Hoe ransomware evolueert om beveiligingstools te slim af te zijn
Ransomware kan een erg lucratieve business zijn. De kwaadaardige software versleutelt alle bestanden op een computer, waarna er om losgeld wordt gevraagd voor de decryptiesleutel. Met name wanneer cybercriminelen erin slagen bedrijven of andere organisaties te treffen met hun ransomware kunnen ze een grote som geld verdienen.
Gelukkig zitten beveiligingsexperts niet stil. De specialisten onderzoeken de verschillende vormen van ransomware en kunnen in sommige gevallen een gratis sleutel aanbieden. Ook software die voorkomt dat je computer geïnfecteerd raakt, is in omloop. Ransomfree kan je bijvoorbeeld tegen 99 procent van alle ransomware beschermen, waaronder het beruchte Locky.
Locky is ransomware die voor het eerst werd gedetecteerd in februari. De kwaadaardige software is zowel voor grote organisaties als consumenten gevaarlijk en heeft ondertussen verschillende vormen aangenomen. De cybercriminelen achter Locky veranderen en verbeteren de software continu om beveiligingstools te slim af te zijn. Beveiligingsspecialist Forcepoint heeft een overzicht gemaakt van de veranderingen die de ransomware heeft ondergaan op een klein jaar tijd.
[related_article id=”210640″]Kwaadaardige bijlage
Locky wordt sinds februari van dit jaar verspreid via e-mails en exploit kits. De exploit kits Neutrino, RIG en Nuclear bevatten gedurende dit jaar sporadisch vormen van de kwaadaardige software. Het botnet Necurs zit achter de e-mails waarmee cybercriminelen onschuldige mensen proberen overhalen om een kwaadaardige bijlage te openen. Meestal gaat het om een Microsoft Office- of ZIP-bestand waarin een script verstopt zit.
De ransomware maakt gebruik van 128-bit AES-encryptie om de bestanden op een besmette computer razendsnel te versleutelen. De sleutel wordt op zijn beurt met 2048-bit RSA-encryptie beschermd, waarna er voor het slachtoffer niets anders op zit dan de cybercriminelen te betalen om terug aan zijn bestanden te kunnen. Locky vraagt aan zijn slachtoffers om te betalen met anonieme bitcoins (BTC), wat de cybercriminelen helpt om onzichtbaar te blijven voor de politie. Het bedrag varieert tussen een halve en een BTC, wat overeenkomt met zo’n 400 tot 800 dollar.
Detectie Russische computers
Kort nadat Locky voor het eerst werd verspreid, publiceerde Forcepoint een blogpost. In het artikel waarschuwt de beveiligingsspecialist voor de gevaren van de ransomware en wordt het Domain Generation Algorithm (DGA) gepubliceerd. De distributie van Locky werd hierna onmiddellijk gestopt. Een paar dagen later verscheen de ransomware terug online met een aangepaste en verbeterde DGA. De update bevatte eveneens de mogelijkheid om Russische computers te detecteren en niet te encrypteren.
Anti-analyse
Eind mei werd het botnet Necurs offline gehaald. Hierdoor werden er geen e-mails meer uitgestuurd met Locky, waardoor de ransomware voor even geen nieuwe slachtoffers maakte. Op 21 juni kwam de malware echter terug online met enkele nieuwe verbeteringen. De kwaadaardige software bevat sindsdien verschillende manieren om analyses van beveiligingsexperts te omzeilen.
Het kwaadaardige script van Locky is sinds juni geëncrypteerd, waardoor analysetools niet in staat zijn de code te analyseren. Eenmaal het script is gedecrypteerd, vraagt Locky voor input van de gebruiker. Op deze manier wordt voorkomen dat sandboxomgevingen weten hoe ze de executable moeten laten lopen.
Tot slot vergelijkt de malware de snelheid waarmee GetProcessHeap() en CloseHandle() worden uitgevoerd. Op een echte computer is CloseHandle() ongeveer tien keer sneller dan het andere commando. Wanneer je de commando’s op een virtuele machine uitvoert zal GetProcessHeap() echter een stuk trager zijn. Op deze manier weet Locky wanneer het in een VM wordt uitgevoerd en zal het zich koest houden.
Offline encryptie
In juli werd de mogelijkheid om offline bestanden te encrypteren toegevoegd aan Locky. Hierdoor kan de ransomware ook slachtoffers maken wanneer het geen contact heeft met zijn command and control server. In september kwamen er enkele varianten van Locky in omloop waarbij de encryptie altijd offline gebeurde.
In oktober gingen de meest gebruikte versies van Locky echter offline. Andere vormen van de ransomware bleven wel actief, maar in beperkte hoeveelheden. Sinds 24 oktober werpen de belangrijkste versies van de ransomware zich weer volledig in het strijdgewoel. Sinds deze datum maakt Locky wederom gebruik van command and control servers, in plaats van offline encryptie.
Toekomst
Forcepoint verwacht niet dat Locky binnenkort zal verdwijnen. “We verwachten dat de actoren zullen bezig blijven met het verbeteren van de malwarefuncties, manieren van distributie, verwarringstechnieken en anti-analysetrucs,” schrijft de beveiligingsexpert. Gelukkig staan Forcepoint en andere beveiliggingsspecialisten klaar om hun antiransomwaretools eveneens te verbeteren.