Het losgeldjaar

Het lijkt erop dat dit jaar het jaar van de losgeldsoftware is. Op het moment zijn er vrijwel dagelijks berichten over organisaties die getroffen zijn door een cryptolocker infectie. Dit is niet de eerste blog over cryptolocker aanvallen en het zal zeker niet de laatste zijn. Ik heb ook niet de indruk dat we snel van dat cryptolocker gedoe af zijn. Dus we moeten er maar het beste van maken. En dat is niet het betalen van losgeld, want los van dat je dan de criminelen beloont, blijf je het risico gewoon lopen. Want wat kun je er tegen doen?

Het bijzondere is dat de organisaties die last hebben van de infecties in veel gevallen prima beschermd zijn tegen aanvallen vanaf het internet. Als een organisatie zijn ICT al niet heeft uitbesteed aan een andere professionele organisatie, dan is die organisatie er zelf heel vaak allang in geslaagd om de beveiliging op orde te hebben. Firewalls, content scanners, malware scanners en antivirus op werkplekken, regelmatig maken van back-ups, tegenwoordig is dat bij de meeste organisaties wel prima op orde. En dan nog worden ook goed beveiligde organisaties getroffen…

Het blijkt dat de meeste infecties plaatsvinden via Social Engineering trucs. Phishing en spearphishing zijn de technieken die op grote schaal worden gebruikt. De medewerkers die voor de verleidingen in de mailtjes vallen, zorgen zelf voor activering van de malware, met alle gevolgen van dien.

Maar hoe werkt dat dan? Als er een bijlage bij een phishing mailtje zit, dan moet dat toch door een malwarescanner gedetecteerd zijn? Ja en nee. In de praktijk blijkt veel van de malware die bij phishing acties wordt gebruikt, niet gevonden te kunnen worden. Een interessante uitleg hierover staat op de blog van Rik van Duijn.

Uit zijn analyse blijkt dat de software zo is ontwikkeld dat het voorbereid is op detectie door anti-malwarescanners. Het blijkt voor criminelen heel simpel om detectie te voorkomen door de software heel frequent zo te veranderen dat een virusscanner de software niet herkent. Dat kan doordat de anti-malware oplossingen kijken naar patronen in de bestanden van de malware. Als een patroon herkend wordt als een patroon van bekende malware, dan kan de scanner de software blokkeren. Als je als aanvaller die patronen elke keer wijzigt, dan zal een patroongebaseerd systeem (signature based) de malware niet kunnen opsporen. Dat wil niet zeggen dat je geen signature based systeem moet gebruiken, dat is altijd handig, maar in de toekomst zullen we op Windows systemen dan ook aanvullende beveiliging moeten krijgen van ‘behavior oriented’ scanners. Dergelijke systemen kijken naar verdacht gedrag van services en maken gebruik van ‘white lists’ voor vertrouwd gedrag. Zo mag word.exe wel bestanden wijzigen in \mijn documenten\, maar niet in \windows\system32. Dergelijke oplossingen zijn nu al te vinden bij het Nederlandse Surfright, in het product HitmanPro alert. En het ook al Nederlandse Fox-IT is bezig met de ontwikkeling van CTM endpoint module. Dus niet alleen is ons land een grote bron van infecties, ook hebben we hier heel veel kennis om de schade te voorkomen…

Maar zoals je ziet ook in de analyse van Rik, komt de malware in de meeste gevallen gewoon binnen via de mail, als een executable, een .exe bestand. Hoe kan dat nou?

Weten de ontvangers niet hoe ze om moeten gaan met de digitale verleidingen? Misschien is het weer tijd om medewerkers te trainen en ze voorbeelden van incidenten te laten zien. En morgen weer. En overmorgen…

Hadden we vroeger niet een policy om ‘rücksichtlos’ executables en zip-bestanden in de email te blokkeren? Misschien is het weer tijd om die policy te heractiveren.

We kunnen natuurlijk niet alle risico’s uitbannen, maar beperken kan wel, al vergt dat een andere werkwijze…Afstappen van het gebruik van documenten (zoals ik beschrijf in mijn andere blogje bij Cqure) en andere platformen gebruiken die niet kwetsbaar zijn voor dit soort aanvallen van buiten.

Meer tips?

• Als je geen aanvullende technische maatregelen kunt treffen om infectie te voorkomen, dan is het in ieder geval zinvol om medewerkers te blijven trainen en ze bewust te maken van de risico’s.
• Zorg ervoor dat je back-ups van alle bestanden hebt die je ook terug kunt zetten.
• Zorg er ook voor dat je systemen tijdig gepatcht zijn.

Maar ja, die tips zie je ook in al die andere blogs wel staan 🙂