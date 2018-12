Cryptominers blijven komend jaar een probleem voor IT-organisaties, ondanks de huidige koersval van bitcoin en vrijwel alle andere cryptovaluta. Dat komt omdat het voor een crimineel niet veel kost om de infrastructuur 'uit te besteden' en zo vooral winst te pakken. Daarom denken de meeste beveiligers dat cryptojacking helaas geen puur 2018-probleem is. Sterker nog, met de dalende ROI vanwege koersval van cryptovaluta, moeten miners rendabeler worden. De manier om dat te doen? Langer en efficiënter draaien. Wat betekent dat cryptominers geavanceerder zullen worden, vermoedt McAfee's hoofd van beveiligingsonderzoek John Fokker.

Ransomware dood? Was het maar waar...

McAfee-CEO Chris Young wees vorig jaar op de aan elkaar gekoppelde komst van ransomware en opkomst van cryptovaluta. Beveiligingsbedrijf Kaspersky merkte ook vorig jaar op dat bedrijven cryptovaluta kochten om ransomware-verspreiders te kunnen betalen (PDF). De explosieve groei van cryptovaluta vorig jaar heeft daar weinig mee te maken, maar de komst van ransomware lijkt een rol hebben te gespeeld in de voorzichtige 'adoptie' van de betaalmiddelen binnen bedrijven.

Ransomware heeft de afgelopen twee jaar een verschuiving doorgemaakt van een type malware dat met grof hagel op iedereen werd afgevuurd naar vooral een enterprise-probleem. Criminelen waren er snel genoeg achter dat je wel 5000 consumenten-pc's kunt gijzelen, maar áls mensen al over de brug komen met een betaling, zijn dat grijpstuivers vergeleken met het geld dat je kunt opstrijken als je één bedrijf te grazen neemt. Ransomware springt daarom bij het grote publiek misschien minder in het oog dan vroeger, maar is zeker niet verdwenen.

De reden dat ransomware zo goed blijft werken bij organisaties is niet vanwege een gebrek aan back-ups, maar vanwege een afweging wat het kost om een halve dag uit de lucht te zijn versus wat het kost om de crimineel af te betalen. Ransomware is inderdaad aan het teruglopen (mede omdat cryptomining ook effectief is en minder de aandacht opeist van IT-security) maar volgens Kaspersky's recente terugblik is het te vroeg om de dreiging weg te wuiven als iets wat aan het verdwijnen is.

Miner betekent ten minste één gat

De overgang van ransomware naar cryptominers klinkt als een zucht van verlichting voor IT'ers - een ransomware-incident is immers erg disruptief - maar beveiligers waarschuwen dat dit een verkeerde inschatting is. "IT'ers zien het vaker als digitale overlast dan een groot security-incident", zegt Young. Hij wijst erop dat een cryptominer betekent dat er een kwetsbaarheid benut is in het systeem, dus het is sowieso al raadzaam actie te ondernemen. Daarnaast gaat de belasting van hardware-resources door deze ongenode software ten koste van wat beschikbaar is voor daadwerkelijk personeel en leiden cryptominers op die manier tot productiviteitsverlies.

En als laatste betekent een ingang voor zulke, in het beste geval, ongewenste software. Maar malware komt vrij zelden alleen, zoals je bijvoorbeeld zag ten tijde van het Dorifel-incident bij Nederlandse gemeenten. Onverlaten bleven toen maar malware-varianten afleveren via in een Citadel-botnet veroverde systemen.

Of, in de woorden van de Cyber Threat Alliance (CTA) afgelopen zomer (PDF): "Hoewel het stelen van kloktikken om geld te verdienen relatief goedaardig klinkt in vergelijking met incidenten die data versleutelen, intellectueel eigendom stelen of belangrijke functies van kritieke infrastructuur verstoren, is dit een dreiging die beveiligingsleveranciers en netwerkbeveiligers samen moeten aanpakken om de hele securitysector te verbeteren."

