image

Onderzoek: Locky-ransomware besmet Nederlandse pc's

vrijdag 19 februari 2016, 13:59 door Redactie, 12 reacties

De Locky-ransomware die deze week voor het eerst werd gesignaleerd heeft in Nederland al duizenden computers geïnfecteerd, zo claimt beveiligingsonderzoeker Kevin Beaumont. Locky verspreidt zich via Word-documenten, waarin ontvangers wordt gevraagd om macro's in te schakelen.

Op deze manier wordt de ransomware op de computer gedownload. Eenmaal actief versleutelt de ransomware allerlei bestanden op de computer en zoekt daarbij ook naar netwerkschijven, waaronder die niet aan een schijfletter zijn gekoppeld. Beaumont wist één van de domeinnamen te registreren die Locky gebruikt, maar nog niet door de makers was geregistreerd. Zo kan hij een deel van de infecties zien, omdat besmette computers met dit domein verbinding maken.

Gedurende een periode van een uur registreerde hij duizenden infecties. Het ging om 2900 computers in Nederland en zelfs 5300 machines in Duitsland die tijdens deze periode besmet raakten. De onderzoeker schat dat Locky over een periode van drie dagen mogelijk 250.000 computers zal infecteren. Gebruikers die niet over back-ups beschikken en hun bestanden terugwillen, moeten dan ook het gevraagde losgeld betalen. Volgens Beaumont is het grote aantal infecties mede te verklaren door het feit dat veel anti-virusbedrijven de ransomware de eerste 24 uur niet detecteerden.

Reacties (12)
19-02-2016, 14:13 door Anoniem
Loop je ook risico als je het word document met openoffice opent?
19-02-2016, 14:28 door karma4
waarin ontvangers wordt gevraagd om macro's in te schakelen.
Als dat zo eenvoudig gaat en ook nog uitgevoerd wordt, waarom niet meteen vragen om flink wat geld over te maken.
De mitigatie is veiligheidstraining: u gaat niet zo maar reageren en doen wat een onbekende u vraagt. Ofwel geen snoepjes van vreemden aannemen. Koekje er bij?
19-02-2016, 14:35 door Anoniem
Ik begrijp alleen niet goed waarom ze dit via hosted Exchange nog doorlaten.... fail
19-02-2016, 14:39 door Anoniem
De mitigatie is veiligheidstraining: u gaat niet zo maar reageren en doen wat een onbekende u vraagt.

Voor de meeste computergebruikers is het *de computer* die vraagt om macro's in te schakelen. Zelfs als die melding staat op een web pagina.

Mensen opleiden is niet de oplossing.

Microsoft zover krijgen dat ze Word en Excel gaan *sandboxen* is de oplossing.

HP heeft het gebouwd, Microsoft heeft er nooit iets mee gedaan: https://web.archive.org/web/20131002223734/http://www.hpl.hp.com/personal/Alan_Karp/polaris/index.html

"If you blame the user, you haven't done your job properly"
19-02-2016, 15:18 door karma4
Door Anoniem: Microsoft zover krijgen dat ze Word en Excel gaan *sandboxen* is de oplossing.
"If you blame the user, you haven't done your job properly"
Prima, "Polaris (Principal Of Least Authority for Real Internet Security)" gaat verder met
"People often forget that POLA means two things at the same time. Not only must you prevent the application from having more authority than it needs to do the user's job, but also you must ensure that the application has enough authority to do that user's job."

POLA is een beheerderstaak waarbij je om die twee genoemde zaken op te lossen het gebruik en doel moet kennen. Met die kennis vul je dan de rest in ALS BEHEERDER. Het afschuiven op de tooling dat iemand het voor je moet oplossen...
Die van jou is waar en deze ook. "If you blame the tooling, you don't understand your job properly" http://idioms.thefreedictionary.com/A+bad+workman+blames+his+tools het begint http://img.picturequotes.com/1/112/if-you-cant-explain-it-simply-you-dont-understand-it-well-enough-quote-2.jpg
19-02-2016, 15:37 door Anoniem
Misschien dan maar in arren moede overstappen naar Google docs...
Die ondersteunt - volgens hun opgave - geen macro's.
19-02-2016, 15:52 door Anoniem
Wederom een geval wat je simpel kunt voorkomen door met Applocker te verbieden dat software wordt uitgevoerd in
het user profiel (en in zeker de TEMP directory, maar ook het bureaublad wil je niet).

