Wat maakt de detectie van ransomware zo moeilijk?

Eddy Willems - G Data Software Benelux - 1_410x615

Bedrijven zijn dit jaar meerdere keren opgeschrikt door grote ransomware-uitbraken, onder meer van de WannaCry en (Not)Petya ransomware. Deze uitbraken laten zien hoe groot de impact van dergelijke malware kan zijn en hoe slecht veel bedrijven tegen dergelijke uitbraken zijn gewapend. Wat maakt ransomware zo moeilijk te detecteren en hoe kan deze vorm van malware tijdig worden tegengehouden?

“Ransomware wordt vaak gezien als een recent fenomeen, maar dat is het niet. In 1989 werd ik al geconfronteerd met een vroege versie van ransomware, die op een floppy werd verspreid naar abonnees van het magazine PC Business World. Toen ik deze diskette in mijn floppydrive stak kreeg ik een scherm te zien waar een aantal vragen werden gesteld, die het mogelijk maakte te bepalen hoe groot de kans was dat je met HIV in aanraking zou komen”, aldus Eddy Willems, Security Evangelist bij G DATA. “Enkele dagen later wilde ik mijn PC opnieuw opstarten, maar bleek mijn PC versleuteld te zijn. Ik kreeg een scherm te zien waarop stond dat ik 189 dollar in een papieren enveloppe moest stoppen en moest opsturen naar een mailbox in Panama.”

Van fysieke diskettes naar digitale verspreiding

“Ransomware is dus zeker niet nieuw. Opvallend genoeg is het na mijn eerste aanraking met dergelijke malware in 1989 een lange tijd stilgeweest rond ransomware. Vier of vijf jaar geleden lijkt gijzelsoftware echter opnieuw ontdekt te zijn, waarbij cybercriminelen deze relatief oude aanpak hebben gecombineerd met moderne technieken. Waar de eerste ransomware nog op een floppy fysiek verstuurd werd naar slachtoffers, wordt ransomware tegenwoordig via internet razendsnel verspreid naar een groot aantal gebruikers. Daarnaast worden doorgaans sterke encryptietechnologieën ingezet, waardoor gebruikers in tegenstelling tot de eerste ransomware waarmee ik werd geconfronteerd hun data niet met een simpel trucje weer beschikbaar kunnen maken.”

Willems: “De impact van ransomware op een bedrijf is in veel gevallen groot. Deze vorm van malware kan de bedrijfsvoering van een bedrijf direct platleggen door systemen die nodig zijn voor de dagelijkse werkzaamheden onbruikbaar te maken. Daarnaast kan allerlei cruciale informatie van bedrijven worden versleuteld, zodat organisaties bijvoorbeeld niet meer bij hun klantgegevens of orders kunnen. Ransomware is voor bedrijven dan ook een zeer serieus probleem dat een enorme impact kan hebben.”

Moeilijk te bestrijden

Helaas is ransomware in de praktijk moeilijk te bestrijden. Deze vorm van malware maakt vaak gebruik van allerlei slimme trucjes om detectie door beveiligingssoftware te voorkomen. “Het probleem zit niet op de toestellen zelf, maar bij de aanlevering van de mogelijke malware (of ransomware in dit geval) bij de security industrie. Als wij malware binnenkrijgen dan proberen wij die te analyseren in sandboxes en het is vooral daar dat het fout gaat”, legt Willems uit. “Veel ransomware is namelijk voorzien van zogeheten ‘anti-sandboxing-mechanismen’. De ransomware kan hierdoor detecteren dat hij in een sandbox draait en gedraagt zich vervolgens normaal, zodat hij niet wordt herkend als ransomware of malware. Die anti-sandboxing-techniek maakt het dus soms zeer moeilijk om de ransomware te analyseren door de security-industrie en daardoor dus te identificeren als echte malware. Dat is één van de typische technieken gebruikt door de cybercriminelen om het de security-industrie lastig te maken“, legt de Security Evangelist van G DATA uit.

“Daarnaast wacht sommige ransomware enkele uren of zelfs dagen voordat hij actief wordt. Geautomatiseerde analysesystemen van beveiligingsbedrijven analyseren verdachte bestanden echter een beperkte periode, waardoor een dergelijke vertraging ervoor kan zorgen dat ransomware niet wordt opgemerkt. Dergelijke slimme werkwijzen maakt het voor beveiligingsbedrijven moeilijk ransomware geautomatiseerd te detecteren en te voorzien van een virushandtekening, die traditionele anti-virussoftware nodig heeft om ransomware te detecteren en tegen te houden.”