De CTA - een samenwerkingsverband van diverse securityspecialisten, waaronder Rapid7, McAfee, Talos en Symantec - heeft een aantal tips opgesomd voor informatiebeveiligers om te monitoren op cryptominers en zo gaten in de beveiligingshouding van de organisatie op te pikken (zie kader).

De tips van verschillende beveiligingsdeskundigen en -leveranciers die we het afgelopen jaar hebben opgepikt voor het gemak hier nogmaals bij elkaar verzameld: Monitor het netwerk op ongebruikelijke activiteiten. Dat is makkelijker gezegd dan gedaan, omdat bijvoorbeeld cryptominers enkel netwerkcontact nodig hebben bij het synchroniseren van de keten of wanneer een hash is uitgerekend. Denk ook aan tools die kijken naar tijd en locatie van netwerkgebruikers bekijkt om te zien of er mogelijk iets niet klopt. Negen van de tien keer is een inlog vanuit China om 3 uur 's nachts niet in de haak.

Monitor de machines in de serverruimte zelf op hoger gebruik van rekenkracht, maar denk daarbij ook aan indirecte signalen als een hoger energieverbruik of stijgende temperaturen in de MER.

Zet cloudtools in die nieuwe cloudresources opmerkt zodra ze worden aangemaakt, kijkt welke applicaties daarop draaien en toepasselijke policy's afdwingt. Op deze manier merkte Tesla zijn Kubernetes-lek direct op toen aanvallers toesloegen.

Loop de rechten van rollen, resources en gebruikers nog eens na en wees streng , zoals IDG-collega Roger Grimes adviseert. Volledige adminrechten zijn (vrijwel) niet nodig, en zeker niet permanent.

Monitor processen op zoek naar sleutelwoorden die wijzen op cryptominende activiteiten, bijvoorbeeld "xmr," "MinerD," "cpuminer," "kworker," "mshelper," "-zpool," "-zpsw," "-zwal," "-farm-recheck," "-ewal," "-epool," "-esw," "-nofee", "stratum+tcp," "-max-cpu-usage=," "-donate-level=," "cgminer", zo meldt de CTA.

Beveilig ook de endpoints , waar aanvallers meestal hun eerste stap de IT-omgeving inzetten, met scriptblokkerende tools voor browsers, eventuele AV en meer beproefde technieken om pc's te beveiligen.

Kaspersky stelt overigens in zijn rapport dat de cryptovaluta-markt de dagen van enorme stijgingen achter de rug heeft en als betalingsmiddel aan relevantie inboet. "Geconfronteerd met hoge commissies, lage overdrachtssnelheid, hoge prijs voor integratie en, het belangrijkst, een klein aantal klanten is het nut als betaalmiddel gestaag gedaald. Uiteindelijk is het gebruik van cryptovaluta voor een legitiem bedrijf simpelweg niet zo logisch", zo staat te lezen in het voorspellingenrapport van het beveiligingsbedrijf.

Russisch roulette

Maar dat betekent dus geen afname van cryptojacking. Op McAfee-congres MPOWER in Rome afgelopen donderdag viel het woord 'cryptojacking' regelmatig. CTO Raj Samani en collega Fokker hebben dit jaar voor hun 2019-voorspellingen vooral gekeken naar hoe de markt aan het veranderen is en minder naar specifieke voorbeelden en gevaren die optreden. Cryptominers worden in de nieuwe trendanalyse niet specifiek genoemd, maar 'miners' en 'cryptojacking' worden vaak genoemd op het beveiligingsevenement.

In het verleden zat McAfee goed met voorspellingen waar anderen de mist in gingen, bijvoorbeeld met de voorspelling twee jaar geleden dat de hoeveelheid ransomware zou dalen, terwijl de meeste andere beveiligers aangaven dat het alleen maar verder zou toenemen. Maar Samani gaf aan dat het bedrijf er niet zo goed naast had kunnen zitten. "Het is vergelijkbaar met Russisch roulette: je weet nooit zeker welke een probleem gaat worden", aldus Samani. "Dus we proberen het dit jaar iets anders te bekijken en kijken naar hoe het veld van de aanvaller aan het veranderen is."

