Onderzoekers: Tor-netwerk bemoeilijkt bestrijding ransomware
Ondanks alle incidenten met ransomware die de afgelopen maanden in de media zijn gekomen is het gevaar van deze dreiging nog lang niet voorbij. En dat lijkt ook niet snel te veranderen, want doordat ransomware van het Tor-netwerk gebruik maakt is deze dreiging lastig te bestrijden.
Dat stellen onderzoekers van het Delftse beveiligingsbedrijf Fox-IT. Volgens de onderzoekers zijn CryptoWall, CTB-Locker en TorrentLocker op dit moment de gevaarlijkste ransomware-families. Deze ransomware-varianten verspreiden zich via e-mail of exploits. Eenmaal actief versleutelen ze allerlei bestanden op de computer. De communicatie met de besmette computer verloopt in het geval van CryptoWall en CTB-Locker via het Tor-netwerk.
Tor is een netwerk waarmee internetgebruikers hun IP-adres kunnen verbergen. Het wordt onder andere door activisten, journalisten en mensen die hun privacy belangrijk vinden gebruikt. Dagelijks heeft het Tor-netwerk zo'n 2,5 miljoen gebruikers. Ook criminelen maken soms gebruik van Tor. In het geval van ransomware helpt het om de werkelijke locatie van de server te verbergen die met de besmette computers communiceert.
TorrentLocker maakt daarentegen voor de servercommunicatie geen gebruik van Tor. Ook de communicatie met slachtoffers verloopt via het Tor-netwerk. Na het versleutelen van de bestanden sturen alle drie de ransomware-families slachtoffers door naar een website op het Tor-netwerk. Daar staan instructies die uitleggen hoe de versleutelde bestanden tegen betaling weer ontsleuteld kunnen worden.
Volgens de onderzoekers helpt het bij de bestrijding van ransomware dat de verschillende varianten zich hetzelfde gedragen. Toch is het aantal ransomware-dreigingen de afgelopen jaren toegenomen. "Het gebruik van het Tor-netwerk maakt het alleen maar lastiger om deze dreigingen te stoppen", zo stellen de onderzoekers. Ze stellen dat alleen door continue samenwerking tussen opsporingsdiensten en private sector er een vuist tegen ransomware kan worden gemaakt.
En door dit kortzichtig denken krijgen we wetten die toestaan om alles via sleepnet maar te bespieden. Het werkelijke probleem is en zal altijd blijven: de mens.
Deze klikt op attachments in de mail, deze klikken op dubieuze links etc... Dan kun je nog zoveel erom heen doen, maar de mens blijft het grootste probleem.
En banners natuurlijk. Zolang deze virussen blijven verspreiden, heb ik het recht om deze te blokkeren.
TheYOSH
Moet ik soms het gebruik van lucifers staken omdat er ook brandstichters rondlopen?
Voorbeelden voor het netwerk:
http://www.netresec.com/?page=Blog&month=2013-04&post=Detecting-TOR-Communication-in-Network-Traffic
http://www.netresec.com/?page=Blog&month=2015-08
.
Op host niveau zijn er diverse mogelijkheden van AV en HIPS leveranciers. Een combinatie van beiden zou het risico toch al redelijk kunnen verkleinen.
Wat gevaarlijker is zijn de varianten die de key embedded hebben en dus geen netwerkverkeer initiieren voordat ze encrypten.
Ik heb nog een lijstje van dingen die verboden moeten worden.
Honkbal knuppel
Koevoet
Zonnebril
Prepay telefoon
Mes
Lock pik setje
Zwarte muts
Witte boord
etc.
Wel staat er dat het bestrijden van de malware lastiger is doordat er van het TOR netwerk gebruik wordt gemaakt.
Voor wat betreft kortzichtigheid: ja, awareness is belangrijk en hiermee kan je een boel voorkomen. Voor datgene wat niet (te) voorkomen is (de goed geschreven malware bijvoorbeeld), is het bestrijden zeker nuttig. Zoals voor alle vormen van criminaliteit, geldt ook hier dat het vergroten van de pakkans ervoor zorgt dat de kosten niet meer opwegen tegen de baten.
Het identificeren van bottlenecks in de bestrijding is dus zowel relevant als noodzakelijk. Jammer alleen dat er altijd n00bs blijven die de boodschap niet begrijpen. Alle voorgaande opmerkingen betreffen namelijk preventie (en dan ook nog reactief, wat inmiddels echt al achterhaald is -leuk voor erbij).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
