Ransomware en cryptojacking

 

Blog door: Harm Teerenstra, Security Consultant SecureLink

Cryptojacking

We kunnen wel stellen dat ransomware (een chantagemethode waarbij data wordt gegijzeld) de laatste jaren is uitgegroeid tot een populair businessmodel voor cybercriminelen en daarmee een serieus probleem is geworden voor zowel consumenten als bedrijven. Waar dit voor consumenten minder speelt, is dit voor met name de laatste groep een behoorlijke risicofactor: digitale gegevens vormen immers een kritieke asset. Het verlies hiervan, of, in geval van ransomware, het onbruikbaar of onklaar maken, kan in het ergste geval zelfs het voortbestaan van een bedrijf bedreigen.

Cryptojacking

De nieuwste internetdreiging heet ‘cryptojacking’. Een aanvaller zorgt er hierbij voor dat een besmette computer of server stiekem bitcoins en/of andere cryptomunten gaat delven (‘minen’) waardoor resources gealloceerd worden die vervolgens niet meer voor legitieme processen kunnen worden gebruikt. Hoewel dit meestal tot traagheid van besmette systemen leidt, blijft een dergelijke aanval vaak lang onopgemerkt. De cybercrimineel is er immers alles aan gelegen het besmette systeem in de lucht te houden. Cryptojacking is dus, anders dan bij ransomware het geval is, er niet op gericht data onbruikbaar of onklaar te maken. Het lijkt hierdoor minder schadelijk, maar niets is minder waar: het blijft een feit dat onrechtmatig toegang is verkregen tot het systeem; alle daarop aanwezige data ligt dus voor het grijpen.

Gelukkig hoeven we niet lijdzaam af te gaan wachten totdat we ook daadwerkelijk getroffen worden. In deze blog bespreek ik dan ook hoe de potentiële attackvector kan worden verkleind, hoe je je kunt voorbereiden op een dergelijke aanval en, áls het te laat is, wat te doen om de schade zo veel mogelijk te beperken.

De attackvector verkleinen

Er zijn verschillende relatief eenvoudige manieren om de kans dat je het slachtoffer van ransomware of cryptojacking wordt te verkleinen:

Bij de WannaCry en NotPetya uitbraken vorig jaar is een kwetsbaarheid in Windows misbruikt waarvoor Microsoft maanden eerder al een patch had uitgebracht. Bedrijven die slachtoffer werden liepen simpelweg achter qua updates en patches. Nu is het wat kort door de bocht om te stellen dat dat ‘hun eigen schuld was’, er zijn immers scenario’s denkbaar waarbij apparatuur mogelijk niet meer goed werkt na het uitvoeren van een update of zelfs gewoon opereert op een niet meer ondersteunde versie van Microsoft Windows. Gangbare vulnerability scanners kunnen echter veel van deze gevaren detecteren voordat deze van kritisch belang worden. Terwijl aan een langetermijn oplossing wordt gewerkt, verdient het de aanbeveling om dergelijke apparaten door middel van zo strikt mogelijke firewallregels van je bedrijfsnetwerk en van elkaar af te schermen.

Een veelgebruikte truc is het versturen van een malicious script, verstopt in een macro-enabled Word-document of Excel-sheet. Macro’s worden weliswaar standaard niet uitgevoerd door Word of Excel, maar de gebruiker krijgt wel zeer prominent de knop ‘inhoud inschakelen’ gepresenteerd. Helaas zijn er vandaag de dag nog veel van hen die daar vervolgens achteloos op klikken, waarna het script leidt tot bijvoorbeeld het downloaden van ransomware.

Het is goed om na te denken over het toekennen van lokale of domeinbeheerrechten; hebben bepaalde gebruikers(groepen) deze echt nodig voor het uitvoeren van hun dagelijkse werkzaamheden? De nadelen voor een gebruiker, zoals het niet kunnen installeren van nieuwe applicaties of het niet kunnen wijzigen van de configuratie van applicaties, wegen vaak niet op tegen de behaalde voordelen op securityvlak voor de organisatie.

Gaat het te ver om lokale beheerrechten te beperken, kijk dan naar andere manieren om een endpoint te ‘hardenen’. Een voorbeeld: de praktijk leert dat legitieme applicaties, geïnstalleerd op een juiste wijze, nooit gestart worden vanuit een profielmap van een gebruiker (bijv. ‘downloads’ of ‘tijdelijke bestanden’); middels een tool voor application control kan deze mogelijkheid simpel worden dichtgezet. Ook kan een whitelist worden gemaakt van applicaties die mogen draaien op een endpoint, waarbij alle andere niet worden toegestaan. Dit laatste is typisch toepasbaar op Point-Of-Sale systemen of SCADA-systemen.

Traditionele antivirussoftware biedt enige basisbeveiliging, maar gewiekste aanvallers zorgen er doorgaans voor dat hun malware niet te detecteren is door deze continu te modificeren. Gelukkig staat de ontwikkeling op het vlak van endpoint security ook niet stil; er zijn vandaag de dag prima oplossingen beschikbaar die gestoeld zijn op moderne technologieën als artificiële intelligentie en advanced machine learning. Zij stappen hiermee volledig af van signatures en definities, met een hogere effectiviteit tot gevolg.

