Ransomware: nu ook voor uw Linux Webserver

Ransomware: nu ook voor uw Linux Webserver

DearBytesBlogRansomware: nu ook voor uw Linux Webserver

dinsdag 10 november 2015

Het was niet geheel een verrassing om te lezen dat Dr. Web een variant van ransomware (Linux.Encoder.1) heeft aangetroffen op Linux machines die dienst doen als webserver. Tenslotte: ransomware blijkt een bijzonder lucratieve manier te zijn voor cybercriminelen om geld te verdienen aan hun praktijken. Uit het onderzoek naar Cryptowall versie 3 blijkt bijvoorbeeld dat de criminelen daarachter in 2 maanden tijd $325 miljoen dollar hebben verdiend. Dus waarom de inspanningen beperken tot op Windows gebaseerde computers? De kunst is om het slachtoffer te pakken waar het pijn doet, zodat diegene bereid is om de losgeldsom te betalen. Is een website, met misschien wel een publieke functie, dan een logisch doelwit? Eh: ja dus.

Nu hebben we het hier over 1 variant, en gelukkig blijkt deze ook nog eens een zwakte te bevatten. Door die zwakte was het voor Bitdefender mogelijk een decrypter tool te maken. Het lijkt dus deze keer redelijk met een sisser af te lopen, maar dat biedt zeker geen garanties voor de toekomst. En mijn voorspelling is dat we die uitbreiding van de ransomware dreiging naar andere platformen in 2016 in rap tempo zullen waarnemen. Goed dus om ons hierop voor te bereiden.

Doelwitten van Linux Ransomware

1. Websites

Het meest voor de hand liggend doelwit met significante impact bij deze nieuwe dreiging, is de website. Stel voor dat de publieke website op zwart gaat en u gedwongen wordt losgeld te betalen om hem weer vrij te geven. Dat is een heel ander verhaal dan een “gewone” computer die versleuteld wordt toch? Misschien leeft u wel van uw website, of anders is alleen de openbaarheid van zo’n scenario iets dat u liever wilt vermijden.

2. Internet-of-Things (IoT)

Ik zie daarnaast ook nog een ander risico. Want ook “slimme” apparaten zoals bedoeld worden met het “Internet-of-Things” (IoT) werken vaak op Linux en bevatten een webserver. Het is allerminst uitgesloten dat een dreiging als deze, al dan niet bedoeld, ook dat soort apparatuur zal raken. Ter illustratie heb ik even een scan in mijn thuisnetwerk gedaan, en trof daar de volgende apparatuur die draait op Linux:

  1. Synology NAS
  2. WiFi Routers
  3. Sonos audiosysteem

Nummer 1 en 2 zijn ook voorzien van een webserver en als zodanig benaderbaar. Er zijn ook apparaten in mijn netwerk waarvan op afstand niet is vast te stellen welk operating system erop draait. Dat geldt voor bijvoorbeeld mijn televisie en alarmsysteem. Blijven die daardoor immuun voor dit soort aanvallen? Dat denk ik niet.

Bescherming tegen Linux Ransomware

Dus wat moeten we nu doen om ons tegen deze nieuwe dreiging te beschermen? De oplossing is tweeledig.

1. Hardening & Whitelisting

Het verdient altijd de aanbeveling om overbodige processen en diensten op een computer uit te schakelen. Dat is in essentie wat bedoeld wordt met “hardening”. Dit is ook 1 van de adviezen die het Nationaal Cyber Security Centrum (NCSC) heeft opgenomen in haar richtlijnen voor beveiliging van webapplicaties (PDF). Het is nogal een lijvig document, maar wel compleet en het bestuderen waard.

NIST.SP.800-167Een specifieke en robuuste maatregel tegen ransomware is daarnaast Application Whitelisting. Dit is techniek waarmee u bepaald welke applicaties op een computer mogen starten, waardoor u simpelweg blokkeert dat een nieuwe applicatie (zoals ransomware) actief kan worden. Zeer effectief en juist voor apparatuur die weinig verandert een prima middel. Het National Institute for Standards and Technology (NIST) heeft toevallig onlangs een publicatie gedaan die erg handig is bij de inzet van whitelisting: Guide to Application Whitelisting (PDF).

Wij werken met McAfee Application Control van Intel Security voor dit doeleinde en dat product wordt ook ondersteund op diverse Linux varianten. Een combinatie van maatregelen die Intel Security voorstelt voor de beveiliging van webservers, vindt u in de Technology Blueprint: Protecting Webservers (PDF). DearBytes kan ook het beheer hiervan voor u verzorgen in een managed service. Neem contact op voor de mogelijkheden.

2. Netwerk Segmentatie

forescout_blogHet verdient de aanbeveling om apparatuur met een bepaald productdoeleinde in een afgebakend deel van het netwerk te plaatsen. Dat noemen we netwerksegmentatie. Dit wordt nog belangrijker, als u apparatuur heeft die wel kwetsbaar is, maar waarop u niet zomaar van alles kan of mag installeren. Als voorbeeld het Sonos audiosysteem dat ik noemde: ik kan daarop geen application whitelisting installeren. Dus kan de apparatuur op een bepaald moment kwetsbaar blijken voor misbruik en is het dus raadzaam het op een plek te zetten waar kwaadwillenden er niet bij kunnen: een apart segment dus. In een thuissituatie is dat wellicht nog wat ingewikkeld te realiseren, maar in bedrijfsnetwerken zijn doorgaans redelijk eenvoudig subnetwerken aan te leggen.

Een oplossing die kan helpen om de juiste systemen aan het juiste subnetwerk toe te voegen, is Network Access Control (NAC). En een concrete oplossing waar DearBytes mee werkt op dit vlak is ForeScout CounterAct. Ook deze oplossing kan door DearBytes worden beheerd in een managed service. Neem wederom contact op voor de mogelijkheden.