En uiteraard weer een geval waarin dat super waardevolle systeem voor het uiten van meningen van Tibetaanse journalisten
gebruikt wordt waarvoor het meestal gebruikt wordt: computercriminaliteit.
19-02-2016, 16:20 door Anoniem
Door karma4:
waarin ontvangers wordt gevraagd om macro's in te schakelen.
Als dat zo eenvoudig gaat en ook nog uitgevoerd wordt, waarom niet meteen vragen om flink wat geld over te maken.
De mitigatie is veiligheidstraining: u gaat niet zo maar reageren en doen wat een onbekende u vraagt. Ofwel geen snoepjes van vreemden aannemen. Koekje er bij?

Als de vraag visueel plausibel wordt geïllustreerd is dat een gedachtengang die nou eenmaal psychologisch niet opgaat.

Huhhhhhhh???
Snappnieee?

Bijvoorbeeld
https://www.security.nl/image/view/9767

Het eerder gegeven antwoord getuigt van eenzelfde blindheid omtrent techniek als de blindheid die de gebruiker heeft bij gebrek aan kennis van techniek.

Wie was er eerder, het ei of de kip?
In dit geval het ei van de ontwikkelaars en technische gebruikers die verantwoordelijk zijn voor het implementeren en (te pas en onpas) gebruik van Macro functionaliteit.
Eerst was er de macrofunctionaliteit, daarna kwam het misbruik.

Als je als techneut je niet kan verplaatsen in je doelgroep de eindgebruiker, wat malwareontwikkelaars bij uitstek wel feilloos kunnen, blijf je de security-plank misslaan.
Daar technisch overheen blijven 'lullen' zal het probleem rondom security nooit gaan verhelpen.

Dat, het totale gebrek je te kunnen verplaatsen in de ander, dat is in essentie de oorzaak van heel veel security problemen.
19-02-2016, 16:31 door Anoniem
Door Anoniem: Loop je ook risico als je het word document met openoffice opent?

Macro based crap.
Dus de macro download de crap en de uitvoer lokatie is %temp% ( default is %userprofile%\appdata\local\temp\ ), dus blokkeer executie vanuit die folder en ik zie het hele probleem niet....

Applocker is leuk, maar daar zitten wel wat haken en ogen aan:
http://www.biztechmagazine.com/article/2012/03/windows-applockers-lockdown-limitations

Aan iedereen die op Microsoft Word aan het afgeven is:
Je enabled zelf die macro's...
https://support.office.com/en-us/article/Enable-or-disable-macros-in-Office-documents-7b4fdd2e-174f-47e2-9611-9efe4f860b12
19-02-2016, 17:56 door Anoniem
- Waarom openen slachtoffers die mails van onbekenden?
- Waarom klikken de slachtoffers daarna op de bijlage om die te openen?
- Waarom activeren slachtoffers daarop nog eens de macro's als die vraag komt?

De mails zijn niet voorzien van een naam of zelfs maar een goede inhoud met een verklaring van wie de mail komt en waarom je als ontvanger het document krijgt of moet openen.
19-02-2016, 18:05 door karma4 - Bijgewerkt: 19-02-2016, 18:06
Door Anoniem:
Als je als techneut je niet kan verplaatsen in je doelgroep de eindgebruiker, wat malwareontwikkelaars bij uitstek wel feilloos kunnen, blijf je de security-plank misslaan.
Daar technisch overheen blijven 'lullen' zal het probleem rondom security nooit gaan verhelpen.

Dat, het totale gebrek je te kunnen verplaatsen in de ander, dat is in essentie de oorzaak van heel veel security problemen.
Dan snap je waar ik op uit op ben, dank je.

Helaas heb ok ook de andere kant gezien. De instructive voor het overnemen van werk.. Tik in: f7, y,y,n,y - missie rond.
Moest uitgevoerd worden als een robot zonder enige achtergrondkennis. Het was een goedkope manier van overdracht.
Excel en Word macro-s komen juist vanuit de slimme eindgebruikers (shadow-it) omdat de reguliere ICT niet levert te duur is of wat dan ook. https://s-media-cache-ak0.pinimg.com/236x/b0/94/01/b09401785147efd34a3679f537c48598.jpg
19-02-2016, 19:37 door Ron625
Door Anoniem: Loop je ook risico als je het word document met openoffice opent?
In LibreOffice kon ik hem gewoon openen en bekijken (onder Linux).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.