Voorbereiden op een aanval

Natuurlijk is het belangrijk om het risico op besmetting met ransomware of op cryptojacking te verkleinen. Nog belangrijker is echter het voorbereid zijn op een aanval; er bestaat immers niet zoiets als 100% veiligheid. Het hanteren van de volgende vuistregels helpt hierbij:

Een goed gebalanceerde strategie voor gegevensback-up en -herstel is absoluut noodzakelijk. Het is een kwestie van vasthouden aan deze drie basisregels: maak een primaire back-up van gegevens en bewaar deze lokaal, dupliceer deze om offsite te verplaatsen, en zorg er te allen tijde voor dat snel herstel mogelijk is na een (security-)incident. Er is geen goed of fout als het gaat om gehanteerde RPO en RTO, zo lang er maar over na wordt gedacht!

Het hebben van een strategie voor gegevensback-up en -herstel is de eerste stap, maar hoe vaak test je of herstel van gegevens vanaf deze back-ups echt lukt? Veel organisaties denken hier pas aan als het te laat is. Controleer daarom regelmatig of het back-up proces inderdaad gelukt is, én of alle (belangrijke) data ook echt terug te halen is.

Ransomware heeft de vervelende eigenschap dat deze niet alleen lokale bestanden versleutelt, maar ook die op gedeelde mappen waar het gecompromitteerde endpoint toegang tot heeft. Het is daarom belangrijk om te bepalen wie waarbij kan en ook of schrijftoegang benodigd is. Onthoud dat er slechts één besmet systeem met schrijftoegang tot een gedeelde map nodig is om alle gegevens hierop verloren te laten gaan.

Dit is misschien wel het allerbelangrijkst. Als je het doelwit bent van een aanval of erger nog, als je reeds besmet bent, dan moet je dat natuurlijk zo spoedig mogelijk weten en kunnen onderzoeken. Er zijn talloze manieren om logging en monitoring uit te voeren; vrijwel elk component binnen een netwerk, van perimeter firewall tot endpoint, genereert waardevolle informatie. Ook zijn er veel monitoringtools of sniffers beschikbaar om anomalieën in netwerkverkeer op te kunnen sporen. Het is vooral de kunst al deze informatie samen te voegen en te correleren. Een SIEM is hier een mogelijke oplossing voor, maar vereist wel de nodige kennis en resources qua inrichting, onderhoud en monitoring. Een managed oplossing zou hierin uitkomst kunnen bieden.

Damage control

Wanneer je dan toch het slachtoffer van ransomware of cryptojacking bent geworden, zijn dit de nog resterende opties:

Zodra duidelijk is dat er sprake is van een besmetting, zorg dan voor onmiddellijke isolatie van de besmette systemen door netwerkconnectiviteit te onderbreken. Hiermee kan verspreiding door zogenaamde lateral movement worden ingeperkt. Bij sommige organisaties zal dit een manueel proces zijn, in andere kan dit volledig geautomatiseerd geschieden doordat een auto-incident response mogelijk is gemaakt op basis van eerdergenoemde correlatie van data.

Voor een aantal ransomware-families hebben onderzoekers en opsporingsinstanties decryptie-tools beschikbaar gesteld waarmee je je gegevens kunt herstellen zonder dat je de criminelen hoeft te betalen. Deze tools werken echter alleen als de betreffende ransomware-variant ernstige tekortkomingen bevat of als de onderzoekers erin geslaagd zijn de encryptiesleutels te bemachtigen.

Anders dan bij ransomware het geval is, zijn besmette systemen in geval van cryptojacking nog werkzaam en toegankelijk. Dit biedt meer mogelijkheden als het gaat om forensisch onderzoek; hierbij kan worden geprobeerd antwoord te krijgen op vragen als: welke systemen zijn besmet en hoe hebben aanvallers toegang verkregen? Welke (sub-)processen gingen vooraf aan de aanval? Welke data is inzichtelijk geweest? Etc. Op basis van verkregen informatie kunnen dan de aanwezige maatregelen worden verbeterd. Dit neemt overigens niet weg dat de besmette systemen zo snel mogelijk opgeschoond dienen te worden.

Het opschonen van besmette systemen kun je het beste bewerkstelligen door deze te voorzien van een schone installatie en het terugzetten van back-ups. In de praktijk zal er dus een bepaalde hoeveelheid data verloren zijn gegaan; hoeveel precies is afhankelijk van het moment van het maken van de back-up of snapshot en het moment dat deze terug wordt gezet.

Conclusie

De kans is groot dat je vroeg of laat met een uitbraak van malware te maken hebt, waarbij het zelfs niet per se om ransomware of cryptojacking hoeft te gaan. Indien je het slachtoffer bent geworden van een succesvolle aanval, is het van belang hiervan te leren en er verbeterpunten uit te halen om deze vervolgens te implementeren.

SecureLink denkt graag met je mee, of het nu gaat om services als het samen opstellen van een security awareness programma tot aan het leveren van een managed Computer Security Incident Response Team (CSIRT) dienst; wij vertellen hier graag meer over. Ons motto is niet voor niets: “Safely enabling business”.

2018-06-20T09:42:37+00:0021 maart 2018|
SecureLink Netherlands