Centric connect.engage.succeed

Be aware, ransomware!

Geschreven door Marco Sombroek - 15 mei 2017

Marco Sombroek
De afgelopen periode hebben diverse ransomware aanvallen plaatsgevonden. Dinsdag 27 juni verspreidde ransomwarevariant “NotPetya” zich vanuit de Oekraïne over de wereld. Op zijn minst 2000 particulieren en bedrijven zijn getroffen waaronder de nationale bank van Oekraine, container overslagbedrijf Maersk in de Rotterdamse haven en TNT Express. Eerder werd op 12 mei een groot aantal Britse ziekenhuizen en diverse internationale bedrijven en instellingen getroffen door ransomwarevariant “WannaCry”. 27 maart werd ransomware geconstateerd in de Tweede kamer.

Ransomware is malicious software (malware) die via mail, websites of gedownloade applicaties binnen wordt gehaald en vervolgens een computer of de daarop aanwezige data in gijzeling neemt totdat losgeld in virtuele valuta wordt betaald. In het geval van de Tweede Kamer, zou er een e-mail met bijlage in omloop zijn geweest. Zodra de bijlage werd geopend, wordt de ransomware geactiveerd en de cyberattack in gang gezet.

De ramsomwareuitbraak van 12 mei is te herleiden naar de hack die vorig jaar bij de NSA heeft plaatsgevonden. De NSA had op basis van een kwetsbaarheid/vulnerability in Windows de exploit “EternalBlue” ontwikkeld. Deze software die gebruik maakt van een bug of zwakke plek in software, is tijdens de NSA hack buit gemaakt. Nadat niemand deze code wilde kopen, heeft de hackersgroep die de code had buitgemaakt deze in april online gezet. Dit had tot gevolg dat criminelen met de code aan de haal zijn gegaan en deze hebben aangepast naar de ransomware Wannacry (WannaCrypt, WanaCrypt0r, WCry). Ook “NotPetya” maakt gebruik van de exploit “EternalBlue” maar lijkt er niet gericht om geld te verdienen maar om schade aan te brengen.

Meer gevallen van ransomware

Doordat het losgeld doorgaans betaald moet worden in Bitcoin, is het lastig te achterhalen wie er achter de ransomware zit. Dat maakt ransomware een lucratieve handel voor cybercriminelen en zorgt ervoor dat het aantal ransomwaregevallen verder toeneemt. Het is geen garantie dat bestanden weer toegankelijk zijn nadat het losgeld is betaald. Aan de kant ondermijnt men het eigen verdienmodel als na betaling bestanden niet worden vrijgegeven.

Volgens het document "How to protect your networks from Ransomware", uitgegeven door overkoepelende Amerikaanse overheidsdiensten, is het aantal aanvallen met 300% gestegen van 1.000 per dag in 2015, naar 4.000 per dag in 2016. Volgens de FBI is in de V.S. 24 miljoen dollar aan losgeld betaald in heel 2015, terwijl dat in het eerste kwartaal van 2016 al 209 miljoen betrof. Het Centraal Planbureau (CPB) schat voor Nederland in dat criminelen in 2016 tussen de 70.000 euro en 1.500.000 euro aan losgeld hebben geïnd (Bron: NCSC).

Bedrijven, overheden en particulieren zullen zich moeten wapenen tegen ransomware. Er zijn diverse mogelijkheden om ransomware te beperken. Deze moeten samengevoegd worden in een Business Continuity Plan. Gezien de toename van ransomware en de verschillende varianten ervan, zal er geen eenduidige manier zijn om een organisatie hiertegen te beschermen. In het Business Continuity Plan is beschreven welke middelen ingezet worden om ransomware te voorkomen. Ook is in het plan een stappenplan opgenomen dat doorlopen moet worden bij een daadwerkelijke uitbraak. Op regelmatige basis zal dit Business Continuity Plan getest en aangepast moeten worden.

Virusscanner

Virusscanners zijn in staat om malware te detecteren en te verwijderen. De virus definities moeten dan wel up-to-date zijn. Doordat ransomware zo lucratief is voor cybercriminelen, verschijnen er dagelijks tientallen nieuwe varianten. Wanneer deze zogenaamde zero-day malware niet bekend is bij de antivirussoftware, kan het alsnog zijn dat een systeem wordt gegijzeld. Het is dus zaak dat de software automatisch wordt bijgewerkt met de laatste virusdefinities. Regelmatig moeten er geautomatiseerde scans uitgevoerd worden. De software zou dan bij voorkeur het afwijkende gedrag van applicaties moeten herkennen en deze blokkeren.

Bewustwording

Doordat virusscanners niet in alle gevallen in staat zijn om malware te herkennen, is het van belang dat er bewustwording bij de gebruiker wordt gecreëerd. Klik niet zomaar ergens op! Vooral phishing mails dient de gebruiker te leren herkennen en deze met de nodige argwaan te behandelen. Klopt het e-mailadres of de URL? Zou een officiële instantie vragen om vertrouwelijke gegevens in te voeren die bij hen al bekend zou moeten zijn?

