Blog

Security

Ransomware-dreigingen onder de loep

14 apr 2016

Voorheen hielden veel cybercriminelen zich verborgen. Zij probeerden detectie te ontlopen door slechts kleine inbreuken op bedrijfsnetwerken uit te voeren om zo hun exploitaties te starten. Tegenwoordig tappen sommige brutalere cybercriminelen legitieme online resources af. Zij tappen servercapaciteit af, stelen gegevens en eisen vervolgens losgeld van online slachtoffers, waarvan zij informatie gijzelen. Deze campagnes zijn een ontnuchterende escalatie in de oorlog tussen verdedigers en aanvallers. Als kwaadwillenden meer online locaties vinden waar vandaan zij kunnen werken, kan hun invloed exponentieel groeien. In deze blog bespreek ik recente ontwikkelingen met betrekking tot ransomware en de schijnveiligheid die klanten ervaren.

Ron Hehemann door Ron Hehemann

Uitbuiten en versleutelen

De Angler exploit kit is één van de grootste en meest effectieve exploit kits op de markt. Deze is in verband gebracht met diverse grootschalige campagnes met malvertising (kwaadaardige advertenties) en ransomware. De exploit kit is eveneens een van de belangrijkste factoren in de algehele explosieve groei in ransomware-activiteiten. Criminelen gebruiken ransomware om bestanden van gebruikers te versleutelen en leveren de sleutels voor decryptie pas nadat gebruikers een ‘ransom’ (losgeld) hebben betaald. Dit ligt gewoonlijk tussen de 300 en 500 euro. Recent sprak ik nog een fysiotherapeute die dit was overkomen. Nadat ze 400 euro had overgemaakt in Bitcoins, kreeg ze de sleutel om haar eigen bestanden weer te openen. Hierbij had ze zichzelf de vraag gesteld: ga ik dit nu doen of probeer ik alles te herstellen? Dit laatste zou meer tijd en uiteindelijk dus meer geld hebben gekost.

Sluipende malware

Russische cyberdreiging-groepen die regelmatig gecontroleerd worden, ontwerpen steeds innovatievere manieren om hun sporen uit te wissen. In 2015 werd de sluipende malware HAMMERTOSS gedetecteerd vanuit een ‘Advanced Persistent Thread’-groep, die vermoedelijk door de Russische regering gesponsord wordt. De ontwikkelaars achter deze malware hebben een bijzonder effectief instrument bedacht. Deze groep probeert de detectie van de malware te ondermijnen door het toevoegen van lagen van verduistering en het nabootsen van het gedrag van de legitieme gebruikers. Dit doen zij met behulp van een verscheidenheid aan technieken. Van het creëren van een algoritme dat dagelijks twitterberichten genereert, tot aan het inbedden van foto’s met commando’s (Steganography). HAMMERTOSS maakt gebruik van Twitter, GitHub en opslag in de cloud om commando’s en gegevens door te sturen van gecompromitteerde netwerken.

sluipende malware 2ransomware via servers

Ransomware via servers

De laatste tijd horen we in het nieuws dat ziekenhuizen en scholen op globale schaal worden aangevallen door ransomware. Ziekenhuizen van de Verenigde Staten tot aan Europa hebben aanvallen bekend gemaakt. Op dit moment is er zelfs malware specifiek geschreven om de healthcare aan te vallen. Deze malware heet SamSam. Er wordt nu al gekscherend gezegd: de dokter kan uw dossier inkijken en u behandelen, maar moet nog even het losgeld door middel van Bitcoins overmaken. In tegenstelling tot de meeste ransomware, zoals phishing-campagnes en exploit kits, wordt SamSam niet gelanceerd via de gebruikersgerichte aanvalsvectoren. Deze aanval lijkt te worden verspreid via servers. Via servers worden over het netwerk meerdere machines aangevallen. De criminelen eisen dan losgeld om die netwerken weer beschikbaar te maken voor de legitieme gebruikers in het ziekenhuis.

Onderzoeksrapport security

De meeste bedrijven en instellingen die met bovenstaande ransomware-dreigingen te maken hadden, waren natuurlijk voorzien van de voor de hand liggende oplossingen, zoals firewalls en virusdetectie. Maar met deze gerichte aanvallen is dat niet voldoende. Daarom pleit ik voor het gebruik van malware-protectie die we in het netwerk, op de servers en op werkplekken moeten installeren. 100% veiligheid is niet te garanderen, of we moeten weer terug naar een niet-digitale wereld, maar we kunnen het wel zo goed mogelijk beveiligen.

Geïnteresseerd?

Ron Hehemann
Neem contact op met onze Security- specialist Ron Hehemann

Ron Hehemann is Security Consultant bij Telindus. Ron heeft meer dan 30 jaar internationaal ervaring op het gebied van besturingssystemen, networking, virtualisatie, informatietechnologie en -beveiliging. Als trainer en consultant op het gebied van CISSP, Ethical Hacking en voorheen Foundstone, heeft beveiliging al sinds het begin van de jaren negentig een grote invloed gehad op zijn manier van denken. Het draait nog veel meer om de mindset dat wat jij triviaal vindt voor de kwaadwillende medemens, een ingangspunt is in jouw organisatie. Vandaag de dag zijn er nog veel gebruikers in kleine en grote organisaties die dat bewustzijn ontberen. Men beseft nog te weinig dat imagoschade heel erg moeilijk te herstellen is en veel tijd kost. De associatie die men heeft met goede en matige merknamen kan je zelf invullen. Na werktijd is Ron actief in de sportschool, op de tennisbaan en is hij duikinstructeur.

geen reacties
Plaats een reactie