Steeds gevaarlijker: ransomware

Miljoenen systemen wereldwijd zijn geïnfecteerd geraakt met ransomware; malware die gegevens gijzelt en daarvoor losgeld vraagt. Wie aan die eis niet wil voldoen, kan hulp zoeken bij experts. Heel belangrijk: zet het getroffen systeem NIET uit!

TorrentLocker, een van de vele vormen van ransomware, versleutelt bestanden op netwerken, op harde schijven en andere apparatuur en zelfs op usb-sticks. Het losgeld dat wordt gevraagd voor een sleutel die alle gegijzelde bestanden weer zou moeten ontsleutelen is vaak zo laag – vaak onder de 500 dollar – dat veel gebruikers daar maar voor kiezen. Het is echter helemaal niet zeker dat met die sleutel ook werkelijk alle bestanden hersteld kunnen worden. Toegeven aan criminelen heeft daarbij ook nog eens morele implicaties. En nog belangrijker: er zijn er ook mogelijkheden om je gegevens met behulp van experts terug te krijgen. Marco van ­Loosen, senior forensic IT expert bij Fox-IT, vertelde tijdens het NCSC ONE-congres dat onlangs werd gehouden in Den Haag wat slachtoffers kunnen doen. Hij deed dat aan de hand van een case van een klant die geïnfecteerd was met versie 2 van TorrentLocker.

Allereerst is het van belang dat een getroffen systeem niet wordt uitgezet. Forensisch experts beperken zich niet tot zogeheten harddisk-forensics, maar kunnen ook veel informatie uit het fysieke geheugen ­halen. “Daar vind je data die nergens anders is te vinden. Zo staan de meeste sleutels in memory. Als het encyrptieproces nog draait, heeft de malware de sleutel immers nodig om de bestanden te versleutelen. Hackers proberen deze wel te verbergen, maar in de meeste gevallen zijn ze toch te achterhalen.”

Daarnaast zijn er in het geheugen sporen te vinden van de geïnjecteerde code en executables. “Malware heeft resources nodig zoals procescycli, geheugen en netwerktoegang, ook om sporen van zichzelf te verwijderen. Veel visuele sporen staan in de memory. Trek dus niet de stekker uit het systeem wanneer je met ransomware besmet bent, maar maak een memory-dump. Anders zijn die sporen weg.”

Het team van Fox-IT vond bij de klant die besmet was met versie 2 van TorrentLocker fouten in de malware, waarvan het gebruik kon maken om de bestanden terug te halen. “Een belangrijk deel van de informatie daarvoor hebben we met memory-forensics gevonden. Maar ja, in versie 3 hebben de makers van malware die fouten toch weer verbeterd.”

 

Van Loosen heeft nog meer tips waardoor ransomware makkelijker tegengegaan kan worden:

Zet het besmette apparaat niet uit, maak eerst een memory dump. Maak vaak back-ups en sla die offline op. Test het recovery proces. Voer een beleid voor sofwarerestricties; geef daarin bijvoorbeeld duidelijk aan wat trusted paths en trusted applicaties zijn. Vergroot het beveiligingsbewustzijn bij medewerkers én klanten. Configureer Windows zo dat het altijd known file exentions toont. Nu staat dit standaard uit. Dat kan voorkomen dat kwaadaardige attachments niet herkenbaar worden. Geef gebruikers die geen admins zijn ook niet de rechten van admins. Dwing read only permissions af voor netwerk-shares en beperk write permissions zo veel mogelijk.

Steeds meer, steeds meer geavanceerd

Het aantal ransomware-aanvallen neemt zeer sterk toe. In 2014 verdubbelde het aantal aanvallen tot ruim 8,8 miljoen, meldt Symantec in zijn Internet Security Threat Report 2015. De meeste ransomware komt binnen via kwaadaardige attachments in de mail. Niet klikken op attachments, zou dus een uitstekende verdediging zijn.

Gemiddeld wordt een losgeld van 300 tot 500 dollar gevraagd voor een sleutel om de gegijzelde bestanden terug te krijgen. Veel slachtoffers kiezen ervoor het losgeld te betalen. Een expert in de arm nemen om je bestanden terug te halen, is meestal vele malen duurder. Bovendien ontbreekt het vaak aan goede back-up, wat zelf terughalen van je gegevens weinig zinvol maakt. Maar losgeld betalen garandeert niet dat de gegevens goed te ontsleutelen zijn. De sleutels die de criminelen na ­betaling van het losgeld overhandigen, zijn in veel gevallen gebrekkig.

De makers van ransomware zijn moeilijk op te sporen. Anonimiteit is voor hen een belangrijk aandachtspunt. Ze gebruiken Tor en eisen steeds vaker dat de betalingen in bitcoins worden gedaan. Communicatie verloopt onder meer via het Invisible Internet Project (I2P) – een anoniem overlay netwerk.

Steeds vaker ook is er sprake van zogeheten crypto-malware. Deze vorm van ransomware versleutelt bestanden en bewaart de private keys die nodig zijn voor ontsleuteling op een remote site. Bekende ransonwarefamilies die hieronder vallen zijn Cryptolocker en Cryptodefense/Cryptowall. In 2013 viel nog maar 0,2 procent van alle ransomware onder de noemer crypto-ransomware, terwijl het in 2014 al 4 om procent ging; een 45-vervoudiging binnen een jaar, volgens Symantec.

Het gros van de ransomware richt zich op Windows voor desktops, maar in 2014 is ook de eerste crypto-ransomware op ­Android teruggevonden. Ook systemen die onder Linux en Mac OS draaien vorm een doelwit, net zoals NAS-apparatuur een gewild doelwit is. Synlocker richtte zich bijvoorbeeld op het NAS van Synology, waarbij het de DiskStation-managersoftware misbruikte om toegang te krijgen tot de apparaten.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag