internet.

Begränsning

Om en attack misstänks eller upptäcks i ett tidigt skede tar det lite tid innan kryptering sker; omedelbart avlägsnande av skadlig programvara (en relativt enkel process) innan den har slutförts skulle stoppa ytterligare skador på data, utan att rädda någon som redan förlorats.

Säkerhetsexperter har föreslagit försiktighetsåtgärder för att hantera ransomware. Att använda programvara eller andra säkerhetspolicyer för att blockera kända nyttolaster från att starta kommer att hjälpa till att förhindra infektion, men kommer inte att skydda mot alla attacker. Som sådan är en korrekt säkerhetskopieringslösning en kritisk komponent för att försvara sig mot ransomware. Observera att eftersom många ransomware-angripare inte bara kommer att kryptera offrets live-dator utan de kommer också att försöka ta bort alla heta säkerhetskopior som lagras lokalt eller tillgängliga över nätverket på en NAS, är det också viktigt att upprätthålla "offline" säkerhetskopior av data som lagras i platser som är oåtkomliga från någon potentiellt infekterad dator , till exempel externa lagringsenheter eller enheter som inte har någon åtkomst till något nätverk (inklusive Internet), hindrar dem från att nås av ransomware. Dessutom, om du använder en NAS- eller molnlagring , bör datorn ha enbart tilläggsbehörighet till destinationslagringen, så att den inte kan radera eller skriva över tidigare säkerhetskopior. Enligt comodo ger användning av två Attack Surface Reduction på OS / Kernel en väsentligt reducerad attackyta vilket resulterar i en ökad säkerhetsställning.

Installation av säkerhetsuppdateringar som utfärdats av programvaruleverantörer kan mildra de sårbarheter som utnyttjas av vissa stammar för att spridas. Andra åtgärder inkluderar cyberhygien – att vara försiktig när du öppnar e-postbilagor och länkar, nätverkssegmentering och att hålla kritiska datorer isolerade från nätverk. Dessutom kan åtgärder för infektionskontroll tillämpas för att minska spridningen av ransomware. Sådana kan inkludera att koppla bort infekterade maskiner från alla nätverk, utbildningsprogram, effektiva kommunikationskanaler, övervakning av skadlig programvara [ ^{originalforskning ? ]} och sätt för kollektivt deltagande

Filsystemsskydd mot ransomware

Ett antal filsystem håller ögonblicksbilder av den data de har, som kan användas för att återställa innehållet i filer från en tid före ransomware-attacken i händelse av att ransomware inte inaktiverar den.

På Windows används ofta volymskuggkopian (VSS) för att lagra säkerhetskopior av data; ransomware riktar sig ofta mot dessa ögonblicksbilder för att förhindra återställning och därför är det ofta tillrådligt att inaktivera användaråtkomst till användarverktyget VSSadmin.exe för att minska risken att ransomware kan inaktivera eller radera tidigare kopior.
På Windows 10 kan användare lägga till specifika kataloger eller filer till kontrollerad mappåtkomst i Windows Defender för att skydda dem från ransomware. Det rekommenderas att lägga till säkerhetskopior och andra viktiga kataloger till kontrollerad mappåtkomst.
Om inte skadlig programvara får rot på ZFS-värdsystemet när en attack kodas för att utfärda ZFS-administrativa kommandon, är filservrar som kör ZFS i stort sett immuna mot ransomware, eftersom ZFS kan ta ögonblicksbilder till och med ett stort filsystem många gånger i timmen, och dessa ögonblicksbilder är oföränderlig (skrivskyddad) och lätt att rulla tillbaka eller filer som återställs i händelse av datakorruption. I allmänhet kan bara en administratör ta bort (men kan inte ändra) ögonblicksbilder.

Fildekryptering och återställning

Det finns ett antal verktyg speciellt avsedda att dekryptera filer som är låsta av ransomware, även om framgångsrik återställning kanske inte är möjlig. Om samma krypteringsnyckel används för alla filer, använder dekrypteringsverktygen filer för vilka det finns både oförstörda säkerhetskopior och krypterade kopior (en känd klartextattack på krypteringsjargongen. Men det fungerar bara när chifferet som angriparen använde var svagt för att börja med att vara sårbar för attacker med känd klartext); Återställning av nyckeln, om det är möjligt, kan ta flera dagar. Gratis dekrypteringsverktyg för ransomware kan hjälpa till att dekryptera filer krypterade med följande former av ransomware: AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, Hidden Tear , Jigda , Lambion NoobCrypt, Stampado, SZFLocker, TeslaCrypt , XData. No More Ransom Project är ett initiativ av den nederländska polisens National High Tech Crime Unit, Europols European Cybercrime Center , Kaspersky Lab och McAfee för att hjälpa offer för ransomware att återställa sina data utan att betala en lösensumma. De erbjuder ett gratis CryptoSheriff-verktyg för att analysera krypterade filer och söka efter dekrypteringsverktyg.

