image

Expert hekelt paniek over Locky-ransomware

maandag 29 februari 2016, 11:32 door Redactie, 9 reacties

De afgelopen weken werd er regelmatig gewaarschuwd voor de Locky-ransomware, onder ander door de Duitse overheid en Microsoft, maar volgens een Oostenrijkse beveiligingsexpert is alle paniek overdreven. Locky verspreidt zich via Office-documenten met macro's die via e-mail worden verstuurd.

Zodra de gebruiker de macro's inschakelt wordt de ransomware gedownload en die versleutelt vervolgens allerlei bestanden voor losgeld. De Oostenrijker Robert Penz vindt alle paniek onterecht. Ransomware is namelijk niet nieuw, zo merkt hij op. "Ik begrijp niet waarom deze ransomware zoveel wordt gehypet. Je moet gewoon de beveiligingsmaatregelen implementeren die je al jaren geleden had moeten nemen", zo laat hij weten. Het volgen van verschillende beveiligingsprocedures kan dan ook infectie door Locky en andere malware voorkomen.

Zo adviseert Penz het blokkeren van exe-bestanden en documenten die macro's bevatten. "Als een gebruiker echt een bestand met macro's nodig heeft, dan kan hij het aan de it-afdeling vragen", aldus de expert. Ook pleit hij voor applicatie-whitelisting, het verplichten van een http- en https-proxy voor al het internetverkeer, het blokkeren van Tor-nodes, 'client to client' verkeer en advertentienetwerken, het maken van back-ups, het niet ingelogd zijn als beheerder en het gebruik van beveiligingssoftware om malware te detecteren en te voorkomen. "Samengevat: Locky is geen probleem als je organisatie zijn huiswerk heeft gedaan", besluit Penz.

Reacties (9)
29-02-2016, 13:50 door Anoniem
Hij heeft gelijk dat het niets nieuws is. Er worden dagelijks kwaadaardige Word macro's verstuurd en dat gebeurt al lange tijd. De Word/Excel macro revival is al weer een paar jaar geleden gestart.

Maar, ik hamer er maar weer eens op: er zijn ook malware verstuurders die proberen door scanners te komen met MIME exploits en mso. Alleen het blokkeren van macro's met standaard tools op de mail scanners is niet voldoende omdat de macro's niet altijd als zodanig worden herkend (embedding in MIME, ActiveMime).
29-02-2016, 14:09 door Anoniem
Snapnie

http://robert.penz.name/1252/stop-panicking-about-the-locky-ransomware/
I really don’t understand why...
this guy is hyped that much!

- de markt is niet statisch en bestaat niet alleen uit zakelijke gebruikers, voor nieuwe particuliere gebruikers en de oude met onvoldoende kennis van zaken is het nog steeds heel erg schrikken als de boel op slot gaat.
Die paniek is niet overdreven, wel als je als onderzoeker oogklepjes op hebt voor de zorgen van anderen.

- de gegeven adviezen zijn over het algemeen zinnig maar wederom weer gericht op zakelijke gebruikers die wel automatiseringsbudget hebben.
De kleinzakelijke gebruikers (en zelfs zpp-ers*) die over het algemeen een dankbaar target zijn hebben over het algemeen minder kennis in huis en zullen een aantal simpele adviezen niet begrijpen noch implementeren.

De adviezen zijn dan ook een herhaling van wat je vaker hoort, bijna cliché eigenlijk, had dan nog wat extra toegevoegde waarde eraan gegeven en de adviezen gekoppeld aan een uitleg of link naar hoe dat eventueel te kunnen doen!
Maar nee.

- Nou, ja een beetje dan : Tornetwerk blokkeren : hoera! 'goed' punt (?).
Om te beginnen doet hij het zelf (nou,ja Cloudflare dan weer) niet honderd procent, dat vond ik voor de gelegenheid wel handig want dan kan ik tenminste zijn content lezen.
Sluit je je lezers af heb je ook een kleiner bereik. But who cares about that?

Block access to Tor nodes
Why should a user from your company network need to access a tor node?
Ja waarom eigenlijk wel of niet?
En hoe moet dat dan met particuliere gebruikers?
En vooral ook welke (verborgen) stellingen liggen hieraan dan ten grondslag?

Even verder kijken
Sometime ago I’ve written about doing that with a Microtik router. The script can be easily modified or any other router or firewall which allows configuration via the CLI.

http://robert.penz.name/983/filter-traffic-from-and-to-tor-ip-addresses-automatically-with-mikrotik-routeros/

Ah
Some newer malware communicates with their command and control servers via the Tor network, in a typical enterprise network no system should connect the Tor network. A other scenario is that you’re providing services which don’t need to be accessed via the Tor network but your servers get attacked from Tor Exit Nodes.

