Ransomware-dreigingen onder de loep

Voorheen hielden veel cybercriminelen zich verborgen. Zij probeerden detectie te ontlopen door slechts kleine inbreuken op bedrijfsnetwerken uit te voeren om zo hun exploitaties te starten. Tegenwoordig tappen sommige brutalere cybercriminelen legitieme online resources af. Zij tappen servercapaciteit af, stelen gegevens en eisen vervolgens losgeld van online slachtoffers, waarvan zij informatie gijzelen. Deze campagnes zijn een ontnuchterende escalatie in de oorlog tussen verdedigers en aanvallers. Als kwaadwillenden meer online locaties vinden waar vandaan zij kunnen werken, kan hun invloed exponentieel groeien. In deze blog bespreek ik recente ontwikkelingen met betrekking tot ransomware en de schijnveiligheid die klanten ervaren.

Uitbuiten en versleutelen
De Angler exploit kit is één van de grootste en meest effectieve exploit kits op de markt. Deze is in verband gebracht met diverse grootschalige campagnes met malvertising (kwaadaardige advertenties) en ransomware. De exploit kit is eveneens een van de belangrijkste factoren in de algehele explosieve groei in ransomware-activiteiten. Criminelen gebruiken ransomware om bestanden van gebruikers te versleutelen en leveren de sleutels voor decryptie pas nadat gebruikers een ‘ransom’ (losgeld) hebben betaald. Dit ligt gewoonlijk tussen de 300 en 500 euro. Recent sprak ik nog een fysiotherapeute die dit was overkomen. Nadat ze 400 euro had overgemaakt in Bitcoins, kreeg ze de sleutel om haar eigen bestanden weer te openen. Hierbij had ze zichzelf de vraag gesteld: ga ik dit nu doen of probeer ik alles te herstellen? Dit laatste zou meer tijd en uiteindelijk dus meer geld hebben gekost.

Sluipende malware
Russische cyberdreiging-groepen die regelmatig gecontroleerd worden, ontwerpen steeds innovatievere manieren om hun sporen uit te wissen. In 2015 werd de sluipende malware HAMMERTOSS gedetecteerd vanuit een ‘Advanced Persistent Thread’-groep, die vermoedelijk door de Russische regering gesponsord wordt. De ontwikkelaars achter deze malware hebben een bijzonder effectief instrument bedacht. Deze groep probeert de detectie van de malware te ondermijnen door het toevoegen van lagen van verduistering en het nabootsen van het gedrag van de legitieme gebruikers. Dit doen zij met behulp van een verscheidenheid aan technieken. Van het creëren van een algoritme dat dagelijks twitterberichten genereert, tot aan het inbedden van foto’s met commando’s (Steganography). HAMMERTOSS maakt gebruik van Twitter, GitHub en opslag in de cloud om commando’s en gegevens door te sturen van gecompromitteerde netwerken.

sluipende malware 2ransomware via servers

Ransomware via servers
De laatste tijd horen we in het nieuws dat ziekenhuizen en scholen op globale schaal worden aangevallen door ransomware. Ziekenhuizen van de Verenigde Staten tot aan Europa hebben aanvallen bekend gemaakt. Op dit moment is er zelfs malware specifiek geschreven om de healthcare aan te vallen. Deze malware heet SamSam. Er wordt nu al gekscherend gezegd: de dokter kan uw dossier inkijken en u behandelen, maar moet nog even het losgeld door middel van Bitcoins overmaken. In tegenstelling tot de meeste ransomware, zoals phishing-campagnes en exploit kits, wordt SamSam niet gelanceerd via de gebruikersgerichte aanvalsvectoren. Deze aanval lijkt te worden verspreid via servers. Via servers worden over het netwerk meerdere machines aangevallen. De criminelen eisen dan losgeld om die netwerken weer beschikbaar te maken voor de legitieme gebruikers in het ziekenhuis.

De meeste bedrijven en instellingen die met bovenstaande ransomware-dreigingen te maken hadden, waren natuurlijk voorzien van de voor de hand liggende oplossingen, zoals firewalls en virusdetectie. Maar met deze gerichte aanvallen is dat niet voldoende. Daarom pleit ik voor het gebruik van malware-protectie die we in het netwerk, op de servers en op werkplekken moeten installeren. 100% veiligheid is niet te garanderen, of we moeten weer terug naar een niet-digitale wereld, maar we kunnen het wel zo goed mogelijk beveiligen.