Ransomware – een explosief groeiend cryptoprobleem
Oude wijn, nieuwe zakken
Sinds jaren zijn virussen die verspreid worden via e-mails en websites weer een grote kopzorg geworden voor IT professionals. Behoorde de dreiging met eenvoudige maatregelen tot enkele jaren terug tot het verleden, zo staat het nu weer bovenaan het prioriteitenlijstje met grote aanvallen die wereldwijd enorme impact hebben. Met een groeiende hoeveelheid gevallen, toenemende frequentie en met de grotere focus op MKB ondernemingen is de dreiging van Crypto Virussen reëel en verdient maximale aandacht.
De afgelopen 2 jaar hebben de IT system engineers van Mica IT al 10-tallen keren moeten ingrijpen voor ondernemingen die flink besmet waren met deze zo genaamde ‘Ransomware’. Dit is steeds tot een goed einde gebracht maar de schrik zit er goed in bij iedereen en dit verdient meer aandacht bij alle IT professionals.
Crypto-wattes….?
WannaCry, CryptoLockers, Cryptovirussen, Reveton, RSA4096, het zijn allemaal voorbeelden van een virusfamilie genaamd Ransomware.
Wat ze doen? Zij versleutelen in rap tempo en ongemerkt alle voor mensen belangrijke bestanden. Foto’s, Word bestanden, boekhouding en die mooie Excel draaitabellen waar je net uren aan hebt zitten werken? Versleuteld. Ze gaan op slot en worden voorzien van instructies hoe je ‘losgeld’ kunt overmaken om ontzet kunt worden.
Dit ‘losgeld’ wordt geëist in de vorm van BitCoins een digitale munteenheid die de afgelopen jaren flink aan populariteit heeft gewonnen en nagenoeg anoniem is, de gijzelnemer blijft dus onbekend. De transactie van dit losgeld gaat doormiddel van het inkopen van BitCoins in ruil voor jouw zuurverdiende Euro’s natuurlijk.
Nadat de BitCoins op een digitale portemonnee zijn gestort dienen deze te worden overgemaakt aan de ‘gijzelnemer’. Als reactie ontvangt men dan de zo genaamde decryptiesleutel en een programma waarmee de bestanden te ontsleutelen zijn.
In 2016 werd gemiddeld 7 BTC gevraagd, met de koers op het moment van schrijven € 2.940 (€7.500+ 05-2017) de huidige WannaCry aanval eist per server of werkplek ongeveer €250 en vele uren waardevolle tijd van een bedrijf en eventueel ook nog de manuurkosten van de IT professional die ingeschakeld wordt om te assisteren.
Oponthoud en enorme kosten zijn dus de narigheid waar een besmetting mee gepaard gaat.
Door IT professionals wordt de dreiging van deze Ransomware software als een van de grootste dreigingen gezien van de afgelopen 10 jaar. (normale)virussen en spam zijn eigenlijk al jaren onder controle mits een onderneming afdoende maatregelen neemt maar dit probleem is bij lange na niet onder controle. Men spreekt van een ‘game changer’.
Wolf in schaapskleding
De Ransomware wordt in enorm tempo vernieuwd om de anti-virusmakers steeds een stapje voor te blijven, virusscanners melden dus meestal niet eens dat er iets raars gaande is. Er zijn een paar manieren waarop deze ‘wolf’ naar binnen sluipt.
Bijna alle besmettingen starten bij het binnenkomen van een e-mail in één van de postvakken van een organisatie. In tegenstelling tot jaren terug, in keurige Nederlandse volzinnen en vaak met een vanzelfsprekende boodschap waardoor het in een moment van onoplettendheid raak is.
Een methode is bijvoorbeeld een mailtje, zo genaamd van PostNL, met daarin de boodschap dat er voor de ‘beste meneer of mevrouw’ en pakketje onderweg is en als er snel op onderstaande link wordt geklikt, de route via een traceercode zichtbaar wordt. Moeilijk te weerstaan toch?
Een andere manier is een bijlage waarvan het op eerste gezicht een keurig .PDF documentje lijkt. Een mail van KPN met daarin de factuur van deze maand is immers geen uitzondering en omdat veel mailclients maar een deel van bijlage laten zien is het maskeren van een virus een koud kunstje.
Dergelijke bijlagen worden verzonden met een rare naam meet veel spaties ertussen, bijvoorbeeld “Uw factuur 134123.pdf .exe” waarbij het lijkt alsof het om een .PDF bestand gaat maar in werkelijkheid is het een .EXE bestand. Na het klikken is de besmetting een feit.
Na een besmetting merkt men als gebruiker niet zoveel van het probleem dat is ontstaan. Dit zal pas gebeuren als iemand het .DOCX bestand probeert te openen en tot zijn of haar schrik ontdekt dat het bestandje kapot lijkt te zijn. In het mapje waar dit originele bestand staat is ook een .TXT bestand aangemaakt met daarin de instructies en soms zelfs linkjes naar YouTube filmpjes(!) hoe 7 BTC kan worden overgemaakt naar het boevengilde.
