image

Onderzoekers: Tor-netwerk bemoeilijkt bestrijding ransomware

maandag 7 september 2015, 14:31 door Redactie, 7 reacties

Ondanks alle incidenten met ransomware die de afgelopen maanden in de media zijn gekomen is het gevaar van deze dreiging nog lang niet voorbij. En dat lijkt ook niet snel te veranderen, want doordat ransomware van het Tor-netwerk gebruik maakt is deze dreiging lastig te bestrijden.

Dat stellen onderzoekers van het Delftse beveiligingsbedrijf Fox-IT. Volgens de onderzoekers zijn CryptoWall, CTB-Locker en TorrentLocker op dit moment de gevaarlijkste ransomware-families. Deze ransomware-varianten verspreiden zich via e-mail of exploits. Eenmaal actief versleutelen ze allerlei bestanden op de computer. De communicatie met de besmette computer verloopt in het geval van CryptoWall en CTB-Locker via het Tor-netwerk.

Tor is een netwerk waarmee internetgebruikers hun IP-adres kunnen verbergen. Het wordt onder andere door activisten, journalisten en mensen die hun privacy belangrijk vinden gebruikt. Dagelijks heeft het Tor-netwerk zo'n 2,5 miljoen gebruikers. Ook criminelen maken soms gebruik van Tor. In het geval van ransomware helpt het om de werkelijke locatie van de server te verbergen die met de besmette computers communiceert.

TorrentLocker maakt daarentegen voor de servercommunicatie geen gebruik van Tor. Ook de communicatie met slachtoffers verloopt via het Tor-netwerk. Na het versleutelen van de bestanden sturen alle drie de ransomware-families slachtoffers door naar een website op het Tor-netwerk. Daar staan instructies die uitleggen hoe de versleutelde bestanden tegen betaling weer ontsleuteld kunnen worden.

Volgens de onderzoekers helpt het bij de bestrijding van ransomware dat de verschillende varianten zich hetzelfde gedragen. Toch is het aantal ransomware-dreigingen de afgelopen jaren toegenomen. "Het gebruik van het Tor-netwerk maakt het alleen maar lastiger om deze dreigingen te stoppen", zo stellen de onderzoekers. Ze stellen dat alleen door continue samenwerking tussen opsporingsdiensten en private sector er een vuist tegen ransomware kan worden gemaakt.

Reacties (7)
07-09-2015, 14:38 door Anoniem
Nee, het gebrek aan eindgebruiker opvoeding is veel urgenter. Als er geen Tor zou zijn dan worden wel andere communicatie wegen gevonden en gebruikt.
07-09-2015, 14:54 door Anoniem
Volgens de onderzoekers helpt het bij de bestrijding van ransomware dat de verschillende varianten zich hetzelfde gedragen. Toch is het aantal ransomware-dreigingen de afgelopen jaren toegenomen. "Het gebruik van het Tor-netwerk maakt het alleen maar lastiger om deze dreigingen te stoppen", zo stellen de onderzoekers. Ze stellen dat alleen door continue samenwerking tussen opsporingsdiensten en private sector er een vuist tegen ransomware kan worden gemaakt.

En door dit kortzichtig denken krijgen we wetten die toestaan om alles via sleepnet maar te bespieden. Het werkelijke probleem is en zal altijd blijven: de mens.

Deze klikt op attachments in de mail, deze klikken op dubieuze links etc... Dan kun je nog zoveel erom heen doen, maar de mens blijft het grootste probleem.

En banners natuurlijk. Zolang deze virussen blijven verspreiden, heb ik het recht om deze te blokkeren.

TheYOSH
07-09-2015, 15:08 door Anoniem
Effe een vraag aan FOX-IT:

Moet ik soms het gebruik van lucifers staken omdat er ook brandstichters rondlopen?
07-09-2015, 16:30 door Vandy
Ik mis nog een opmerking in de trant van "bitcoin is satan".
07-09-2015, 16:37 door Anoniem
Voor thuisgebruikers en kleine bedrijven is het erg vervelend. Met de juiste resources is er wel wat tegen te doen:

Voorbeelden voor het netwerk:
http://www.netresec.com/?page=Blog&month=2013-04&post=Detecting-TOR-Communication-in-Network-Traffic
http://www.netresec.com/?page=Blog&month=2015-08
.
Op host niveau zijn er diverse mogelijkheden van AV en HIPS leveranciers. Een combinatie van beiden zou het risico toch al redelijk kunnen verkleinen.

Wat gevaarlijker is zijn de varianten die de key embedded hebben en dus geen netwerkverkeer initiieren voordat ze encrypten.
07-09-2015, 18:03 door Duck-man
Altijd weer dat TOR netwerk het zou verboden moeten worden!

Ik heb nog een lijstje van dingen die verboden moeten worden.

Honkbal knuppel
Koevoet
Zonnebril
Prepay telefoon
Mes
Lock pik setje
Zwarte muts
Witte boord

etc.
07-09-2015, 20:02 door Rarsus
Wederom blijkt dat lezen moeilijk is. nergens stellen de onderzoekers dat TOR verboden moet worden.

Wel staat er dat het bestrijden van de malware lastiger is doordat er van het TOR netwerk gebruik wordt gemaakt.

Voor wat betreft kortzichtigheid: ja, awareness is belangrijk en hiermee kan je een boel voorkomen. Voor datgene wat niet (te) voorkomen is (de goed geschreven malware bijvoorbeeld), is het bestrijden zeker nuttig. Zoals voor alle vormen van criminaliteit, geldt ook hier dat het vergroten van de pakkans ervoor zorgt dat de kosten niet meer opwegen tegen de baten.

Het identificeren van bottlenecks in de bestrijding is dus zowel relevant als noodzakelijk. Jammer alleen dat er altijd n00bs blijven die de boodschap niet begrijpen. Alle voorgaande opmerkingen betreffen namelijk preventie (en dan ook nog reactief, wat inmiddels echt al achterhaald is -leuk voor erbij).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.