Samsam ransomware: dokken zonder klikken

Samsam ransomware: dokken zonder klikken

DearBytesBlogSamsam ransomware: dokken zonder klikken

Dollars Samsam ransomwareBinnen zonder kloppen, maar dan anders: een recente variant op ransomware verspreidt zich zonder dat het slachtoffer een link hoeft aan te klikken of een e-mail hoeft te openen. Cisco beschrijft de zogenaamde Samsam ransomware, die een netwerk binnendringt via kwetsbaarheden in software, en vervolgens het slachtoffer dwingt om het betalen. Ofwel: dokken zonder klikken.

Samsam ransomware verspreiding

In Amerika zijn diverse ziekenhuizen getroffen door Samsam ransomware. En inmiddels richt het zich ook op scholen, overheden en andere soorten organisaties. De aanvallers misbruiken met name verouderde versies van JBoss, een veelgebruikt softwareonderdeel voor servers. Eenmaal binnen verspreidt de aanval zich naar andere systemen en zet data op slot. De data kan alleen tegen betaling van een losgeldsom van de aanvallers teruggekregen worden.

Het is inderdaad nieuw dat ransomware zich op deze manier verspreidt. Normaliter verlopen aanvallen van ransomware via e-mailbijlagen of websites en worden gebruikers vooral aangepakt door middel van social engineering. Maar dit soort koppen geven ten onrechte de indruk dat er iets volstrekt nieuws gebeurt met de Samsam ransomware-aanvallen: “Ransomware cyber-hack can install without clicking on infected link” (sowieso: Cyber-Hack? …). In algemene zin is het namelijk helemaal niet zo nieuw dat malware zich verspreidt via softwarelekken. Integendeel.

Een stukje malwarehistorie

Beruchte malwarevarianten als Conficker, Blaster, Sasser en SQL Slammer deden niet anders. Ze sprongen in razend tempo van computer naar computer en verspreidden zich zo binnen korte tijd over de hele wereld. Het record is in handen van SQL Slammer, dat maar liefst 75.000 computers infecteerde in 10 minuten. Dat gebeurde via een lek in Microsoft MSDE, waar allang een patch voor beschikbaar was, maar die patch werd blijkbaar slecht toegepast door gebruikers. Dit speelde zich af in 2003.

Sindsdien zijn er twee dingen veranderd, die ook aanvalsmethodieken hebben beïnvloed:

  • Aanvallen zijn geen hobbyprojectjes meer, maar een vorm van georganiseerde misdaad.
  • Beveiligingstechnieken zijn verbeterd.

SQL Slammer en de andere varianten in die tijd hadden vaak niet echt een duidelijk doel, anders dan zich gewoon heel snel verspreiden. Hooguit had de aanvaller tot doel een botnet te creëren, maar toch: malware aanvallen waren in die tijd vaak nog hobbyprojectjes. Dat de malware gedetecteerd werd, was dan ook niet zo belangrijk. Dit soort malware die zich snel verspreidt, noemen we ‘worm’. Destijds waren wormen de meest voorkomende succesvolle malwarecampagnes.

Geld stelen met malware

Toen malware in handen begon te komen van criminelen, veranderde natuurlijk ook het doel: er moest geld verdiend worden met de malware! Dus ging men op zoek naar waardevolle data om te stelen, vooral creditcardnummers, banktransacties en identiteiten. Maar om dat soort data te verzamelen, kan de malware het beste zo lang mogelijk onopgemerkt blijven. En met verbeterende beveiligingstechnieken werd de kans steeds groter dat een zichzelf verspreidende worm opgemerkt zou worden. Dus nestelde de malware zich stilletjes op een computer en wachtte rustig af tot er interessante data voorbij kwamen. Meestal werd de malware verpakt in een ogenschijnlijk ongevaarlijk ander programmaatje, en werden gebruikers verleid om het bestand uit te voeren onder valse voorwendselen: “Open deze factuur”, “Hier, een ingescande fax”, “foto.jpg.exe”, enzovoorts. Een gebruiker wordt immers liefst niet argwanend, ook niet nádat hij een stuk malware heeft uitgevoerd. Dit soort malware wordt ‘Trojaans paard’ of kortweg ‘trojan’ genoemd. Vooral ‘banking trojans’, die internetbankieren manipuleerden, waren succesvol. Carberp, Citadel, SpyEye en vooral Zeus zijn voorbeelden hiervan.

Verandering verdienmodel malware

Tijden veranderden weer en het stelen van geld werd lastiger, met name omdat banken hun beveiliging hebben versterkt en men heeft geleerd om verdachte patronen in transacties te herkennen. Verder zijn politiediensten zich gaan richten op de zogenaamde ‘geldezels’: mensen die frauduleus overgeboekt geld uiteindelijk uit een pinautomaat halen, waarna de aanval pas echt af is. Maar deze mensen zijn redelijk goed te traceren: straten hangen vol met beveiligingscamera’s, ook bij pinautomaten.

Dus zijn malwaremakers hun verdienmodel gaan herzien. In plaats van geld van banken te stelen, zijn ze zich gaan richten op de gebruiker van de geïnfecteerde computer. Door de computer op slot te zetten en losgeld te eisen worden, vergeleken met de banking trojans, veel riskante stappen overgeslagen. In de praktijk zijn er dan ook enorm succesvolle ransomware-campagnes geweest.

En met Samsam ransomware is de cirkel rond: het verdienmodel van ransomware, gecombineerd met verspreidingstechnieken van een worm. De Samsam ransomware werkt zo, dat als het wordt gestart zo ontzettend snel tot die onkraakbare encryptie leidt dat detectie van de aanval net als in de vroegere tijd van wormen niet meer zoveel uitmaakt. En deze ontwikkeling was misschien voorspelbaar, maar is daarom niet minder zorgelijk. Want de beveiliging van organisaties zit vaak nog vol met gaten, en de kans is groot dat dit malware zoals ransomware komende jaren enorm succesvol gaat worden.

Hoe te beveiligen tegen ransomware?

Welnu, dan kunnen we dus ook weer die oude adviezen van de plank halen. DearBytes gelooft in een drie-eenheid van beveiligingstechnieken die minimaal nodig is als basis voor beveiliging tegen malwaredreigingen. Wij noemen dit ook wel de ‘cyberfundering’:

  • Vulnerability & Patch Management – Weten wat je hebt en wat je kwetsbaarheden zijn, en deze kwetsbaarheden wegnemen voordat het te laat is.
  • Intrusion Prevention (IPS) – Misbruik van lekken herkennen en voorkomen, zodat het niet erg is dat bepaalde patches niet onmiddellijk kunnen worden toegepast.
  • Security Information and Event Management (SIEM) – Centrale console van waaruit het geheel aan beveiligingsmaatregelen en de logging kan worden overzien ten behoeve van realtime monitoring.

Met deze onderlaag aan maatregelen creëert u inzicht en krijgt u beveiliging onder controle. Vervolgens kunnen goed onderbouwde en afgewogen beslissingen genomen worden over aanvullende technologieën.

DearBytes heeft ruime ervaring met het ontwerpen, implementeren én beheren van dit soort oplossingen.