Het losgeldjaar
door Strict op vr 12 jun 2015
Het lijkt erop dat dit jaar het jaar van de losgeldsoftware is. Op het moment zijn er vrijwel dagelijks berichten over organisaties die getroffen zijn door een cryptolocker infectie. Dit is niet de eerste blog over cryptolocker aanvallen en het zal zeker niet de laatste zijn. Ik heb ook niet de indruk dat we snel van dat cryptolocker gedoe af zijn. Dus we moeten er maar het beste van maken. En dat is niet het betalen van losgeld, want los van dat je dan de criminelen beloont, blijf je het risico gewoon lopen. Want wat kun je er tegen doen?
Het bijzondere is dat de organisaties die last hebben van de infecties in veel gevallen prima beschermd zijn tegen aanvallen vanaf het internet. Als een organisatie zijn ICT al niet heeft uitbesteed aan een andere professionele organisatie, dan is die organisatie er zelf heel vaak allang in geslaagd om de beveiliging op orde te hebben. Firewalls, content scanners, malware scanners en antivirus op werkplekken, regelmatig maken van back-ups, tegenwoordig is dat bij de meeste organisaties wel prima op orde. En dan nog worden ook goed beveiligde organisaties getroffen…
Het blijkt dat de meeste infecties plaatsvinden via Social Engineering trucs. Phishing en spearphishing zijn de technieken die op grote schaal worden gebruikt. De medewerkers die voor de verleidingen in de mailtjes vallen, zorgen zelf voor activering van de malware, met alle gevolgen van dien.
Maar hoe werkt dat dan? Als er een bijlage bij een phishing mailtje zit, dan moet dat toch door een malwarescanner gedetecteerd zijn? Ja en nee. In de praktijk blijkt veel van de malware die bij phishing acties wordt gebruikt, niet gevonden te kunnen worden. Een interessante uitleg hierover staat op de blog van Rik van Duijn.
Uit zijn analyse blijkt dat de software zo is ontwikkeld dat het voorbereid is op detectie door anti-malwarescanners. Het blijkt voor criminelen heel simpel om detectie te voorkomen door de software heel frequent zo te veranderen dat een virusscanner de software niet herkent. Dat kan doordat de anti-malware oplossingen kijken naar patronen in de bestanden van de malware. Als een patroon herkend wordt als een patroon van bekende malware, dan kan de scanner de software blokkeren. Als je als aanvaller die patronen elke keer wijzigt, dan zal een patroongebaseerd systeem (signature based) de malware niet kunnen opsporen. Dat wil niet zeggen dat je geen signature based systeem moet gebruiken, dat is altijd handig, maar in de toekomst zullen we op Windows systemen dan ook aanvullende beveiliging moeten krijgen van ‘behavior oriented’ scanners. Dergelijke systemen kijken naar verdacht gedrag van services en maken gebruik van ‘white lists’ voor vertrouwd gedrag. Zo mag word.exe wel bestanden wijzigen in \mijn documenten\, maar niet in \windows\system32. Dergelijke oplossingen zijn nu al te vinden bij het Nederlandse Surfright, in het product HitmanPro alert. En het ook al Nederlandse Fox-IT is bezig met de ontwikkeling van CTM endpoint module. Dus niet alleen is ons land een grote bron van infecties, ook hebben we hier heel veel kennis om de schade te voorkomen…
Maar zoals je ziet ook in de analyse van Rik, komt de malware in de meeste gevallen gewoon binnen via de mail, als een executable, een .exe bestand. Hoe kan dat nou?
Weten de ontvangers niet hoe ze om moeten gaan met de digitale verleidingen? Misschien is het weer tijd om medewerkers te trainen en ze voorbeelden van incidenten te laten zien. En morgen weer. En overmorgen…
Hadden we vroeger niet een policy om ‘rücksichtlos’ executables en zip-bestanden in de email te blokkeren? Misschien is het weer tijd om die policy te heractiveren.
We kunnen natuurlijk niet alle risico’s uitbannen, maar beperken kan wel, al vergt dat een andere werkwijze…Afstappen van het gebruik van documenten (zoals ik beschrijf in mijn andere blogje bij Cqure) en andere platformen gebruiken die niet kwetsbaar zijn voor dit soort aanvallen van buiten.
Meer tips?
- Als je geen aanvullende technische maatregelen kunt treffen om infectie te voorkomen, dan is het in ieder geval zinvol om medewerkers te blijven trainen en ze bewust te maken van de risico’s.
- Zorg ervoor dat je back-ups van alle bestanden hebt die je ook terug kunt zetten.
- Zorg er ook voor dat je systemen tijdig gepatcht zijn.
Maar ja, die tips zie je ook in al die andere blogs wel staan 🙂
- Technologie (134)
- Nieuws (70)
- 5G (67)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Klantcase (18)
- Webinar (18)
- Blog (16)
- Innovatie (13)
- Mission Critical (13)
- Healthcare (12)
- Overheid (12)
- AI (11)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- december 2024 (4)
- november 2024 (9)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (6)
- augustus 2018 (8)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- maart 2017 (9)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)