Nieuws

Onderzoekers: Tor-netwerk bemoeilijkt bestrijding ransomware

maandag 7 september 2015, 14:31 door Redactie, 7 reacties

Ondanks alle incidenten met ransomware die de afgelopen maanden in de media zijn gekomen is het gevaar van deze dreiging nog lang niet voorbij. En dat lijkt ook niet snel te veranderen, want doordat ransomware van het Tor-netwerk gebruik maakt is deze dreiging lastig te bestrijden.

Dat stellen onderzoekers van het Delftse beveiligingsbedrijf Fox-IT. Volgens de onderzoekers zijn CryptoWall, CTB-Locker en TorrentLocker op dit moment de gevaarlijkste ransomware-families. Deze ransomware-varianten verspreiden zich via e-mail of exploits. Eenmaal actief versleutelen ze allerlei bestanden op de computer. De communicatie met de besmette computer verloopt in het geval van CryptoWall en CTB-Locker via het Tor-netwerk.

Tor is een netwerk waarmee internetgebruikers hun IP-adres kunnen verbergen. Het wordt onder andere door activisten, journalisten en mensen die hun privacy belangrijk vinden gebruikt. Dagelijks heeft het Tor-netwerk zo'n 2,5 miljoen gebruikers. Ook criminelen maken soms gebruik van Tor. In het geval van ransomware helpt het om de werkelijke locatie van de server te verbergen die met de besmette computers communiceert.

TorrentLocker maakt daarentegen voor de servercommunicatie geen gebruik van Tor. Ook de communicatie met slachtoffers verloopt via het Tor-netwerk. Na het versleutelen van de bestanden sturen alle drie de ransomware-families slachtoffers door naar een website op het Tor-netwerk. Daar staan instructies die uitleggen hoe de versleutelde bestanden tegen betaling weer ontsleuteld kunnen worden.

Volgens de onderzoekers helpt het bij de bestrijding van ransomware dat de verschillende varianten zich hetzelfde gedragen. Toch is het aantal ransomware-dreigingen de afgelopen jaren toegenomen. "Het gebruik van het Tor-netwerk maakt het alleen maar lastiger om deze dreigingen te stoppen", zo stellen de onderzoekers. Ze stellen dat alleen door continue samenwerking tussen opsporingsdiensten en private sector er een vuist tegen ransomware kan worden gemaakt.

Kaspersky dicht kritiek lek in anti-virussoftware

Functionarissen: landen laten hackers het vuile werk opknappen

Reacties (7)

07-09-2015, 14:38 door Anoniem

Nee, het gebrek aan eindgebruiker opvoeding is veel urgenter. Als er geen Tor zou zijn dan worden wel andere communicatie wegen gevonden en gebruikt.

07-09-2015, 14:54 door Anoniem

En door dit kortzichtig denken krijgen we wetten die toestaan om alles via sleepnet maar te bespieden. Het werkelijke probleem is en zal altijd blijven: de mens.

Deze klikt op attachments in de mail, deze klikken op dubieuze links etc... Dan kun je nog zoveel erom heen doen, maar de mens blijft het grootste probleem.

En banners natuurlijk. Zolang deze virussen blijven verspreiden, heb ik het recht om deze te blokkeren.

TheYOSH

07-09-2015, 15:08 door Anoniem

Effe een vraag aan FOX-IT:

Moet ik soms het gebruik van lucifers staken omdat er ook brandstichters rondlopen?

07-09-2015, 16:30 door Vandy

Ik mis nog een opmerking in de trant van "bitcoin is satan".

07-09-2015, 16:37 door Anoniem

Voor thuisgebruikers en kleine bedrijven is het erg vervelend. Met de juiste resources is er wel wat tegen te doen:

Voorbeelden voor het netwerk:
http://www.netresec.com/?page=Blog&month=2013-04&post=Detecting-TOR-Communication-in-Network-Traffic
http://www.netresec.com/?page=Blog&month=2015-08
.
Op host niveau zijn er diverse mogelijkheden van AV en HIPS leveranciers. Een combinatie van beiden zou het risico toch al redelijk kunnen verkleinen.

Wat gevaarlijker is zijn de varianten die de key embedded hebben en dus geen netwerkverkeer initiieren voordat ze encrypten.

07-09-2015, 18:03 door Duck-man

Altijd weer dat TOR netwerk het zou verboden moeten worden!

Ik heb nog een lijstje van dingen die verboden moeten worden.

Honkbal knuppel
Koevoet
Zonnebril
Prepay telefoon
Mes
Lock pik setje
Zwarte muts
Witte boord

etc.

07-09-2015, 20:02 door Rarsus

Wederom blijkt dat lezen moeilijk is. nergens stellen de onderzoekers dat TOR verboden moet worden.

Wel staat er dat het bestrijden van de malware lastiger is doordat er van het TOR netwerk gebruik wordt gemaakt.

Voor wat betreft kortzichtigheid: ja, awareness is belangrijk en hiermee kan je een boel voorkomen. Voor datgene wat niet (te) voorkomen is (de goed geschreven malware bijvoorbeeld), is het bestrijden zeker nuttig. Zoals voor alle vormen van criminaliteit, geldt ook hier dat het vergroten van de pakkans ervoor zorgt dat de kosten niet meer opwegen tegen de baten.

Het identificeren van bottlenecks in de bestrijding is dus zowel relevant als noodzakelijk. Jammer alleen dat er altijd n00bs blijven die de boodschap niet begrijpen. Alle voorgaande opmerkingen betreffen namelijk preventie (en dan ook nog reactief, wat inmiddels echt al achterhaald is -leuk voor erbij).

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer