Home 

ICT opleiding

Nieuwste Ransomware zoekt slachtoffers met de diepste zakken.



Ransomware en hackers tegenhouden met whitelisting
'Het omgekeerde van blacklisting.
Niet proberen te blokkeren wat niet mag, maar alles blokkeren, en aangeven wat wél mag.

Ryuk, 

de nieuwste ransomware-variant ,die de wereld stormachtig heeft veroverd, richt zich op slachtoffers die flinke bedragen op hun banktegoed hebben staan.
Dit is dezelfde ransomwarestam die in december 2018 Tribune Publishing trof, waardoor de distributie van meerdere grote kranten, zoals de L.A. Times en Chicago Tribune, tot stilstand kwam.  Dit is slechts één voorbeeld van de 52 verschillende bevestigde Ryuk ransomware-aanvallen die sinds augustus 2018 hebben plaatsgevonden. Sinds de kwaadaardige variant actief is, is er al 3,7 miljoen dollar betaald aan de Ryuk hackers 

Hoe is Ryuk anders?

Ten eerste gebruikt het een zeer gerichte aanval.  Het verstuurt geen algemene e-mail of exploiteert de massa's niet. In plaats daarvan wordt er gebruikt gemaakt van het Trojaanse paard Trickbot om de installatie ervan te starten. Zodra Trickbot is geïnstalleerd, zullen hackers bepalen of het bedrijf een goed doelwit is voor Ryuk. Als dat zo is, kan de malware tot een jaar inactief blijven voordat het de kwaadaardige infectie initieert. Voor alle duidelijkheid: Ryuk doet alleen een vervolgaanval op grotere doelwitten, met een hoge waarschijnlijkheid dat de losgeldvorderingen worden uitbetaald. Zij overwegen optimale doelwitten met aanzienlijke geldmiddelen, die geen significante downtime zullen tolereren.

Het vermijden van Trickbot Infectie

Trickbot is een uitvoerbaar bestand. De meest effectieve manier om schadelijke uitvoerbare bestanden te blokkeren is door het gebruik van applicatie whitelisting. Door een beveiligingsoplossing in te zetten die een whitelist als primaire methode voor de detectie van malware gebruikt, worden alle onbekende uitvoerbare bestanden geblokkeerd totdat de beveiliging is bewezen. Dit betekent dat zelfs als de Trickbot-codering wordt gewijzigd om het uitvoerbare bestand zelf te wijzigen, het bestand nog steeds niet wordt uitgevoerd. De whitelist zou de nieuwe code blokkeren van het uitvoeren van de code, ongeacht hoe deze is gewijzigd, omdat het bestand nooit veilig zal zijn.

Het Ryuk-proces

Het feit dat Ryuk eerder Trickbot als eerste integratiemiddel in een PC en/of server heeft gebruikt, betekent niet dat dit altijd het geval zal zijn.  
Daarom moeten gebruikers zich bewust zijn van hoe Ryuk zelf initieert.

Eerst is er de scripting engine PowerShell, gevolgd door beweging door het hele netwerk via remote desktop protocol (RDP) poorten. PowerShell is geen uitvoerbaar bestand, wat betekent dat de beveiligingsoplossing ook gedragsmatige heuristieken zoals kwaadaardige scriptblokkering moet bevatten, om het kwaadwillig gebruik van PowerShell te voorkomen.

Zodra een hacker een RDP exploiteert, heeft hij in wezen volledige toegang tot het netwerk om alles uit te schakelen wat hij wil en om programma's te installeren die hij wil.  
Om RDP-aanvallen tegen te gaan, moeten gebruikers eerst alle ongebruikte poorten uitschakelen.  Door de poort van het netwerk uit te schakelen, kunnen hackers geen brute kracht gebruiken om toegang te krijgen. Voor poorten die aangesloten moeten worden, moeten de juiste controles worden ingesteld om het risico van uitbuiting te beperken.  Bijvoorbeeld, het automatisch vergrendelen van de poort voor een vooraf bepaalde tijd als de onjuiste gegevens niet binnen een bepaald aantal pogingen worden ingevoerd. Deze controle zelf weerhoudt hackers ervan om het systeem uit te buiten, omdat ze niet de tijd nemen om te wachten tot de time-out wordt opgeheven, om nog een handvol gissingen te doen.

Ryuk ransomware heeft grote bedrijven in de VS, het Verenigd Koninkrijk en Australië geïnfecteerd. Deze nieuwe variant is gekend om grote profieldoelstellingen met significante cash flow, en een beperkte capaciteit en bereidheid te richten om aan significante onderbreking te lijden. Door gebruik te maken van deze twee factoren, ervaren hackers van Ryuk een verhoogde kans om betaald te worden om de geïnfecteerde bestanden te herstellen. Deze theorie is bewezen, want sinds augustus zijn er 52 bevestigde Ryuk-aanvallen geweest, met een totale uitbetaling van meer dan 3,7 miljoen dollar.

De beste manier waarop bedrijven beschermd kunnen blijven is door een beveiligingsoplossing in te zetten die de volgende kenmerken heeft:

Toepassing whitelisting als primaire methode voor het opsporen van malware
Schadelijke scriptblokkering voor verschillende scripting engines zoals 
PowerShell, 
CScript en WScript
RDP-toegangscontroles

Hoe maak je een Application Whitelist Policy in Windows

Bescherm uw computer met Application Whitelisting

In Windows is het mogelijk om twee verschillende methoden te configureren die bepalen of een toepassing mag draaien. De eerste methode, bekend als blacklisting, is wanneer u alle applicaties standaard toestaat om te draaien, behalve de applicaties die u specifiek niet toestaat. De andere, en veiligere, methode heet whitelisting, die elke toepassing standaard blokkeert om te draaien, behalve de toepassingen die u expliciet toestaat.

Met de brede verspreiding van computer ransomware en andere malware-infecties en de hoge kosten van het herstellen ervan, een zeer sterke computer bescherming methode is whitelisting. Hiermee kunt u alle programma's standaard blokkeren en vervolgens regels instellen die specifiek toestaan dat alleen bepaalde programma's worden uitgevoerd.

Hoewel het in eerste instantie eenvoudig in te stellen, kan whitelisting lastig zijn, omdat u elke keer dat u een nieuw programma installeert of een programma wilt laten draaien, nieuwe regels moet toevoegen. Persoonlijk heb ik het gevoel dat als u bereid bent om de tijd en moeite te steken in het gebruik van whitelisting, de kans op een computerinfectie die uw computer beschadigt minimaal wordt.

Deze tutorial zal u door het instellen van whitelisting met behulp van Software Restriction Policies leiden, zodat alleen bepaalde toepassingen op uw computer kunnen draaien. Hoewel deze handleiding is gericht op individuele gebruikers, kan dezelfde aanpak worden gebruikt in de onderneming door dit beleid naar een Windows-domein te duwen.