Under 2016 och 2017 fick utpressningstrojanerna en renässans. Dessa illvilliga skadeprogram figurerade flitigt i nyhetsmedierna när kriminella lyckades utpressningskryptera filer på företag runt om i Sverige. Precis som tidigare stod offren handfallna. De fick antingen återställa de krypterade filerna från en säkerhetskopia eller helt enkelt betala lösensumman. Förr i tiden brukade lösensumman betalas med förladdade kreditkort, men under 2016 och 2017 skiftade betalningssättet över till kryptovalutor.
Framgången för kryptovalutor har satt ett stadigt avtryck på hela säkerhetsbranschen. Utpressningstrojaner är nämligen bara ett av många sätt som ljusskygga personer drar nytta av kryptovalutor för att tjäna pengar på sina offer.
Huruvida det är lönsamt att bryta en kryptovaluta som Bitcoin (framställa nya Bitcoin mynt) beror på förhållandet mellan Bitcoins värde och priset på el.
Elkostnaden behöver åtminstone vägas in så länge den som bryter kryptovalutan betalar för energiförbrukningen. Det slipper skadeprogramsutvecklare göra om de drar nytta av andras datorer och belastar offrens elräkningar. En metod de använder för att göra detta är drive-by mining.
Drive-by mining
Drive-by mining påminner om drive-by downloads (infektioner som sker automatiskt när en icke-uppdaterad webbläsare besöker en infekterad webbsida). Med drive-by mining infekteras dock inte besökarens dator. I stället laddas ett Javascript som används för att bryta kryptovalutor direkt i besökarens webbläsare. Webbläsaren är förhållandevis ineffektiv på att bryta kryptovalutor, men med många webbläsare och obefintlig kostnad för energiförbrukningen blir det lönsamt.
Webbplatsägare kan, helt legitimt, använda kryptovalutabrytning som ett alternativ till reklam. Genom att lägga till ett skript från webbtjänsten Coinhive kan webbplatsägare använda sina besökares datorresurser för att bryta kryptovalutan Monero (en kryptovaluta som till skillnad från Bitcoin anonymiserar transaktioner). Det finns säkerligen webbplatser som gör detta med god vilja och informerar sina besökare om det. Det verkar dock inte vara så majoriteten av Coinhive-installationerna används. Då borde varje Coinhive-installation vara kopplad till respektive webbplatsägares konto. Virusjägaren Willem de Groot undersökte 2496 Coinhive-utrustade webbplatser (november 2017). Av dessa var 85 procent kopplade till samma två Coinhive-konton. Mycket talar således för att dessa webbplatser var infekterade och genererade pengar åt en tredje part.
Som enskild webbplatsbesökare utgör drive-by mining-attackerna flera problem. De höjer energiförbrukningen, gör datorn långsammare och försämrar dess batteritid (om du använder en bärbar). Problemet är till råga på allt omfattande. Research-gruppen på säkerhetsföretaget Check Point klassar drive-by mining-programmen Coinhive och Cryptoloot som det mest spridda respektive tredje mest spridda skadeprogrammet i världen (december 2017).
Nya spionprogram
I takt med att "vanliga personer" har fått upp intresset för handel med kryptovalutor har också en ny typ av spionprogram börjat infiltrera datorer. Spionprogram har länge använts för att snappa upp lösenord, men nu kan de tjäna pengar åt sina upphovsmän på ett snabbare sätt.
Vid betalning med kryptovalutor är det omständligt att skriva in mottagarens adress. Det är mycket enklare att kopiera den. Spionprogrammet Evrial övervakar vad som läggs till i Windows urklippsminne och letar efter bland annat Bitcoin- och Monero-adresser. När en sådan upptäcks byter Evrial helt enkelt ut den kopierade adressen mot en av attackerarens adresser. Om offret inte märker att adressen har bytts ut går pengarna direkt till attackeraren.
Nya utpressningstrojaner
Vi lär inte heller bli av med utpressningstrojanerna som krypterar våra filer. Det som möjligtvis ändras är deras beteende, för om värdet på kryptovalutor håller i sig lär attackerarna komplettera sin affärsmodell. I stället för att direkt kryptera offrens filer kommer de att först låta offrens datorer bryta kryptovalutor och generera pengar. Då kan de samtidigt passa på att leta efter kopierade Bitcoin- och Monero-adresser att byta ut. Dagen då det plötsligt är mindre lönsamt att bryta kryptovalutor växlar de tillbaka till den gamla utpressningsmodellen. På så vis kan de tjäna pengar flera gånger om på samma infekterade dator. Jag tror dessutom att vi under 2018 får se ännu fler innovativa och hänsynslösa sätt som kryptovalutor kan användas för att tjäna pengar på oss.
Karl Emil Nikka
Författare/föreläsare vid Nikka Systems