Van phishing naar miner/ransomware

Fokker en Samani sommen een aantal beveiligingsuitdagingen op in dit rapport, maar in deze cryptominer-context is het koppelen van verschillende aanvallen een interessante. Een voorbeeld geeft Samani later op het podium van het congres aan de hand van de aanval op de Olympische Spelen die eerder dit jaar werden gehouden. In eerste instantie leek dit te gaan om een phishing-aanval, zoals je vaker ziet bij grote evenementen. Dat is voor sociaal engineers een mooie aanleiding om geïnteresseerde gebruikers een onverstandige klik te laten maken.

Deze aanval maakte gebruik van een wat de CTO omschrijft als innovatieve techniek, omdat het meerdere elementen koppelt tot een 'superaanval'. Het eerste wat gebruikers zagen was een embedded video die een update van een codec vereiste als je hem probeerde af te spelen. Met die update werd een gifje op het systeem geplaatst en die maakte gebruik van steganografie om data te verbergen in de afbeelding. Nog een element was dat een bestandsloze aanval werd uitgevoerd: een script bepaalde aan de hand van de beschikbare resources of een cryptominer moest worden geïnstalleerd of dat het systeem vergrendeld zou worden met ransomware.

Afzonderlijk zijn deze tactieken niet nieuw, maar bij elkaar zijn ze een illustratie dat criminelen strategieën combineren om de effectiviteit van hun aanval te vergroten. "Deze aanval roept veel vragen op: waar heb je mee te maken? Is het phishing 2.0? Is het stegware? Is het fileless? Cryptojacking? Ransomware? Het is alles tegelijkertijd", zo staat te lezen in het rapport van McAfee Labs.

Geavanceerdere cryptominende malware

De koers van cryptovaluta, die nog steeds grotendeels qua prijs gekoppeld zijn aan het lot van Bitcoin, maakt momenteel een dal door. Dat betekent dat minen minder waardevol is en dat heeft ook zijn uitwerking op cryptojacking, vertelt Fokker aan Computerworld. "De sofisticatie neemt toe. We zien bijvoorbeeld malware die aan de hand van de beschikbare hardware bepaalt welke actie wordt uitgevoerd", zegt Fokker en hij verwijst daarbij naar WebCobra ter illustratie.

Deze malware voert een analyse uit van het systeem om te bepalen of de Zcash-miner moet worden binnengehaald. Zoals we inmiddels gewend zijn van malware voert het eerst een scan uit om te zien of de kust veilig is en er geen tools draaien die wijzen op detectiemiddelen of gevirtualiseerde resources. Fokker verwacht dat miners een stapje verder gaan en bijvoorbeeld zelfs selecteert welke cryptovaluta moet worden gemined, gebaseerd op de beschikbare resources van het veroverde systeem en de koers op dat moment van verschillende munten.

PUP?

De scheidslijn tussen een Potentially Unwanted Program (PUP) en malware is erg dun als het gaat om cryptominers, waardoor sommige beveiligingsproducten ze eerder markeren als ongewenste software dan als malware. Volgens Fokker kijk je naar waar de software voor is ontworpen en wat het effect van de toepassing is. "Een miningprogramma dat een stukje van de CPU gebruikt zou je eerder als PUP omschrijven en iets dat de volle CPU gebruikt zou je omschrijven als malware", zegt hij bijvoorbeeld.

PUP of malware: uiteindelijk zorgen ongeautoriseerd geplaatste applicaties voor ieder systeem kleine problemen die allemaal iets zeggen over de bredere securityhouding en beveiliging van het netwerk. "Het is death by a thousand paper cuts."