Wat maakt ransomware zo bijzonder?
Als vaste bezoeker van deze website kan het geen nieuws zijn voor u: het internet en alle bedrijven en personen die eraan gekoppeld zijn met een pc of een smartphone zitten diep in de problemen door de monsterlijke opkomst van ransomware. Helemaal sinds cryptoware een stevig percentage van ransomware uitmaakt, is de beer los. Iedereen zal vroeg of laat slachtoffer worden van een stuk malware dat de pc en alle bestanden daarop gijzelt tegen betaling van losgeld. Althans: zo lijkt het. Sinds het I Love You-virus is er in de media niet meer zoveel aandacht geweest voor één bepaald soort malware. Als je niet over verregaande inzichten in de malware-industrie beschikt, zou je geloven dat er vandaag de dag alleen nog maar ransomware is. Malware die iets anders doet, daar hoor of lees je nooit meer iets over.
Als je naar wat statistieken hierover kijkt, kom je al snel tot de conclusie dat ransomware slechts een klein percentage van alle malware in de wereld uitmaakt. In 2015 minder dan 1%. Het lijkt erop dat dat aandeel groeiende is, maar het is zeker dat ‘gewone’ malware nog altijd ruimschoots in de meerderheid is. Toch hebben IT-beheerders bij bedrijven en bij automatiseerders schijnbaar alleen nog maar oog voor ransomware en zijn er veel klachten over het feit dat niet alle ransomware door alle beveiligingsproducten goed wordt tegengehouden.
Verklaring?
Een verklaring voor dit verschijnsel zou kunnen worden gevonden in een hoger besmettingspercentage van ransomware. Maar is dat wel zo? Nee, zeggen de malware-experts. Ransomware maakt gebruik van dezelfde (social engineering) technieken, zwakke plekken en exploits als alle andere malware. Uiteraard bestaat er simpele malware, die gemakkelijk kan worden tegengehouden. Maar er bestaat ook simpele ransomware die gemakkelijk wordt tegengehouden. Veel ransomware is relatief nieuw en maakt gebruik van relatief nieuwe beveiligingslekken, waar veel andere malware relatief oud is en gebruik maakt van oude beveiligingslekken, die relatief vaker al gepatcht zijn. Maar er is ook heel veel nieuwe malware, die gebruik maakt van dezelfde nieuwe beveiligingslekken als ransomware. Daar kunnen we de verklaring dan ook niet vinden.[related_article id=”178712″]
Misschien heeft het te maken met het aantal mensen dat weet dat een infectie heeft plaatsgevonden. Meestal wanneer er een trojaan of keylogger op het bedrijfsnetwerk wordt aangetroffen, weet alleen de systeembeheerder van de infectie af. De meeste malware heeft immers tot doel om eerst ongemerkt kopietjes te maken van alle interessante bestanden op het systeem om die naar het moederschip te sturen en vervolgens zo lang mogelijk onopgemerkt op het netwerk te blijven rondhangen. Dan kan de malware de pc’s van het netwerk inzetten in een botnet, waarmee DDoS-aanvallen kunnen worden gepleegd, waarmee spam kan worden verspreid en waarmee wachtwoorden kunnen worden gekraakt. Hoe langer de malware daar kan blijven zitten, hoe lucratiever de oorspronkelijke tijdsinvestering van het schrijven en verspreiden van de malware.
Het is om die reden dat (succesvolle) malware-infecties nauwelijks opvallen. De medewerkers van een bedrijf zullen er in de regel niets van merken. Dat ligt uiteraard anders bij ransomware. Bij een besmetting met ransomware, kan niemand binnen het bedrijf nog bij zijn bestanden en in de regel kan niemand zijn werkzaamheden nog uitvoeren. De kans dat het nieuws over een dergelijke besmetting uiteindelijk ‘uitlekt’, is uiteraard veel groter.
Sociaal aanvaard
Toch is daarmee het verschijnsel nog niet volledig verklaard. Het meeste nieuws dat openbaar wordt over ransomware-besmettingen, wordt niet zozeer door loslippige medewerkers de wereld ingebracht. Het zijn meestal ook echt de IT-afdelingen die dergelijk nieuws met derden bespreken. Ik denk dat dat te maken heeft met sociale acceptatie.
Het werkt ongeveer zo: je hoort niemand erover dat een bepaalde banktrojaan op een zakelijk netwerk is aangetroffen. Als je als IT Manager ziet dat die banktrojaan op jouw systeem staat, kan dat eigenlijk maar één ding betekenen: je bent laks geweest. Je hebt een bepaalde patch niet op tijd uitgevoerd en nu is die banktrojaan uitgerekend op jouw netwerk binnengekomen. Je concurrenten en mede-ondernemers zijn veel verstandiger, want die hebben geen last van deze banktrojaan. Uit pure schaamte en angst voor een slechte reputatie besluit je de besmetting dood te zwijgen. En zo ondergaat de volgende die een besmetting met die banktrojaan ondergaat, hetzelfde denkproces.
Bij ransomware is deze spiraal doorbroken, wellicht met behulp van minder discrete medewerkers die het nieuws aan de grote klok hebben gehangen. In ieder geval lijkt het nu nog nauwelijks een issue te zijn om ervoor uit te komen dat je netwerk door ransomware is gegijzeld. Er zijn al zoveel voorbeelden van dit soort infecties bij andere bedrijven, dat we ons niet meer de enige sukkel voelen. En dat terwijl er precies dezelfde fouten aan ten grondslag liggen, zoals te late installatie van patches, het niet effectief filteren van e-mailbijlages en onvoldoende informeren van de medewerkers over de gevaren van links in e-mails, valse facturen en zip-files als bijlagen.
Deze blogpost wordt aangeboden door G Data.