Dessutom kan gamla kopior av filer finnas på disken, som tidigare har raderats. I vissa fall kan dessa raderade versioner fortfarande återställas med programvara som är utformad för detta ändamål .

Tillväxt

Skadlig programvara för ransomware begränsades först till ett eller två länder i Östeuropa och spreds sedan över Atlanten till USA och Kanada. Antalet cyberattacker under 2020 var dubbelt så mycket som 2019. De första versionerna av denna typ av skadlig programvara använde olika tekniker för att inaktivera datorerna genom att låsa offrens systemmaskin (Locker Ransomware) [133]. Ransomware använder olika taktiker för att utpressa offer. En av de vanligaste metoderna är att låsa enhetens skärm genom att visa ett meddelande från en lokal polismyndighet som hävdar att offret måste betala böter för olaglig aktivitet. Ransomware kan begära en betalning genom att skicka ett SMS-meddelande till ett betalnummer. Vissa liknande varianter av skadlig programvara visar pornografiskt bildinnehåll och krävde betalning för borttagningen av det.

Under 2016 noterades en betydande ökning av ransomware-attacker på sjukhus. Enligt 2017 års Internet Security Threat Report från Symantec Corp påverkade ransomware inte bara IT-system utan även patientvård, klinisk verksamhet och fakturering. Brottslingar på nätet kan vara motiverade av tillgängliga pengar och känsla av brådska inom sjukvården.

Ransomware växer snabbt bland internetanvändarna men även för IoT-miljön. Det stora problemet är att miljontals dollar går förlorade av vissa organisationer och industrier som har bestämt sig för att betala, såsom Hollywood Presbyterian Medical Center och MedStar Health.

Enligt Symantec 2019 ISTR-rapport, för första gången sedan 2013, observerades en minskning av ransomware-aktiviteten 2018 med en minskning på 20 procent. Före 2017 var konsumenterna de föredragna offren, men 2017 förändrades detta dramatiskt, det flyttade till företagen. Under 2018 accelererade denna väg med 81 procent infektioner, vilket representerade en ökning med 12 procent. Den vanliga distributionsmetoden idag bygger på e-postkampanjer.

Det första rapporterade dödsfallet efter en ransomware-attack var på ett tyskt sjukhus i oktober 2020.

Ett effektivt och framgångsrikt utbildningsprogram för cybermedvetenhet måste sponsras från toppen av organisationen med stödjande policyer och procedurer som effektivt beskriver konsekvenserna av bristande efterlevnad, utbildningsfrekvens och en process för erkännande av utbildning. Utan sponsring från "C-nivå"-cheferna kan utbildningen inte ignoreras. Andra faktorer som är nyckeln till ett framgångsrikt Cyber Awareness Training-program är att fastställa en baslinje som identifierar organisationens kunskapsnivå för att fastställa var användarna befinner sig i sin kunskap före och efter utbildningen. Oavsett vilket tillvägagångssätt en organisation bestämmer sig för att implementera, är det viktigt att organisationen har policyer och rutiner på plats som ger utbildning som är uppdaterad, utförs ofta och har stöd från hela organisationen uppifrån och ner.

Investeringar i teknik för att upptäcka och stoppa dessa hot måste upprätthållas, men tillsammans med det måste vi komma ihåg och fokusera på vår svagaste länk, som är användaren.