Voorbeeld van Phishing mail

Vermijd open WIFI-netwerken en vervang regelmatig het wachtwoord. Het bezoeken van websites waar ’gratis’ illegale content te verkrijgen is, zoals livestreams van abonneetelevisie of downloadsites met software, kan er toe leiden dat malware wordt binnengehaald. Bewustwording bijbrengen en het opleiden van gebruikers is daarom van groot belang.

Updates

Zorg ervoor dat firmware, besturingssystemen en de daarop draaiende programma's zijn bijgewerkt tot de laatste versie. Bekende veiligheidslekken waar malware gebruik van kan maken, worden hiermee gedicht. Microsoft heeft n.a.v. de hack bij de NSA een patch uitgebracht. Verouderde versies als Windows XP en Windows 2003 worden sinds een aantal jaar niet meer ondersteund. Dat houdt in dat voor deze besturingssystemen geen (beveiligings)updates meer verschijnen. In dit uitzonderlijke geval is de patch ook voor deze oudere Windows versies uitgebracht. Het is juist door dit soort aanvallen en de vervallen ondersteuning van groot belang dat bedrijven en instellingen hun verouderde systemen zo spoedig mogelijk moeten upgraden naar de laatste versie van de beschikbare software/besturingssysteem dan wel dergelijke systemen moet isoleren van het netwerk.

Gebruikersrechten

Voorkom dat gebruikers werken met een Administrator-account waardoor zij overal rechten hebben. De ransomware maakt ook gebruik van deze rechten en kan hierdoor heel gemakkelijk veel bestanden bereiken en versleutelen. Ken alleen Full Control / Modify rechten toe als het niet anders kan. Probeer in alle andere gevallen de rechten te beperken. Laat gebruikers altijd aanmelden met een standaard gebruikersaccount. Wanneer verhoogde rechten nodig zijn, kan de gebruiker via RunAs een toepassing starten met een account dat meer rechten heeft. Op (file)servers is het essentieel om Role Based Access Control toe te passen. Hierdoor hebben gebruikers alleen toegang tot de mappen en bestanden waar zij volgens hun functie bij moeten kunnen. Beperk de rechten tot leesrechten. Geef een gebruiker alleen Modify rechten indien deze bestanden mag aanpassen of wegschrijven.

Applicatiebeheer

Maak gebruik van third party applicaties zoals Appguard van RES One Workspace om applicaties te autoriseren. De in Appguard toegestane programma’s kunnen op het systeem worden gestart, terwijl onbekende programma’s worden geblokkeerd. Op deze manier kan binnengehaalde ransomware niet worden gestart, omdat het niet geautoriseerd is. Het instellen van Appguard vergt wellicht wat extra tijd, maar het voorkomt een hoop ellende en verdient zich op die manier vanzelf terug.

Voorbeeld van geblokkeerde bestanden

Backup

Classificeer data en backup op zijn minst de belangrijkste data naar tape of een andere locatie. De door ransomware versleutelde bestanden kunnen na het verwijderen van de ransomware worden vervangen door de bestanden in de backup. Naast het maken van regelmatige backups kunnen bij een geactiveerde Volume Shadow Copy Service schaduwkopieën van bestanden worden teruggezet. De gemaakte backups moeten regelmatig worden gecontroleerd en teruggeplaatst om daarmee de integriteit van de backup vast te stellen. Scherm gebackupte data af, zodat deze niet alsnog ten prooi kan vallen aan ransomware.

In het geval van de cyberattack van 12 mei was er een ingebouwde mogelijkheid om de verspreiding van het virus te stoppen. Per toeval ontdekte een Britse onderzoeker dat het registreren van een domeinnaam voldoende was om de verspreiding te stoppen. De ICT-afdeling van de Tweede Kamer heeft de verspreiding van de Ramsomware weten te stoppen door de betreffende e-mail te blokkeren. Vervolgens heeft men de backup teruggezet. Cybercriminelen zijn zich bewust van bovenstaande zaken en proberen die in nieuwere versies van ransomware te omzeilen. Zo zijn er al versies aangetroffen die bestanden wel infecteren, maar niet direct ontoegankelijk maken. Hierdoor komen de geïnfecteerde bestanden ook in de backup terecht. Dit maakt het lastig om te achterhalen welke versie van het bestand schoon is. Het is voor de komende tijd zeer belangrijk dat backup- en antivirusontwikkelaars daarop anticiperen en detectie mogelijkheden inbouwen in hun software.

Bronvermelding:

Craft, het groeiprogramma voor IT'ersOver Marco Sombroek

Marco Sombroek is Craft Expert van Team Cloud binnen Craft, hét groeiprogramma voor IT'ers (powered by Centric). Wil je zijn blogs volgen enn op de hoogte blijven van kennisevenementen? Schrijf je dan in voor de Craft-update.

Eerst meer weten over Craft, hét groeiprogramma voor IT'ers? Ontdek het op de website.

Tags:Cloud