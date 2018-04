Cryptojacking is een populair winstgevend mechanisme aan het worden voor criminelen, maar dat betekent niet dat ransomware weer op z'n retour is. Een rapport van Sophos (PDF) leert dat ransomware juist gevaarlijker wordt, omdat criminelen hun doelwitten heel zorgvuldig kiezen. Dat heeft blijkbaar effect, aangezien de omzet van ransomware SamSam - al enige jaren dé ransomware voor gerichte aanvallen - een forse groei heeft doorgemaakt het eerste kwartaal van dit jaar.

Ongepatchte software

De aanvallers maken gebruik van gaten die lang ongepatcht blijven, bijvoorbeeld vanwege een lagere CVSS-score dan een bedrijfsvoeringbedreigend probleem. Beveiligers stellen al heel lang dat de focus te veel ligt op spannende gaten die het nieuws halen en te weinig op de 'kleinere' kwetsbaarheden die daadwerkelijk problemen opleveren.

Lees ook: IT'ers verliezen de patch-race

Cisco becijferde in 2016 dat de gemiddelde tijd tot een kwetsbaarheid wordt gepatcht in een zakelijke omgeving maar liefst 3,5 jaar is. De pijnlijkste EternalBlue-kwetsbaarheden en SSL-gaten als Heartbleed worden het snelst gepacht - en hier gaat in veel gevallen al maanden overheen, zo bleek vorig jaar met het succes van NotPetya enkele maanden na WannaCrypt - maar met vele duizenden CVE's per jaar, blijven er genoeg problemen gedurende lange, lange tijd op de plank liggen.

Ongelijke strijd

Aanvallers jagen op die ongepatchte kwetsbaarheden. Omdat zij maar één gaatje hoeven te vinden en organisaties honderden of duizenden softwarepakketten moeten patchen, is dit een asymmetrische strijd die bijna niet te winnen valt. Veel beveiliging richt zich daarom vaak op exfiltratie van gegevens, laterale beweging en andere killchain-aspecten als de malware eenmaal binnen is.

Met ransomware komt die hulp te laat. Malware als SamSam zorgt er ook nog eens voor onder de radar te blijven voor NG-firewalls en IPS'en door geen contact te leggen met een C&C, maar direct op geïnfecteerde systemen een remote tunnel op te zetten met een tool als reGeorg om filters die exfiltratie opmerken te frustreren. Vervolgens wordt veel werk handmatig verricht, waaronder het versleutelen.

Onder de radar

Het gebrek aan automatisering geeft aan dat de criminelen zich richten op een kleine groep specifieke doelwitten en zorgt er tevens voor dat er minder componenten zijn die kunnen worden opgemerkt door beveiligingsmiddelen. Cisco's Talos schreef eerder dit jaar uitgebreid over de nieuwe obfuscatietechnieken van de malware om zo onzichtbaar mogelijk te blijven, onder meer door eerste systemen te inventariseren en pas als de infrastructuur goed in kaart is gebracht het versleutelingsproces af te trappen met tools als PSEXEC en batch-scripts.

Ransomware is zo wel een minder groot probleem aan het worden voor de gemiddelde consument, mede dankzij succesvolle takedowns en projecten als NoMoreRansom, maar vooral bedrijven die worden aangevallen bevinden zich nog steeds in een lastig pakket. Dat zagen we vorig jaar bijvoorbeeld met WannaCrypt en NotPetya, die zich richtten op bedrijven en waar consumenten (direct) minder last van hadden.

Hierna: Waarom back-ups geen oplossing zijn en het praktijkvoorbeeld deze maand uit Atlanta.