Kriminella arresteringar och fällande domar

Zain Qaiser

En brittisk student, Zain Qaiser, från Barking, London fängslades i mer än sex år vid Kingston upon Thames Crown Court för sina ransomware-attacker 2019. Han sägs ha varit "den mest produktiva cyberbrottslingen som dömts i Storbritannien" . Han blev aktiv när han bara var 17. Han kontaktade den ryska kontrollanten för en av de mest kraftfulla attackerna, som tros vara Lurk malware-gänget, och ordnade en uppdelning av hans vinster. Han kontaktade också nätkriminella från Kina och USA för att flytta pengarna. I ungefär ett och ett halvt år poserade han som en legitim leverantör av onlinekampanjer för bokreklam på några av världens mest besökta juridiska pornografiwebbplatser. Var och en av annonserna som marknadsfördes på webbplatserna innehöll Reveton Ransomware -stammen av det skadliga Angler Exploit Kit (AEK) som tog kontrollen över maskinen. Utredarna upptäckte cirka 700 000 pund i intäkter, även om hans nätverk kan ha tjänat mer än 4 miljoner pund. Han kan ha gömt en del pengar med hjälp av kryptovalutor. Ransomwaren skulle instruera offren att köpa GreenDot MoneyPak- kuponger och ange koden i Reveton-panelen som visas på skärmen. Dessa pengar kom in på ett MoneyPak-konto som hanterades av Qaiser, som sedan skulle sätta in kupongbetalningarna på en amerikansk medkonspiratörs betalkort – Raymond Odigie Uadiale, som då var student vid Florida International University under 2012 och 2013 och senare arbetade för Microsoft . Uadiale skulle konvertera pengarna till Liberty Reserves digitala valuta och sätta in dem på Qaisers Liberty Reserve-konto.

Ett genombrott i detta fall inträffade i maj 2013 när myndigheter från flera länder beslagtog Liberty Reserve-servrarna och fick tillgång till alla dess transaktioner och kontohistorik. Qaiser körde krypterade virtuella maskiner på sin Macbook Pro med både Mac och Windows operativsystem. Han kunde inte ställas inför rätta tidigare eftersom han var sektionerad enligt UK Mental Health Act på Goodmayes Hospital (där han visade sig använda sjukhusets Wi-Fi för att komma åt sina reklamsajter.) Hans advokat hävdade att Qaiser hade lidit av psykisk sjukdom. Rysk polis arresterade 50 medlemmar av gänget med skadlig programvara Lurk i juni 2016. Uadiale, en naturaliserad amerikansk medborgare av nigeriansk härkomst, fängslades i 18 månader.

Yttrandefrihetens utmaningar och straffrättsliga straff

Publicering av proof-of-concept attackkod är vanligt bland akademiska forskare och sårbarhetsforskare. Den lär ut hur hotet är, förmedlar problemens allvar och gör det möjligt att utarbeta och införa motåtgärder. Lagstiftare med stöd av brottsbekämpande organ överväger dock att göra skapandet av ransomware olagligt. I delstaten Maryland gjorde det ursprungliga utkastet till HB 340 det till ett brott att skapa ransomware, straffbart med upp till 10 års fängelse. Denna bestämmelse togs dock bort från den slutliga versionen av lagförslaget. En minderårig i Japan greps för att ha skapat och distribuerat ransomware-kod. Young och Yung har haft ANSI C-källkoden till en ransomware kryptotrojan online, på cryptovirology.com, sedan 2005 som en del av en kryptovirologibok som håller på att skrivas. Källkoden till kryptotrojanen finns fortfarande på Internet och är associerad med ett utkast till kapitel 2.

Se även

Colonial Pipeline ransomware attack – Ransomware attack på amerikanskt oljeledningssystem
BlueKeep (säkerhetssårbarhet) – Windows säkerhetshål
Hitler-Ransomware – Form av ransomware
Jigsaw (ransomware) – Kryptering av ransomware skapad 2016
Endast tillägg – Egenskapen för datordatalagring
Riskprogram
Ryuk (ransomware) – Typ av ransomware
Tillförlitlighetsteknik – Deldisciplin av systemteknik som betonar pålitlighet
Air gap (nätverk) – Nätverkssäkerhetsåtgärd
Dataredundans – data utöver de faktiska uppgifterna och tillåter korrigering av fel i lagrad eller överförd data
Dubbelväxling – använda en flerpolig strömbrytare för att stänga eller öppna två sidor av en krets
Feltolerans – Systemens motståndskraft mot komponentfel eller fel
Tillförlitlighet (datornätverk) – Möjlighet för protokollbekräftelse
Enkelriktat nätverk – Nätverksenhet som tillåter dataflöde i endast en riktning
feltoleranta datorsystem – Systemens motståndskraft mot komponentfel eller fel
ZFS – Filsystem
Bysantinskt fel – Fel i ett datorsystem som uppvisar olika symtom för olika observatörer
Kvantbysantinsk överenskommelse
Två generalers problem – tankeexperiment
The Ransomware Hunting Team – Facklitteratur 2022 av Renee Dudley och Daniel Golden

