We kunnen er moeilijk omheen; digitale afpersing gebeurt dagelijks rondom ons en wordt in de toekomst alleen maar kritieker. Het is de nieuwe manier van geld verdienen dat massaal wordt omarmd door cybercriminelen wereldwijd. Massa-aanvallen worden vervangen door specifieke targets, om zo veel geld te verdienen.
Om dit type van problemen aan te kunnen pakken, moet je meer doen dan enkel een antivirus inschakelen en hopen dat het goed gaat. Elk securitybedrijf moet het geweer van schouder veranderen. We spreken daarover met David Sancho, Senior Threat Researcher bij Trend Micro. Hij is lid van het Forward Threat Research (FTR) Team binnen het securitybedrijf, een aparte cel dat zich enkel bezighoudt met de ondergrond, evolutie van cybercriminelen, alle tendensen, trial-attacks en de toekomst van malware. Een hele mond vol.
Afpersing
Digitale afpersing is een nieuwe manier van geld verdienen bij criminele activiteiten. Ransomware vandaag de dag kan je pc blokkeren, bestanden versleutelen en bitcoins vragen voor de encryptiesleutel. Wanneer dit voorvalt, is het ergste al gebeurd. Het is de bedoeling om vooraf te weten wanneer een besmetting gebeurt. Maar iemand moet altijd wel de eerste zijn.
David Sancho: “Wij krijgen de info binnen op FTR wanneer de klant al prijs heeft. Meestal krijgen we de samples vroeger via sourcing (plaatsen op het internet), open repositories en heel wat andere online wegen. We monitoren de Command & Control-centers (C&C) om te zien hoe elke file reageert. Tegenwoordig delen we verschillende programma’s met de concurrenten wanneer het om bedreigingen gaat die publiek zijn. De tijd waar de race naar de eerste belangrijk was, ligt achter ons. Tegenwoordig zijn er zoveel tegelijk, dat we mekaar moeten helpen. Behalve met unieke samples die van onze klanten komen. Daar kunnen we het verschil maken, omdat niemand anders die heeft.”
Unieke bronnen zijn belangrijk voor elk securitybedrijf, maar open platformen zoals Virustotal vormen een belangrijke basis om bedreigingen te analyseren. De uitdaging zit hem in de interessante dingen eruit te halen. “Elke dataset kunnen we aan een bepaalde familie koppelen. Wanneer er iets nieuws is of je hebt meerdere onderdelen waar geen familie van is, zorgen we zelf voor een naam,” zegt Sancho.
Datapunten
De kracht van elke detectietool hangt af van het aantal datapunten. Hoe meer punten je hebt, hoe beter je een onbekend iets kan plaatsen. Die machine voeden is volgens Sancho vandaag niet echt een probleem. “Op het einde van de dag heb je al miljoenen sets gevoed. De virusdatabase is van ons. Enkel dingen die we relevant vinden, delen we met de rest. Hoe meer een bepaalde securitypartij met ons deelt, hoe meer wij dat met hen delen. Het is geven en nemen op dat vlak.”
Sancho legt het proces uit wanneer iemand voor de eerste keer besmet wordt. “Wanneer de eerste klant getroffen is, hebben we binnen de twee uur een verdict. Binnen maximaal één dag, meestal veel korter, hebben we alles 100% geanalyseerd: url, C&C, ip-adres, registrar, certificaten. Wanneer we bijvoorbeeld een volledig nieuw IP-adres vinden, gaan we onmiddellijk op zoek naar de server waarop die draait, welk certificaat en wie die geregistreerd heeft. Daar hebben we altijd wat meer tijd voor nodig. Wanneer er op één van die onderdelen iets fout staat, halen we direct de rode vlag boven.”
Maar zo eenvoudig is het meestal niet met de laatste nieuwe ransomware die vandaag op bedrijven wordt losgelaten. Deze gespecialiseerde malware weet perfect wanneer die in een sandbox wordt geladen. Pas wanneer die fase voorbij is, schiet de malware in actie met afpersing. Om detectie na uitvoering mogelijk te maken, past Trend Micro gedragsanalyse toe. Zo wordt er gekeken naar welk type encryptie er ineens plaatsvindt, om dan direct in te grijpen. “Hackers zijn helaas niet dom. Ze testen hun programma dikwijls met diverse security-producten om te zien of ze erdoor komen. Wanneer ze een nieuwe vorm van encryptie gebruiken die we nog niet kennen, kunnen wij geen interventie plaatsen. Dan zijn back-ups heel belangrijk, iets waar we altijd advies in geven omdat geen enkel securityproduct 100% waterdicht is,” sluit Sancho af.
GDPR
De grootste uitdaging het komende jaar is zonder twijfel GDPR. Van zodra deze wetgeving actief is, moet elk bedrijf een lek onmiddellijk delen of ze worden bestraft. Ransomware blijft daar een belangrijke uitdaging. Het wordt vanaf 25 mei 2018 bijzonder belangrijk om continu alle systemen van de nieuwste patches te voorzien; om compliant te zijn met de nieuwe wetgeving.
Naast patches is ook educatie van werknemers van cruciaal belang om digitale afpersing te voorkomen. Iedereen moet worden getraind op regelmatige basis om de gevaren uit te leggen van bijvoorbeeld zip-bestanden, een Word-doc met Javascript of een malafide PDF. Alle software moet steeds up-to-date zijn om potentiële schade te voorkomen. Eens een hacker via één systeem toegang heeft tot het bedrijfsnetwerk, is het hek van de dam.
“Je merkt wel dat security sinds een paar jaar geleden uit de kast is gekomen,” zegt Steven Heyde, Regional Director Benelux. “Security is een combinatie van detectie, beveiliging en antwoord. Security vandaag start best met een geïntegreerde aanpak zodat alles binnen je bedrijfsmuren, je infrastructuur, jou in staat stelt om je aan te passen tegen nieuwe dreigingen die je ziet gebeuren. Het doel is een adaptive security-model dat continu evolueert.”
Punt op de horizon
Het is volgens Steven belangrijk om een punt te zetten als bedrijf in de horizon waar je naartoe wil werken. Je moet volgens hem zoveel mogelijk op elkaar afstemmen en automatiseren, ook al is dat laatste een gevaarlijk woord. “Zes Wannacry’s en vier Petya’s, die moeten tegelijk kunnen plaatsvinden zonder dat je enige schrik hebt. Daar moet je naartoe als bedrijf. Security is vandaag meer een amalgaam van vendoren, management consoles en verschillende mensen binnen bedrijven die slecht met elkaar communiceren. Jij bent die van de applicaties, hij is van de server, jij van de cloud, maar wanneer het crisis is kijkt iedereen naar elkaar.”
De magnitude van een impact vandaag is veel groter dan vroeger. Het gaat verder dan puur een beetje last hebben van een probleem. Wanneer je bijvoorbeeld operaties moet uitstellen omdat patiëntgegevens niet beschikbaar zijn, dan heb je een probleem. “Wanneer je stopt met factureren, dan doet het pijn. Dan wordt er pas bij heel wat bedrijven aan de alarmbel getrokken,” zegt Heyde.
“Het is belangrijk om nieuwe technologieën te omarmen, maar hou daarbij steeds security in het achterhoofd. Ik vergelijk hackers vandaag graag met de mafia. Wanneer zij vroeger ineens geen drank meer mochten verhandelen, verschoof hun businessmodel naar iets anders. Dat is exact wat er met hackers gebeurt. Wanneer ergens een deur wordt gesloten, gaan ze gewoon op zoek naar een andere deur. Ze volgen het geldspoor.”