Ransomware op “ambachtelijke wijze”

De media staan er regelmatig vol mee: berichten over “ransomware”. Met name de grote uitbraken of de uitbraken die veel impact hadden zijn veelvuldig beschreven, zoals recent de varianten van “Wannacry”. Over het algemeen ging het om vrij geavanceerde, maar in de meeste gevallen “geautomatiseerde” besmettingen. Met een virus dat als doel heeft zich te verspreiden komt men binnen en worden bestanden versleuteld, waarna geld wordt gevraagd om de “sleutel” vrij te geven. Dat is het enige verdienmodel van de criminelen die achter deze vorm van afpersing zitten. De betaling moet vaak in Bitcoins worden gedaan, omdat daardoor de persoon achter de “rekening” bijna niet te traceren is. Door grootschalige besmettingen te veroorzaken schieten de daders met hagel; als er maar één procent van de slachtoffers betaalt is het misschien al de moeite waard. Sporen wijzen vaak naar Oost-Europa, Oekraïne en andere landen waar je met een paar Bitcoins een luxe leven kunt leiden. De opsporing en vervolging in die landen is vaak ook nog niet goed op orde. Men waant zich onaantastbaar.

Besmetting voorkomen is nooit honderd procent mogelijk. Er zijn altijd risico’s, zoals lekken in software of naïef gedrag van gebruikers. Een besmetting overleven is gelukkig wel mogelijk, want als alle bestanden en administraties van een bedrijf versleuteld zijn en daarmee ontoegankelijk ligt de boel stil. De kans om dat als bedrijf te overleven is niet heel groot; een groot incident leidt al snel tot onherstelbare reputatieschade en verminderde dienstverlening en klanten vinden de concurrent dan snel. De belangrijkste maatregelen bestaan uit een combinatie van bewustwording, regelmatig software updates uitvoeren en niet in de laatste plaats een goede backup discipline. Als het kwaad geschied is rest alleen het terugzetten van onaangetaste bestanden, want ga er niet van uit dat betaling van een paar Bitcoins ook leidt tot het verstrekken van de sleutel en als dat al gebeurt dan is dat precies hetgeen dat dit fenomeen in stand houdt: het verdienmodel!

Recent praktijkgeval

Helaas kunnen wij als specialist over een recent geval bij één van onze klanten mee praten. Dit was een heel bijzondere vorm van ransomware en dat is ook de reden dat we dit verhaal delen.

In het weekend van Hemelvaartsdag werd onze klant getroffen; op de maandag na dit weekend bleken alle bestanden op de server (600 GB!!) versleuteld en onbruikbaar. Terwijl de ene consultant zich bij de klant bezig hield met corrigerende maatregelen was de andere bezig met wat wij gemakshalve maar “forensisch onderzoek” noemen. Het heeft namelijk geen zin om een backup terug te zetten als je niet exact weet wat er gebeurd is en zekerheid hebt dat de besmetting succesvol is bestreden. Anders staan we er na een paar dagen weer en dat is niet heel efficiënt. De collega die zich met het onderzoek bezig hield kon in ruim een dag zoeken geen enkele besmetting vinden en ook de gebruikte versleuteling werd door diverse specialisten niet herkend. Dit leek derhalve een exotisch geval van ransomware met telkens in het achterhoofd de vrees dat de besmetting onopgemerkt, maar nog altijd aanwezig was. Dat de klant op een tijdbom zit.

Totdat in de loop van dinsdagochtend contact met de boekhouder plaatsvond die op vrijdag na Hemelvaartsdag nog was ingelogd om wat op te zoeken voor de accountant. Deze man vertelde na hiernaar gevraagd te zijn dat hem wel wat was opgevallen, namelijk dat het toetsenbord vreemd deed en er een Oekraïns toetsenbord actief was. Door dit aan te passen kon hij weer gewoon werken. Dat deed hij blijkbaar op afstand via een “Remote Desktop” sessie die via Internet bereikbaar was en waarmee hij een Windows computer op kantoor op afstand bediende. Met deze nieuwe informatie richtte het onderzoek zich specifiek op deze werkplek en bleek al snel de “modus operandi”.

De dader had zich de moeite getroost de versleuteling van bestanden volledig handmatig te doen, zo was al snel de conclusie. Door aanvallen op de “Remote Desktop” of op andere wijze heeft de dader het wachtwoord en de gebruikersnaam van de boekhouder bemachtigd en zich met deze gegevens toegang verschaft. Mogelijk had de dader zoveel vertrouwen dat hij/zij de computer volledig controleerde dat niet eens een besmetting nodig was, maar een simpel programma om de bestanden te versleutelen volstond.

De dader ruimt ook graag de gemaakte rommel op, zo bleek als snel. Er werd namelijk op zaterdagochtend weer ingelogd en de dader heeft toen zijn of haar best gedaan alle sporen te verwijderen. Volume Shadow Service, waarmee Windows zelf een beperkte vorm van “backups” maakt werd uitgeschakeld en de gebeurtenislogboeken werden gewist. Dat er geen besmetting werd aangetroffen was hiermee ook verklaard, evenals het feit dat de versleuteling niet herkend werd. Want als dit allemaal handwerk was komt het niet wijdverspreid voor of niet in exact dezelfde vorm. De dader kan iedere keer voor een iets andere versleuteling kiezen.

Ons geluk was dat de dader onvoldoende kennis van Windows of van de Nederlandse versie heeft en één belangrijk gebeurtenislogboek over het hoofd zag. Hieruit konden wij de aanvallen op de Internetverbinding herleiden en ook zien wanneer onder het account van de boekhouder succesvol was ingelogd.

Bedrijf gered

Gelukkig kon de klant op woensdag alle kernactiviteiten hervatten en werden de ontbrekende functies in de loop van de week hersteld. Deze klant is door het oog van de naald gekropen, dankzij een goede backup. Eén die zich ook probleemloos liet terugzetten, want hoe vaak wordt dat in de praktijk daadwerkelijk getest?

Het mag duidelijk zijn dat werken op afstand met deze ervaring en op de gehanteerde wijze nadrukkelijk verboden is. Technisch hebben wij deze mogelijkheid inmiddels ook geblokkeerd. Samen met de klant werken wij inmiddels aan een beveilligingsplan waar een goede balans tussen technische hulpmiddelen en bewustzijn bij medewerkers van vitaal belang is.

 

Wilt u meer weten over hoe u zich wapent tegen deze en andere bedreigingen dan bent u bij ngage aan het juiste adres. Neemt u dan contact met ons op via sales@ngage.nl of telefonisch op 010 – 478  22 28

Nieuwsoverzicht | Geen categorie