Iedere nieuwe ransomware is uniek

Dit is een groot probleem, aangezien iedere ransomware er weer net even anders uitziet als zijn voorganger. Voor ieder uniek stukje malware moet dus een nieuwe handtekening worden gemaakt om te zorgen dat deze malware wordt gedetecteerd door de anti-virussoftware waar klanten op vertrouwen. Aangezien we jaarlijks worden geconfronteerd met miljoenen nieuwe unieke examplaren van malware voor uitsluitend het Windows-platform, zijn geautomatiseerde analyses van cruciaal belang om deze malware te op te sporen. Enkele jaren geleden was er dan ook geen echt effectieve manier om gebruikers te wapenen tegen ransomware.

Willems: “Inmiddels hebben we gelukkig een oplossing gevonden om ransomware ondanks de anti-detectietechnieken die worden toegepast, toch op effectieve wijze te kunnen opsporen. Zo is de nieuwste generatie van G DATA Business Solutions voorzien van anti-ransomware-technologie, die gebruik maakt van gedragsanalyse in combinatie met kunstmatige intelligentie. Deze nieuwe generatie producten monitort en analyseert het gedrag van bestanden om verdachte handelingen zeer vroegtijdig te detecteren en te stoppen. Zo zien we in de praktijk bijvoorbeeld dat veel ransomware voor het versleutelen van data al enkele typerende handelingen uitvoert, zoals het aanbrengen van wijzigingen in het registry of het wissen van systeemherstelbestanden.”

Verdacht gedrag tijdig opmerken

“Iedere ransomware hanteert echter weer net een andere werkwijze dan zijn voorganger, waarbij handelingen in een andere volgorde of op een andere wijze worden uitgevoerd. Door intelligentie los te laten op deze gedragsanalyses is de technologie in staat verdacht gedrag dat wij nog niet eerder hebben gezien toch tijdig op te merken. Deze combinatie maakt het mogelijk onbekende ransomware in een zeer vroegtijdig stadium te herkennen en stoppen, zonder dat hiervoor een virushandtekening in onze anti-virusdatabase beschikbaar hoeft te zijn.”

Een belangrijk bijkomend voordeel is dat zodra onbekende ransomware bij één klant is gedetecteerd, alle andere gebruikers automatisch hiertegen zijn gewapend. “Zodra wij nieuwe ransomware hebben gedetecteerd wordt hiervoor een virushandtekening aangemaakt, die wordt opgeslagen in onze anti-virusdatabase. Deze virushandtekening is vervolgens beschikbaar voor al onze klanten. Onbekende ransomware hoeft dus slechts één keer via gedragsanalyse te worden opgespoord, om al onze klanten hiertegen te kunnen wapenen.”

Slechts een stukje van de puzzel

Ondanks dat anti-ransomware-technologie zeer effectief te werk gaat, is dergelijke technologie slechts één van de stappen die bedrijven zouden moeten nemen om zich te wapenen tegen ransomware. Zo verspreidt veel ransomware zich via kwetsbaarheden in verouderde software. Patch management is dan ook van cruciaal belang om ransomware buiten de deur te houden. Daarnaast kan ransomware worden verspreid via spearphishing, waarbij werknemers via een malafide e-mail die specifiek op hen is toegespitst worden overtuigd een malafide bijlage of URL te openen. Het creëren van bewustzijn onder personeel over dergelijke dreigingen is dan ook van groot belang in de strijd tegen ransomware of andere malware.

Gaat het ondanks deze maatregelen toch fout? Dan kunt u vertrouwen op anti-ransomware-technologie om zeker te stellen dat ransomware tijdig wordt gedetecteerd en geen schade kan aanrichten.

Meer over
Lees ook
NetApp bestrijdt in realtime ransomware

NetApp bestrijdt in realtime ransomware

NetApp biedt nieuwe mogelijkheden waarmee klanten hun data beter kunnen beschermen en herstellen tegen bedreigingen door ransomware. NetApp is één van de eerste die kunstmatige intelligentie (AI) en machine learning (ML) direct in de primaire storage van bedrijven integreert en zo ransomware in real-time bestrijdt. De cyberresiliency-oplossingen v1

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Proofpoint identificeerde vorige week een nieuwe aanvalsketen van TA577 die NT LAN Manager authenticatie-informatie steelt. Het cybersecurity bedrijf identificeerde minstens twee campagnes die dezelfde techniek gebruikten voor het stelen van NTLM hashes op 26 en 27 februari 2024.

Vooruitblik 2024 E-Storage: Waarom zou je Bitcoins betalen?

Vooruitblik 2024 E-Storage: Waarom zou je Bitcoins betalen?

2023 kunnen we zien als een kantelpunt. Waar organisaties zich tot nu toe vooral hebben gericht op de preventie van cyberaanvallen, is bij velen nu het bewustzijn gegroeid dat dit niet meer voldoende is.