Ransomware-as-a-service maakt steeds meer slachtoffers

  1. 14 aug 2015
  2. 0 reacties
Rene-Pieete

Het bekende franchisemodel is een prima manier van zakendoen. Neem een goed idee, ontwikkel op basis daarvan een goed product of dienst, zorg ervoor dat deze ook makkelijk door derden verkocht kan worden en ontvang daar vervolgens de royalties van. Dit model wordt met veel succes toegepast door tal van organisaties, uiteenlopend van fast food-ketens tot kapsalons en belastingadviseurs. En nu ook door cybercriminelen, die zo makkelijk geld kunnen verdienen met ransomware.

Cybercriminelen maken hun tools al heel lang beschikbaar voor anderen. Dat was lange tijd vooral een kwestie van trots en onderlinge rivaliteit (‘Kijk eens wat ik heb gemaakt!’), maar ook als manier om extra geld binnen te halen. Het ransomware-as-a-service model is echter relatief nieuw. En het heeft dit jaar al geleid tot een enorme toename in ransomware-aanvallen, zoals ook het Quarterly Threats Report May 2015 van Intel Security uitwijst. CTB-Locker en Tox zijn twee voorbeelden van hoe cybercriminelen verschillende ‘businessmodellen’ gebruiken om aanvallen uit te voeren op doelwitten over de hele wereld.

Vorig jaar werden de servers van CryptoLocker neergehaald. Sindsdien is CTB-Locker een van de meest voorkomende bronnen van ransomware-aanvallen, waarbij een soort partnerprogramma wordt ingezet om te groeien en meer geld binnen te behalen. Criminelen die zich aanmelden als ‘partner’, krijgen de beschikking over tools om deze ransomware onder hun eigen doelwitten te verspreiden, waarna ze 70% van de daarmee gegenereerde omzet ontvangen. Die distributie vindt meestal plaats via phishing e-mails, zoals verzend- en afleverbevestigingen, of nep-meldingen over software updates. Wanneer een systeem op deze wijze is besmet met de CTB-Locker ransomware, worden alle bestanden versleuteld en houdt de gebruiker alleen nog maar bestanden over die informatie bevatten over hoe het losgeld betaald moet worden om weer toegang te krijgen tot de bestanden. Die betaling moet dan gedaan worden in Bitcoin, waarmee de cybercrimineel zeker is van zijn anonimiteit.

Malware te huur

Een andere ransomware-variant die snel populairder wordt, is Tox. De makers van Tox bieden een kant-en-klare ransomware kit aan waarvoor je vrijwel geen technische kennis of vaardigheden nodig hebt. Je vult simpelweg het gewenste losgeldbedrag in en je krijgt je ‘eigen’ ransomwarebestand. Installeer of verspreid dit bestand op een manier die voor jou het beste werkt en vervolgens ontvang je 20% van de aldus gegenereerde losgeldbedragen, opnieuw uitbetaald in Bitcoin. Zowel CTB-Locker als Tox maken gebruik van het TOR-netwerk om de benodigde encryptiesleutels te downloaden, terwijl ze het IP-adres van hun servers verbergen om het lot van CryptoLocker te vermijden en endpointbeveiligingsoplossingen te omzeilen.

Bitcoin en andere virtuele valuta vormen een belangrijk onderdeel van ransomware. Omdat hiermee hun anonimiteit verzekerd is, kunnen ‘datakidnappers’ achter winstgevende doelwitten aan gaan, die anders wellicht in staat zouden zijn om de daders te achterhalen. Dit heeft tot gevolg dat deze aanvallen zich nu verschuiven van consumenten naar bedrijven, in de hoop zo vaker en meer losgeld te krijgen. Er zijn inderdaad veel organisaties die besluiten om dit losgeld te betalen, in de hoop dat ze daarmee weer toegang krijgen tot hun waardevolle bestanden. Maar daarmee laten ze wel zien dat dit bedrijfsmodel voor malware werkt, hetgeen weer leidt tot meer aanvallen.

Gezien de risico’s en de snelle verspreiding van ransomware, zijn bedrijven dringend op zoek naar mogelijkheden om iets te doen tegen deze vorm van malware. En die zijn er gelukkig ook. Dagelijkse backups (sowieso essentieel voor iedere onderneming en gebruiker) bieden in ieder geval de mogelijkheid om bij een besmetting de kostbare bestanden weer terug te zetten. Verder is het belangrijk om medewerkers beter bewust te maken over deze vorm van cybercriminaliteit. Omdat ransomware vaak wordt verspreidt via phishingmails, is het een goed idee om werknemers zelf te laten ervaren hoe makkelijk zij op een link klikken in een ogenschijnlijk legitieme e-mail. Daarmee zouden ze echter ransomware kunnen downloaden. De Phishing Quiz van Intel Security is daar een goed hulpmiddel bij. Verder biedt een verdediging in meerdere lagen de beste kans om ransomware tegen te houden. Goede antispamsystemen zullen een groot deel van de phishingmails onderscheppen, vooral als deze systemen zo zijn ingesteld dat ze gecomprimeerde bestanden en executables in e-mails blokkeren. Ook is het mogelijk om op de firewall netwerkverbindingen met het TOR-netwerk te blokkeren, om te voorkomen dat de ransomware de benodigde encryptiesleutels ophaalt. En tot slot is het heel belangrijk om tijdig systeemupdates te installeren en er voor te zorgen dat endpointsystemen (pc’s, tablets, servers, etc.) zijn voorzien van goede anti-malwareoplossingen.

Drs. René Pieëte, Senior SE Manager Northern & Eastern Europe Intel Security

Meer weten over ransomware en wat u daartegen kunt doen? Volg het gratis webinar op 3 september 2015