Lessen die de meest populaire ransomware-aanvallen van 2017 ons hebben geleerd

Het lijkt erop dat malware-schrijvers zich in 2017 met ransomware richtten op industrieën waar het beveiligen van kritieke data een essentieel onderdeel is van het dagelijks werk. Een efficiënte strategie, want deze bedrijven zijn snel geneigd losgeld te betalen om besmettingen met ransomware onder de pet te houden en hun reputatie niet te schaden. Aangezien het niet melden van een ransomware-aanval bij een organisatie onder de GDPR een strafbaar feit wordt, is het verstandig om eens goed te kijken naar hoe ransomware nu precies werkt en wat er kan worden gedaan om het risico op ransomware te minimaliseren.

Modus operandi

De meeste gevestigde ransomware maakt gebruik van twee zeer effectieve aanvalsvectoren: spam-mails en exploitkits. De meeste ransomware-families gebruiken AES- en RSA-encryptiealgoritmen voor de versleuteling van de bestanden op de aangevallen systemen en netwerken. Vaak kunnen de bestanden niet gratis worden gedecodeerd of hersteld, tenzij de cryptografische componenten onjuist zijn geïmplementeerd of een decoderingssleutel is gevonden. Betalingstransacties worden meestal uitgevoerd met cryptovaluta en TOR (The Onion Router), waardoor het moeilijk is om malware-schrijvers op te sporen. Verscheidene varianten van ransomware, zoals CryptXXX, beschikken over extra functionaliteiten om (betaal)gegevens te stelen. Dit is om ervoor te zorgen dat malware-schrijvers altijd iets in handen hebben, zelfs als een slachtoffer weigert te betalen. Deze aanpak is overgenomen door Petya, Bad Rabbit en nieuwe varianten van Spora. Tot zover de traditionele modus operandi van ransomware. Maar er zijn in 2017 ook zaken veranderd.

Eén van de opmerkelijkste veranderingen in de ransomware van vorig jaar is het opnemen van exploits die kwetsbaarheden aanvallen in netwerkprotocollen. De exploit in kwestie stelt de ransomware in staat om wormachtige eigenschappen te vertonen, die de ransomware in staat stelt om zich lateraal te verspreiden zonder enige interactie met de gebruiker. Dit wordt algemeen aangeduid als een “Ransomworm”.

WannaCry

De bekendste en meest succesvolle ransomware-aanval van 2017 was zonder meer WannaCry. De totale schade van WannaCry wordt geschat op ongeveer $4 miljard en er werden meer dan 200.000 computers besmet. WannaCry kon zijn infectie verspreiden via het “Eternal Blue”-lek, een exploit waar de NSA over beschikte en die is uitgelekt. Eternal Blue maakt gebruik van een kwetsbaarheid van Microsoft Windows in het Server Message Block (SMB)-protocol, dat wordt gebruikt voor het delen van netwerkbestanden. Het is belangrijk om op te merken dat deze Windows-gevoeligheid al in maart 2017 (patch MS17-010) is gedicht, twee maanden voor de uitbraak van WannaCry in mei 2017. Dit geeft aan dat de geïnfecteerde machines niet tijdig zijn bijgewerkt of dat het besturingssysteem te oud was om de patch te ontvangen, wat waarschijnlijk het geval is voor Windows XP en oudere Windows OS versies.

Het voordeel van de methode die door onder andere WannaCry is gebruikt, is dat er een goede verdediging tegen bestaat. Patchen is, zoals zo vaak, het magische woord. En er zijn meer verdedigingsstrategieën tegen ransomware:

  • Maak altijd een back-up van belangrijke bestanden. Het is aan te raden om de back-up op te slaan in een ander apparaat, zoals externe opslag, buiten uw lokale netwerk. Een andere optie om een back-up van uw bestanden te maken in de cloud. Houd uw back-ups losgekoppeld van uw netwerk.
  • Houd uw besturingssysteem en software up-to-date. Voor bedrijven is het raadzaam om hiervoor een Patch Management-oplossing in te schakelen. Deze inventariseert welke hard- en software er binnen het netwerk wordt gebruikt en biedt alle relevante patches op gestructureerde wijze aan. De patches zijn extra getest, waardoor het risico op een corrupte patch afneemt.
  • Implementeer een IT policy voor gebruikers om het risico op aanvallen van externe en interne bronnen te beperken.
  • Klik niet op de links en download-bestanden van onbekende websites en verdachte e-mails.
  • Schakel de automatische uitvoering van scripts zoals macro’ s en javascript uit.

Er zijn ook technologieën die ransomware tegenhouden. Bijvoorbeeld:

  • ExploitProtection: deze technologie schermt beveiligingslekken af totdat er een officiële patch is geïnstalleerd. Zo kan de ransomware die zich toegang tot netwerken verschaft door het uitbuiten van exploits niet binnenkomen.
  • AntiRansomware: deze exclusieve G DATA-technologie herkent ransomware proactief op basis van verschillende gedragscriteria. Het maakt dus niet uit of het reeds bekende of geheel nieuwe ransomware betreft.

Dit is een ingezonden bijdrage van Eddy Willems, Security Evangelist bij G DATA. Via deze link vind je meer informatie over de security-oplossingen van het bedrijf.