Centric connect.engage.succeed

Be aware, ransomware!

Geschreven door Marco Sombroek - 15 mei 2017

Marco Sombroek
Vrijdag 12 mei rond twee uur brak in een groot aantal Britse ziekenhuizen een ransomwarevirus uit. Diverse buitenlandse banken en het Russische ministerie van Binnenlandse Zaken werden hierdoor getroffen. Het Nationaal Cyber Security Centrum (NCSC) heeft een waarschuwing gestuurd naar de vitale sectoren in Nederland.

Maandag 27 maart was de Tweede Kamer getroffen door ransomware. Ransomware is malware die via mail, websites of gedownloade applicaties binnen wordt gehaald en vervolgens een computer of de daarop aanwezige data in gijzeling neemt, totdat het losgeld in virtuele valuta wordt betaald. Er is echter geen garantie dat de bestanden weer toegankelijk zijn nadat er is betaald. In het geval van de Tweede Kamer, zou er een e-mail met bijlage in omloop zijn geweest. Zodra de bijlage wordt geopend, wordt de ransomware geactiveerd.

De uitbraak van 12 mei is te herleiden naar de hack die vorig jaar bij de NSA heeft plaatsgevonden. Toen is het virus WannaCry buit gemaakt. Nadat niemand deze ransomware wilde kopen, heeft de hackersgroep de code hiervan in april online gezet met deze aanval tot gevolg.

Meer gevallen van ransomware

Doordat het losgeld doorgaans betaald moet worden in Bitcoin, is het lastig te achterhalen wie er achter de ransomware zit. Dat maakt ransomware een lucratieve handel voor cybercriminelen en zorgt ervoor dat het aantal ransomwaregevallen verder toeneemt. Volgens het document How to protect your networks from Ransomware, uitgegeven door overkoepelende Amerikaanse overheidsdiensten, is het aantal aanvallen met 300% gestegen van 1.000 per dag in 2015, naar 4.000 per dag in 2016. Volgens de FBI is in de V.S. 24 miljoen dollar aan losgeld betaald in heel 2015, terwijl dat in het eerste kwartaal van 2016 al 209 miljoen betrof. Het Centraal Planbureau (CPB) schat voor Nederland in dat criminelen in 2016 tussen de 70.000 euro en 1.500.000 euro aan losgeld hebben geïnd (Bron: NCSC).

Bedrijven, overheden en particulieren zullen zich moeten wapenen tegen ransomware. Er zijn diverse mogelijkheden om ransomware te beperken. Deze moeten samengevoegd worden in een Business Continuity Plan. Gezien de toename van ransomware, zal er geen eenduidige manier zijn om een organisatie hiertegen te beschermen. In het Business Continuity Plan is beschreven welke middelen ingezet worden om ransomware te voorkomen. Ook is in het plan een stappenplan opgenomen dat doorlopen moet worden bij een daadwerkelijke uitbraak. Op regelmatige basis zal dit Business Continuity Plan getest en aangepast moeten worden.

Virusscanner

Virusscanners zijn in staat om malware te detecteren en te verwijderen. De virusdefinities moeten dan wel up-to-date zijn. Doordat ransomware zo lucratief is voor cybercriminelen, verschijnen er dagelijks tientallen nieuwe varianten. Wanneer deze zogenaamde zero-day malware niet bekend is bij de antivirussoftware, kan het alsnog zijn dat een systeem wordt gegijzeld. Het is dus zaak dat de software automatisch wordt bijgewerkt met de laatste virusdefinities. Regelmatig moeten er geautomatiseerde scans uitgevoerd worden. De software zou dan bij voorkeur het afwijkende gedrag van applicaties moeten herkennen en deze blokkeren.

Bewustwording

Doordat virusscanners niet in staat zijn om alle malware te herkennen, is het van belang dat er bewustwording bij de gebruiker wordt gecreëerd. Klik niet zomaar ergens op! Vooral phishing mails dient de gebruiker te leren herkennen en deze met de nodige argwaan te behandelen. Klopt het e-mailadres/URL en zou een officiële instantie vragen om vertrouwelijke gegevens in te voeren? Vermijd open WIFI-netwerken en vervang regelmatig het wachtwoord. Het bezoeken van websites waar ’gratis’ illegale content te verkrijgen is, zoals livestreams van abonneetelevisie of downloadsites met software, kan er toe leiden dat ransomware wordt binnengehaald. Het opleiden van gebruikers is daarom van groot belang.

Updates

Zorg ervoor dat firmware, het besturingssysteem en de daarop draaiende programma's zijn geüpdatet tot de laatste versie. Bekende veiligheidslekken waar malware gebruik van kan maken, worden hiermee gedicht. Microsoft heeft naar aanleiding van de hack bij de NSA een patch uitgebracht. Verouderde versies als Windows XP en Windows 2003 worden niet meer ondersteund. In dit uitzonderlijke geval is de patch ook voor deze oudere Windows-versies uitgebracht. Het is juist door dit soort aanvallen en de vervallen ondersteuning van groot belang dat bedrijven en instellingen hun verouderde systemen zo spoedig mogelijk upgraden naar de laatste versie van de beschikbare software/besturingssysteem dan wel dergelijke systemen isoleert van het netwerk.

Gebruikersrechten

Voorkom dat gebruikers werken met een Administrator-account waardoor zij overal rechten hebben. De ransomware maakt ook gebruik van deze rechten en kan hierdoor heel gemakkelijk veel bestanden bereiken en versleutelen. Ken dan ook alleen full control-/modify-rechten toe als het niet anders kan. Probeer in alle andere gevallen de rechten te beperken. Laat gebruikers altijd aanmelden met een standaard gebruikersaccount. Wanneer verhoogde rechten nodig zijn, kan de gebruiker via RunAs een toepassing starten met een account met meer rechten. Op (file)servers is het essentieel om Role Based Access Control toe te passen. Hierdoor hebben gebruikers alleen toegang tot de mappen en bestanden waar zij volgens hun functie bij moeten kunnen. Beperk de rechten tot leesrechten. Geef een gebruiker alleen modify-rechten indien hij bestanden mag aanpassen of wegschrijven.

Applicatiebeheer

Maak gebruik van third party applicaties, zoals Appguard van RES One Workspace om applicaties te autoriseren. De in Appguard toegestane programma’s kunnen op het systeem worden gestart, terwijl onbekende programma’s worden geblokkeerd (zie onderstaande afbeelding). Op deze manier kan binnengehaalde ransomware niet worden gestart, omdat het niet geautoriseerd is. Het instellen van Appguard vergt wellicht wat extra tijd, maar het voorkomt een hoop ellende en verdient zich op die manier vanzelf terug.

Voorbeelden van geblokkeerde bestanden

Backup

Classificeer de data en backup op zijn minst de belangrijkste data naar tape of een andere locatie. De door ransomware versleutelde bestanden kunnen na het verwijderen van de ransomware worden vervangen door de bestanden in de backup. Naast het maken van regelmatige backups kunnen met de Volume Shadow Copy Service schaduwkopieën van bestanden beschikbaar worden gesteld. De gemaakte backups moeten regelmatig worden gecontroleerd en teruggeplaatst om daarmee de integriteit van de backup vast te stellen. Scherm de data uit de backup af, zodat deze ook niet ten prooi kan vallen aan ransomware.

In het geval van de WannaCry ransomware van 12 mei was er een ingebouwde mogelijkheid om de verspreiding van het virus te stoppen. Per toeval ontdekte een Britse onderzoeker dat het registreren van een domeinnaam voldoende was om de verspreiding te stoppen. De ICT-afdeling van de Tweede Kamer heeft de verspreiding van de Ramsomware weten te stoppen door de betreffende e-mail te blokkeren. Vervolgens heeft men de backup teruggezet. Cybercriminelen zijn zich bewust van bovenstaande zaken en proberen die in nieuwere versies van ransomware te omzeilen. Zo zijn er al versies aangetroffen die bestanden wel infecteren, maar niet direct ontoegankelijk maken. Hierdoor komen de geïnfecteerde bestanden ook in de backup terecht. Dit maakt het lastig om te achterhalen welke versie van het bestand schoon is. Het is voor de komende tijd zeer belangrijk dat backup- en antivirusontwikkelaars daarop anticiperen en detectiemogelijkheden inbouwen in hun software.


Marco Sombroek is Craft Expert van Team Cloud binnen Craft, hét groeiprogramma voor IT'ers (powered by Centric). Wil je zijn blog volgen? Schrijf je in voor de Craft-update.


       
Schrijf een reactie
  • Captcha image