Cryptojacking een groter probleem dan ransomware

Enige tijd geleden waren we te gast bij Security BootCamp, georganiseerd door SecureLink in samenwerking met een aantal partners, die uit verschillende hoeken van de markt komen. Netwerkpartijen zoals Juniper Networks en Aruba Networks, wat meer traditionele security-aanbieders zoals Fortinet maar bijvoorbeeld ook Okta (Identity and Access Management) en Cryptshare (e-mailbeveiliging) waren van de partij. Security is een onderwerp dat vrijwel iedere branche binnen de IT bezighoudt, zoveel is duidelijk. Het idee van Security BootCamp is uiteraard dat je een overzicht krijgt van de stand van zaken in de security-wereld, vanuit meerdere invalshoeken. Wij spraken er met Eward Driehuis, Chief Research Officer van het bedrijf, onder andere over de opkomst van cryptojacking/cryptohacking.

Dat cryptovaluta een ding zijn tegenwoordig is een open deur. Sterker nog, een grotere open deur kun je op het moment bijna niet intrappen. Ook binnen de security-wereld ervaart men de gevolgen hiervan. Waar het vorig jaar nog vrijwel uitsluitend over ransomware-aanvallen (WannaCry, Petya, NotPetya) ging, heeft Driehuis het tijdens zijn keynote en ons gesprek vooral over cryptojacking. Dat is inmiddels ook al een grotere dreiging dan ransomware.

De cijfers die Driehuis laat zien om deze stelling te ondersteunen, gebaseerd op eigen onderzoek van SecureLink, geven aan dat de opkomst ook serieus hard gaat. Als je de cijfers van Q4 van 2017 naast die van Q1 van 2018 legt, zijn de percentages gespiegeld: 60 om 40 procent is 40 om 60 procent geworden.

Wat is cryptojacking?

Ben je het slachtoffer van cryptojacking, dan heb je malware op je systeem staan, net zoals het geval is bij bijvoorbeeld ransomware. Het vernuftige bij cryptojacking is dat je (vaak) niet in de gaten hebt dat dit het geval is. De criminelen gebruiken de rekenkracht van je systeem om cryptovaluta te kunnen minen. Cryptomining vergt namelijk veel rekenkracht (vandaar ook dat grafische kaarten de laatste tijd steeds duurder worden), dus alle beetjes helpen. Om er langere tijd van te kunnen profiteren, is het zaak voor de criminelen om niet te veel van de rekenkracht op te slokken. Dat zou vanwege een tragere computer namelijk opvallen.

Driehuis vergelijkt cryptojacking dan ook met een parasiet. Deze laat de gastheer in leven, om er zelf lang van te kunnen profiteren. Ransomware is daarentegen vergelijkbaar met een virus. Dat is veel destructiever. Je weet ook meteen dat je een virus te pakken hebt. Een machine met een ransomware-virus probeert dit dan ook niet te verbergen.

Volgens Driehuis past cryptojacking uitstekend bij wat criminelen drijft. Ze zijn in de basis altijd op geld uit. Cryptojacking is een tamelijk rechtstreekse route. Cryptovaluta zijn daarnaast ook nog eens het favoriete transportmiddel voor geld in het criminele circuit.

Hacks door overheden

Let wel, we hebben het hier over de gangbare criminele hackers of hackers-collectieven. Landen en andere groepen idealistische hackers zijn een ander verhaal. In zijn keynote gaat Driehuis hier ook op in. Het wordt zoals we wel vaker zien bij security-bijeenkomsten al snel een verkorte cursus vlaggenleer. Het zijn namelijk altijd dezelfde vlaggen die boven komen drijven: Rusland, Noord-Korea, Iran, China en de VS.

We vragen Driehuis tijdens ons gesprek in hoeverre overheden nu daadwerkelijk achter hacks zitten. Volgens hem gaat dit heel ver. Dat heeft meerdere oorzaken. Als het gaat over Rusland, dan heeft dat land volgens hem traditioneel een enorme informatie-achterstand, maar ook heel veel hackers. Daar zit ongetwijfeld ergens een oorzaak-gevolg-relatie, vermoeden we zo. Overigens is Driehuis niet de enige die dit zegt. Toen we recent op Bosch Connected World waren, vertelde Eugene Kaspersky (van het gelijknamige security-bedrijf) min of meer hetzelfde.

