Ransomware: wat staat ons nog te wachten?

  1. 8 jul 2016
  2. 0 reacties

Vincent-Zeebregts-Fortinet-

Onlangs maakte de FBI bekend dat slachtoffers van ransomware alleen al in het eerste kwartaal van 2016 zo’n 209 miljoen dollar aan losgeld betaalden. In heel 2015 ging het nog slechts om 24 miljoen dollar. Het probleem ransomware is overal en duikt ook op in elke discussie over cyberbedreigingen. En niet zonder reden, want het FortiGuard Labs R&D-team van Fortinet ontdekt elke dag minstens één nieuwe ransomware-variant.

Nieuwe tussenvormen en varianten van ransomware

Ransomware kon tot nu toe in twee categorieën verdeeld worden. De eerste categorie is de ‘blokkerende’ ransomware die een normaal gebruik van een computer onmogelijk maakt. De tweede categorie omvat cryptografische ransomware die persoonlijke documenten versleutelt, zodat de gebruiker die niet langer kan inzien. De afgelopen tijd duiken er echter ook tussenvormen op. Zo is er cryptografische ransomware in omloop die geïnfecteerde computers de toegang tot bepaalde websites ontzegt, totdat de hackers losgeld ontvangen.

Ook de grenzen tussen de apparaten waarop ransomware het heeft voorzien, beginnen te vervagen. Sommige ransomware bestookt zowel computers als smartphones. En omdat sommige smartphones gebruikmaken van het besturingssysteem Android, komen we nu ook varianten zoals de Flocker-familie tegen, waarbij de infectie overspringt naar Internet of Things-apparatuur zoals smart tv’s. Tv kijkers moeten een iTunes voucher van 200 dollar naar de cybercriminelen sturen, en kunnen dan weer genieten van de Tour de France of de finale van het EK .

Ransomware krijgt pootjes

Volgens Gartner zullen er in 2016 maar liefst 6,4 miljard verbonden apparaten in omloop zijn. In 2020 zal dit aantal tot ongeveer 21 miljard zijn gestegen. Voor aanvallers betekent dat vooral één ding: meer potentiële slachtoffers. En de ontwikkeling van malware staat niet stil. De overstap van ransomware van computers naar smartphones is niet meer dan een natuurlijke stap in de ontwikkeling van deze kwaadaardige programmatuur. We merken reeds dat sommige varianten uit de SamSam- en ZCryptor-familie wormachtig gedrag vertonen door zich naar netwerken in de nabijheid te verspreiden. Als we de vergelijking trekken met de evolutietheorie van Darwin zou je kunnen zeggen dat ransomware nu is aangekomen op het punt waarop vissen de zee verlieten en hun vinnen als poten begonnen te gebruiken om onbekend terrein te verkennen.

Er is een simpele reden waarom deze evolutie zich zo snel voltrekt: slachtoffers zijn nu eenmaal bereid om het gevraagde losgeld op te hoesten. Natuurlijk doen niet alle getroffen partijen dat, maar er zijn er genoeg om ervoor te zorgen dat cybercriminelen bakken met geld verdienen. De makers van malware gaan tegenwoordig als professionele ondernemers te werk, ze herinvesteren zelfs een aanzienlijk deel van het losgeld in research & development.

Industriële besturingssystemen en de cloud lopen gevaar (en wij dus ook)

Ransomware-infecties hebben reeds epidemische vormen aangenomen, en het is een kwestie van tijd voordat de boel uit de hand begint te lopen. Er is tot dusver eén gebied vrij gebleven van ransomware, en dan hebben we het over Industrial Control Systems (ICS). Deze applicaties worden ingezet in industriële omgevingen zoals chemische productiefaciliteiten, kerncentrales en stroomopwekkinginstallaties. Tot nu toe zijn er geen gevallen bekend van ICS-systemen die door ransomware zijn getroffen. Toch zijn deze systemen niet zo onaantastbaar voor malware als  wordt gedacht. In 2013 werd bijvoorbeeld de Bowman Avenue-dam in New York getroffen door een verkennende aanval. En bij Calpine, de grootste Amerikaanse leverancier van aardgas en aardwarmte, werden gedetailleerde technische tekeningen gestolen door hackers.

De huidige ransomware-varianten hoeven niet veel meer te doen dan aan de juiste deur aan te kloppen. De kans dat zij zich de komende maanden verspreiden naar Operational Technology (OT)-omgevingen is dan ook reëel — en tamelijk groot. Deze omgevingen zijn lucratieve doelwitten voor malware-makers. Welk bedrag zou een regering bijvoorbeeld bereid zijn om neer te tellen om incidenten binnen een kerncentrale te voorkomen?

Ook in de cloud loert het gevaar

Maar niet alleen ICS-systemen zijn een potentieel doelwit. Ook de cloud biedt volop kansen voor makers van ransomware. Clouds puilen uit van de data, en vormen daarmee een aantrekkelijk doelwit voor cybercriminelen.Zo maakte Apple kort geleden bekend dat het de capaciteit van zijn gratis iCloud-accounts gaat opwaarderen van 20 Gb naar 150 Gb. In de altijd verbonden wereld van vandaag betekent dit dat een groot deel van alle wereldwijde data in vrijwel real-time in de cloud zal worden opgeslagen. En het is allerminst ondenkbaar dat cybercriminelen erin slagen om misbruik te maken van bepaalde API’s om gegevens in de cloud te versleutelen en losgeld te eisen.

Met het oog op deze risico’s kan het belang van back-ups niet vaak genoeg worden benadrukt. Best practices op dit gebied zijn het regelmatig maken van back-ups, back-ups offline opslaan op een losstaand apparaat en het netwerk indelen in verschillende beveiligingszones, zodat ransomware zich niet makkelijk van één zone naar de andere zones kan verspreiden. Het valt ook aan te raden om een fail-overplan op te stellen om ervoor te zorgen dat alles blijft functioneren (al is het maar in beperkte vorm) tijdens het herstellen van uw systemen en netwerk.

Bij Fortinet blijven we op zoek naar nieuwe manieren om geavanceerde bedreigingen het hoofd te bieden. Hiertoe ontwikkelen we technologie voor het detecteren en afslaan van cyberbedreigingen en introduceren we tegenmaatregelen op basis van nieuwe preventiemodellen.

De sci fi toekomst

Op de langere termijn zou het gevaar van ransomware nog veel griezeliger kunnen worden. In mei 2010 toonde een Britse wetenschapper al aan dat medische implantaten die in het menselijk lichaam worden ingebracht, door computervirussen kunnen worden besmet. Het is dan ook niet ondenkbaar dat er ooit een dag aanbreekt waarop ransomware mensen ervan weerhoudt om hun kunstarm of –been te gebruiken, of dat cybercriminelen dreigen om iemands pacemaker uit te schakelen. Is dit science fiction? Als we moeten afgaan op de ontwikkelingen op ICT-gebied en de vindingrijkheid die hackers aan de dag leggen, zou het antwoord wel eens ‘nee’ kunnen luiden.

Vincent Zeebregts, Fortinet