“Ach, daar hebben alleen die rare Windows gebruikers last van”
Nou, nee… Door het groeiende gebruik van OS X, het besturingssysteem van Apple, en Linux zijn ook deze gebruikers doelwit geworden van Ransomware. Eén van de meest sprekende en bekende voorbeelden is de KeRanger die via een officiële bittorrent download client werd verspreid;
http://betanews.com/2015/11/09/linux-users-targeted-by-new-linux-encoder-1-encryption-ransomware/
Omdat Ransomware zeer lucratief is blijkt niemand veilig. Niet alleen Windows, OS X en Linux distributies zijn kwetsbaar maar ook mobiele telefoons worden in groeiende mate doelwit van deze vieze manier van afpersing.
Blijf als gebruiker dus bewust van deze pogingen en verwijder alle e-mails die niet bekend voorkomen. Direct en zonder twijfel.
Wat kan ik (laten) doen?
De makers van virussen en spam zijn altijd in een kat en muis-spel met de makers van software die dergelijke ‘troep’ bestrijden. Er komt een nieuw virus en het duurt een aantal dagen voordat de remedie gemaakt en verspreid is. 100% veilig is een IT omgeving eigenlijk alleen als je de stekker eruit trekt, helemaal uitsluitend is onmogelijk.
Maar het opwerpen van zoveel mogelijk barrières is natuurlijk altijd verstandig en zelfs als er één zou geslecht worden dan is er altijd nog het beperken van de impact op een IT netwerk.
Met deze 7 punten beperkt een IT professional het risico van besmetting, verspreiding en impact;
- Train medewerkers. Awareness is key!
- Blijf mensen waarschuwen om niet in phisingmails te trappen. Kent men het niet, wis het dan en maak melding bij een eventuele vergissing.
- Maak back-ups!
- Nee echt, maak hele goede backups op gekwalificeerde media die offline bewaard wordt. Maak deze backups dagelijks en bewaar ze minimaal 1 week. Maak bij voorkeur gebruik van Cloud Backup oplossingen omdat deze de meeste zekerheid geven.
- Goede anti-virus en anti-spam gateways voor de mailserver(s)
- Vang troep al voor de deur, laat het zo min mogelijk bij mensen terecht komen omdat het risico daar nog veel groter is.
- Patch en update alle programma’s en besturingssystemen
- Implementeer een goed beleid om alle besturingssystemen up-to-date en beveiligd te houden. Kom niet in problemen die al maanden bekend zijn.
- Beperk schrijfrechten van mensen
- Geef mensen niet meer rechten op het netwerk dan nodig. Mocht een machine besmet zijn grijpt het wild om zich heen maar alleen bij bestanden waar schrijfrechten op zitten.
- Filter en verbiedt alle .EXE files op de mailserver
- Ongeacht legitimiteit, wis alle .EXE bestanden die gemaild worden naar jouw organisatie.
- Disable het draaien van bestanden uit de ‘AppData’ of ‘LocalAppData’ mappen.
- Niet alle maar vele CryptoLockers draaien vanuit deze mappen. Windows ActiveDirectory kan deze instellingen verspreiden onder gebruikers en werkplekken
UPDATE: 08-2019
De originele datum van deze blogpost is al uit 2016. Het beschreven probleem is echter niet minder relevant geworden een kleine 3 jaar later.
Kort geleden nog werd de ict-infrastructuur van de Tweede Kamer getroffen door ransomware en is vorige maand duidelijk geworden dat NAS systemen nu nadrukkelijk doelwit zijn geworden van software die bestanden wil versleutelen.
Bespreek dit onderwerp met uw IT beheerder. Misschien ook in combinatie met algemene veiligheidsaspecten van uw IT omgeving maar zeker ook of u voldoende beveiligd bent tegen deze crypto-dreigingen.
Göran van der Laarse is een ervaren ondernemer en algemeen directeur van Mica IT, een IT-bedrijf dat zich richt op het leveren van oplossingen op maat voor bedrijven om hun efficiëntie te verhogen.
Als auteur kan Göran zijn uitgebreide ervaring en kennis delen op het gebied van innovatie, technologie en digitale transformatie. Met zijn inzichten en deskundigheid kan hij lezers helpen om bij te blijven met de nieuwste ontwikkelingen en trends in de IT-wereld. Zijn gepassioneerde benadering van elk vraagstuk en zijn creativiteit zorgen ervoor dat hij altijd in nauwe samenwerking met zijn klanten tot passende oplossingen komt.
Göran is de ideale blogger om te volgen voor bedrijven die hun IT-infrastructuur willen optimaliseren en hun digitale transformatie willen versnellen.
Contact met Göran?