Home
ICT
opleiding
Nieuwste Ransomware zoekt slachtoffers met de diepste zakken.
Ransomware en hackers tegenhouden met
whitelisting
'Het omgekeerde van blacklisting.
Niet proberen te blokkeren wat niet mag, maar alles blokkeren, en
aangeven wat wél mag.
Ryuk,
de
nieuwste ransomware-variant ,die de wereld stormachtig heeft veroverd,
richt zich op slachtoffers die flinke bedragen op hun banktegoed hebben
staan.
Dit is dezelfde ransomwarestam die in december 2018 Tribune Publishing
trof, waardoor de distributie van meerdere grote kranten, zoals de L.A.
Times en Chicago Tribune, tot stilstand kwam.
Dit is slechts één voorbeeld van de 52 verschillende bevestigde
Ryuk ransomware-aanvallen die sinds augustus 2018 hebben plaatsgevonden.
Sinds de kwaadaardige variant actief is, is er al 3,7 miljoen
dollar betaald aan de Ryuk hackers
Hoe is Ryuk anders?
Ten eerste gebruikt het een zeer gerichte aanval.
Het verstuurt geen algemene e-mail of exploiteert de massa's
niet.
In plaats daarvan wordt er gebruikt gemaakt van het Trojaanse
paard Trickbot om de installatie ervan te starten.
Zodra Trickbot is geïnstalleerd, zullen hackers bepalen of het
bedrijf een goed doelwit is voor Ryuk.
Als dat zo is, kan de malware tot een jaar inactief blijven
voordat het de kwaadaardige infectie initieert.
Voor alle duidelijkheid: Ryuk doet alleen een vervolgaanval op
grotere doelwitten, met een hoge waarschijnlijkheid dat de
losgeldvorderingen worden uitbetaald.
Zij overwegen optimale doelwitten met aanzienlijke geldmiddelen,
die geen significante downtime zullen tolereren.
Het vermijden van Trickbot Infectie
Trickbot is een uitvoerbaar bestand.
De meest effectieve manier om schadelijke uitvoerbare bestanden
te blokkeren is door het gebruik van applicatie whitelisting.
Door een beveiligingsoplossing in te zetten die een whitelist als
primaire methode voor de detectie van malware gebruikt, worden alle
onbekende uitvoerbare bestanden geblokkeerd totdat de beveiliging is
bewezen.
Dit betekent dat zelfs als de Trickbot-codering wordt gewijzigd
om het uitvoerbare bestand zelf te wijzigen, het bestand nog steeds niet
wordt uitgevoerd.
De whitelist zou de nieuwe code blokkeren van het uitvoeren van
de code, ongeacht hoe deze is gewijzigd, omdat het bestand nooit veilig
zal zijn.
Het Ryuk-proces
Het feit dat Ryuk eerder Trickbot als eerste integratiemiddel in een PC
en/of server heeft gebruikt, betekent niet dat dit altijd het geval zal
zijn.
Daarom moeten gebruikers zich bewust zijn van hoe Ryuk zelf
initieert.
Eerst
is er de scripting engine PowerShell, gevolgd door beweging door het
hele netwerk via remote desktop protocol (RDP) poorten. PowerShell is
geen uitvoerbaar bestand, wat betekent dat de beveiligingsoplossing ook
gedragsmatige heuristieken zoals kwaadaardige scriptblokkering moet
bevatten, om het kwaadwillig gebruik van PowerShell te voorkomen.
Zodra een hacker een RDP exploiteert, heeft hij in wezen volledige
toegang tot het netwerk om alles uit te schakelen wat hij wil en om
programma's te installeren die hij wil.
Om RDP-aanvallen tegen te gaan, moeten gebruikers eerst alle ongebruikte
poorten uitschakelen.
Door de poort van het netwerk uit te schakelen, kunnen hackers
geen brute kracht gebruiken om toegang te krijgen. Voor poorten die
aangesloten moeten worden, moeten de juiste controles worden ingesteld
om het risico van uitbuiting te beperken.
Bijvoorbeeld, het automatisch vergrendelen van de poort voor een
vooraf bepaalde tijd als de onjuiste gegevens niet binnen een bepaald
aantal pogingen worden ingevoerd.
Deze controle zelf weerhoudt hackers ervan om het systeem uit te
buiten, omdat ze niet de tijd nemen om te wachten tot de time-out wordt
opgeheven, om nog een handvol gissingen te doen.
Ryuk ransomware heeft grote bedrijven in de VS, het Verenigd Koninkrijk
en Australië geïnfecteerd.
Deze nieuwe variant is gekend om grote profieldoelstellingen met
significante cash flow, en een beperkte capaciteit en bereidheid te
richten om aan significante onderbreking te lijden.
Door gebruik te maken van deze twee factoren, ervaren hackers van
Ryuk een verhoogde kans om betaald te worden om de geïnfecteerde
bestanden te herstellen.
Deze theorie is bewezen, want sinds augustus zijn er 52
bevestigde Ryuk-aanvallen geweest, met een totale uitbetaling van meer
dan 3,7 miljoen dollar.
De
beste manier waarop bedrijven beschermd kunnen blijven is door een
beveiligingsoplossing in te zetten die de volgende kenmerken heeft:
Toepassing
whitelisting als primaire methode voor het opsporen van malware
Schadelijke scriptblokkering voor verschillende scripting engines
zoals
PowerShell,
CScript en WScript
RDP-toegangscontroles
Hoe maak je
een Application Whitelist Policy in Windows
Bescherm
uw computer met Application Whitelisting
In
Windows is het mogelijk om twee verschillende methoden te configureren
die bepalen of een toepassing mag draaien. De eerste methode, bekend als
blacklisting, is wanneer u alle applicaties standaard toestaat om te
draaien, behalve de applicaties die u specifiek niet toestaat. De
andere, en veiligere, methode heet whitelisting, die elke toepassing
standaard blokkeert om te draaien, behalve de toepassingen die u
expliciet toestaat.
Met
de brede verspreiding van computer ransomware en andere
malware-infecties en de hoge kosten van het herstellen ervan, een zeer
sterke computer bescherming methode is whitelisting. Hiermee kunt u alle
programma's standaard blokkeren en vervolgens regels instellen die
specifiek toestaan dat alleen bepaalde programma's worden uitgevoerd.
Hoewel het in eerste instantie eenvoudig in te stellen, kan whitelisting
lastig zijn, omdat u elke keer dat u een nieuw programma installeert of
een programma wilt laten draaien, nieuwe regels moet toevoegen.
Persoonlijk heb ik het gevoel dat als u bereid bent om de tijd en moeite
te steken in het gebruik van whitelisting, de kans op een
computerinfectie die uw computer beschadigt minimaal wordt.
Deze
tutorial zal u door het instellen van whitelisting met behulp van
Software Restriction Policies leiden,
zodat alleen bepaalde toepassingen op uw computer kunnen draaien. Hoewel
deze handleiding is gericht op individuele gebruikers, kan dezelfde
aanpak worden gebruikt in de onderneming door dit beleid naar een
Windows-domein te duwen.