Vidare läsning

Young, A.; Yung, M. (2004). Skadlig kryptografi: exponera kryptovirologi . Wiley. ISBN 978-0-7645-4975-5 .
Russinovich , Mark (7 januari 2013). "Jakta och döda Ransomware" . Microsoft TechNet . Microsoft.
Simonite, Tom (4 februari 2015). "Att hålla data som gisslan: Det perfekta internetbrottet? Ransomware (Scareware)" . MIT Technology Review .
Brad, Duncan (2 mars 2015). "Exploit Kits and CryptoWall 3.0" . Rackspace-bloggen! & Newsroom. Arkiverad från originalet den 24 september 2015 . Hämtad 15 april 2015 .
"Ransomware on the Rise: FBI and Partners Working to Combat This Cyber Threat" . NYHETER . Federal Bureau of Investigation. 20 januari 2015.
Yang, T.; Yang, Y.; Qian, K.; Lo, DCT; Qian, L. & Tao, L. (2015). 2015 IEEE 17:e internationella konferens om högpresterande datoranvändning och kommunikation, 2015 IEEE 7:e internationella symposium om cyberrymden säkerhet och säkerhet, och 2015 IEEE 12:e internationella konferens om inbyggd programvara och system . IEEE Internet of Things Journal, KONFERENS, AUGUSTI 2015. s. 1338–1343. doi : 10.1109/HPCC-CSS-ICESS.2015.39 . ISBN 978-1-4799-8937-9 . S2CID 5374328 .
Richet, Jean-Loup (juli 2015). "Utpressning på Internet: Rise of Crypto-Ransomware" ( PDF) . Harvard Universitet.
Liska, Allan (20 oktober 2021). "Ransomware - Understand. Prevent. Recover" . Inspelad Future . ActualTech Media.

externa länkar

Media relaterade till Ransomware på Wikimedia Commons
Incidenter med Ransomware på uppgång – Federal Bureau of Investigation

Distribution av programvara
Licenser	Ölware Flytande licensiering Gratis och öppen källkod Fri Öppen källa Fritt omfördelbar Proprietär Allmängods Källa-tillgänglig
Kompensationsmodeller	Reklamprogram Kommersiell programvara Detaljhandelsprogramvara Crippleware Crowdfunding Freemium Gratisprogram Betala vad du vill Careware Donationsartiklar Modell med öppen kärna Vykort Shareware Nagware Provprogram
Levereringsmetoder	Digital distribution Fildelning På plats Förinstallerad Produktpaketering Detaljhandelsprogramvara Sneakernet Mjukvara som en service
Bedrägligt och/eller olagligt	Oönskad mjukvarubuntning Skadlig programvara Spionprogram trojansk häst Mask Ransomware Skrämselföremål Spade Vaporware lista
Programvaruversionens livscykel	Abandonware Slutet av liv Långsiktigt stöd Programvaruunderhåll Programvaruunderhållare Programutgivare
Kopieringsskydd	Digital rättighetshantering Mjukvaruskyddsdongel Maskinvarubegränsningar Licensansvarig Produktaktivering Produktnyckel Upphovsrätt för programvara Programvarupatent Torrent förgiftning

för skadlig programvara
Infektiös skadlig programvara	Jämförelse av datavirus Datorvirus Datormask Lista över datormaskar Tidslinje för datavirus och maskar
Döljande	Bakdörr Clickjacking Man-i-webbläsaren Mannen i mitten Rootkit trojansk häst Zombie dator
Skadlig programvara för vinst	Reklamprogram Botnet Crimeware Fleeceware Form gripande Bedräglig uppringare Malbot Tangentslagsloggning Integritetskränkande programvara Ransomware Rogue säkerhetsprogramvara Skrämselföremål Spionprogram Webbhot
Efter operativsystem	Android skadlig programvara Klassiska Mac OS-virus iOS skadlig programvara Linux skadlig kod MacOS skadlig kod Makrovirus Mobil skadlig programvara Palm OS-virus HyperCard-virus
Skydd	Anti-keylogger Antivirus mjukvara Webbläsarsäkerhet Programvara för att förhindra dataförlust Defensiv datoranvändning Brandvägg Internet säkerhet Intrångsdetekteringssystem Mobil säkerhet Nätverkssäkerhet
Motåtgärder	Dator- och nätverksövervakning Honungsburk Drift: Bot Roast