Driehuis ziet echter ook dat criminelen in Rusland actief worden ondersteund door de regering. Hij wijst op uitspraken die Poetin gedaan heeft in het verleden, die ervoor zorgen dat ze worden vrijgesteld van belasting en dergelijke. Ze worden gezien als een soort kunstenaars. Ook een oproep vanuit de overheid tot het terughalen van buitenlands geld kun je zien als een soort buut-vrij voor crimineel geld. Uiteraard is dit deels interpretatie en sommigen zullen zeggen speculatie. Het is voor een deel gebaseerd op de aanname dat een land met een (bewezen) informatie-achterstand en aantoonbaar veel hackers, deze in zal zetten om die informatie wel binnen te halen. Op zich geen onlogische redenering, al zal het lastig zijn om harde bewijzen te vinden die het onomstotelijk aantonen natuurlijk.

Nederland als gidsland

Nederland kun je volgens Driehuis zien als een gidsland als het gaat om cybersecurity. We hebben veel ervaring met het verdedigen tegen aanvallen. Voor een deel is dit omdat we vrij vroeg al vrij ver waren in de digitalisering. Dan speel je jezelf natuurlijk in de kijker.

Is Nederland dan zo interessant voor hackers? Eigenlijk juist niet, volgens Driehuis. Er valt hier eigenlijk niet zoveel interessants te halen voor andere landen. Daarnaast hebben we te veel vrienden in de wereld. Daar houden kwaadwillende naties ook niet zo van. Je zou dus wellicht verwachten dat Rusland verhaal komt halen bij Nederland voor de recente AIVD-hack. Uiteindelijk draait het ook in dit wereldje om de centjes, aldus Driehuis. Je moet namelijk niet vergeten dat het budget voor defensie in de VS net zo groot is het totale BNP van Rusland. En de VS is een vriend van Nederland. Dus ook al staan we er momenteel niet best op bij de Russen, we hoeven ons niet meer zorgen te maken dan anders.

Haasje-over

Driehuis houdt er sowieso niet van om te doemdenken. Daar los je volgens hem ook helemaal niets mee op. Het is veel beter om gezamenlijk op een positieve manier de strijd aan te gaan. Wel ziet hij dat security in de basis een reactief gebeuren is. Als branche reageren ze op waar de criminelen nu weer mee op de proppen komen.

Op dit moment staan criminelen en overheden klaar om de volgende sprong in het haasje-over-spel te maken, namelijk die in IoT. Als security-wereld en uiteindelijk ook als bedrijven en organisaties moet hier weer op gereageerd worden. Tegen de tijd dat men bij is, komt de andere kant weer met een nieuwe sprong. Dat je als bedrijf een van die sprongen achterloopt, is op zich niet vreemd. Je moet er echter wel voor zorgen dat je niet twee van dit soort sprongen achter gaat lopen, aldus Driehuis. Dan ontstaan er simpelweg te veel gaten in je beveiliging.

Meer in het algemeen moet je als bedrijf op dit moment de detectie van dreigingen op orde hebben volgens Driehuis. Het gaat dan niet alleen om het überhaupt detecteren van de dreigingen, maar ook dat dit snel genoeg gebeurt uiteraard. Is dat niet het geval, dan loop je achter. Hij merkt dat veel bedrijven nog niet goed beveiligd zijn. Op een volwassenheidsschaal van 5, zitten veel bedrijven nog op niveau 2. Uiteraard zijn er verschillen per branche. SecureLink heeft recent een Security Maturity Insight Report uitgebracht waarin wordt ingegaan op preventie, detectie en respons, alsmede op de verdeling tussen de verschillende branches. Via deze link kun je dat inzien.

Beperkingen van blockchain

Tot slot vragen we Driehuis naar de toepassing van blockchain binnen security. Kan dat meerwaarde bieden? Hij gelooft zeker in de toekomst van blockchain, al moet je het wel op de juiste manier gebruiken. Het is zeer geschikt om de integriteit ergens van aan te tonen, iets wat ook zeker belangrijk is in de security-wereld. Je hebt immers een geschiedenis van ‘transacties’ waarmee je dit kunt bewijzen. Voor de twee andere componenten binnen security (confidentiality en availability) is het juist totaal niet bruikbaar volgens Driehuis. Dat is goed om in het achterhoofd te houden als er weer eens iemand beweert dat blockchain ‘de oplossing’ biedt voor security-problemen.