Dat is eigenlijk wel een interessante dubbele aanname maar klopt het ook?
Wat ik uit het nieuws begrijp is dat in geval van ransomeware infecties nog wel eens gebruik gemaakt wordt van Tornetwerk (verschuift naar i2p) als het gaat om het moeten betalen (!) van losgeld in bitcoins.

Dat is heel wat anders als een attack uitvoeren en aanvullende software code downloaden via command and control servers. Daar lees ik namelijk heel weinig over als het gaat om echte onderbouwing en vooral ook niet te vergeten percentages waarin dat dan gebeurt. Hoewel alle kleine beetjes helpen is het wel van belang om te kijken in hoeverre iets ook echt meer dan af en toe voorkomt.

Stelling : Tornetwerk wordt wel met regelmaat gebruikt voor ransomeware betalingen (net zoals i2p techniek) maar eigenlijk niet voor het aanvullend binnenhalen van de malware code.
Malware code wordt over het algemeen helemaal niet gehost op het tornetwerk maar op het gewone internet onder een tijdelijk domein.
Er wordt wel hier en daar gesproken over attacks via Tornetwerk maar eigenlijk wordt
er vrijwel nooit gedefinieerd wat die attacks dan exact inhouden en vooral ook waar ze vandaan komen en hoe vaak dat dan voorkomt.

Blokkeer je Tornetwerk in je router dan lijkt dat allerminst een garantie voor (veel) meer veiligheid maar zit je jezelf hooguit in de weg als je na een besmetting moeten betalen op een webadres op het Tornetwerk (wat niet te hopen is).

Het opmerkelijke daarbij is dan ook nog een keer dat blokkades van het Tornetwerk op heel merkwaardige wijze zeer landgebonden zijn, waarbij juist soms sprake is van het helemaal niet blokkeren terwijl je dat wel enigszins zou mogen verwachten.

Tornetwerk anti-blokkade raadseltje
https://www.security.nl/posting/461367/Webfilter+Geo+Policies%3A+Rusland+%28%3F%29

Afsluitend, buiten sommige aannames die allerminst bewezen zijn,
wat hebben we aan een dergelijk bericht met de zoveelste optelsom van bekende maatregeltjes van deze (nieuwe) onderzoeker aan het nieuws-firmament?
Zouden sysjes in de markt dit echt veelal niet weten?


* Ik zie in menig openbare koffieplaats dat het met de veiligheid van zzp-ers enigszins goed gesteld is. Niet vanwege de (niet vermoede) meest veilige configuratie maar wel vanwege een soort hardware (en bijbehorend OS) dat erg geassocieerd wordt met 'goed voor de dag komen'. Dat is dan weer een hele geruststelling wat betreft onder andere het fenomeen ransomeware, want ik betwijfel sterk of alle dametjes en heertjes wel netjes regelmatig of überhaupt backupjes maken. Dat hoeft dan voor dit fenomeen nog even niet maar is daarnaast wel heel erg verstandig. Stond dat eigenlijk tussen de adviezen van onze adviesrijke man uit het oosten?
29-02-2016, 14:44 door Anoniem
Computergebruikers zijn gewend om niet na te denken voor ze ergens op klikken en in veel gevallen levert klikken een beloning op door te krijgen wat ze willen. Als ze al een waarschuwing krijgen dan blokkeert die nauwelijks omdat dat niet klantvriendelijk is. Mensen willen gewoon graag klikken en een beloning.
En genoeg gebruikers weten niet meer, of hebben nooit geweten, wat macro's zijn.
Dat zijn wel de hoofdredenen waarom in het jaar 2016 criminelen zelfs nog succesvol 'terug'grijpen naar macro's.
29-02-2016, 15:48 door Anoniem
Lol, ik schrijf in opdracht van bedrijven MACRO's en VBA gedreven Excel files.

Soms draven sommige experts ook een beetje door.

Pot verwijt de ketel verhaal dus.
29-02-2016, 17:17 door Anoniem
'Locky', klinkt heel erg als een benaming gegeven door een hollands scriptkiddiepubertje.
29-02-2016, 17:25 door Anoniem
Ik zie geen pot en ketel. Macro's van buiten zijn verdacht en je kunt ze maar beter blokkeren by policy.

Dat is staande best practice sinds WM97/Melissa wereldwijd op grote schaal bedrijven platlegde in 1999. 17 jaar geleden alweer, ik kan me die dag nog goed voor de geest halen en ik ken de datum uit mijn hoofd: vrijdag 26 maart.
29-02-2016, 21:30 door Anoniem
Door Anoniem: Ik zie geen pot en ketel. Macro's van buiten zijn verdacht en je kunt ze maar beter blokkeren by policy.

Dat is staande best practice sinds WM97/Melissa wereldwijd op grote schaal bedrijven platlegde in 1999. 17 jaar geleden alweer, ik kan me die dag nog goed voor de geest halen en ik ken de datum uit mijn hoofd: vrijdag 26 maart.

Vrijdag 26 maart 1999??
Is dat toevallig ook de dag dat een vlot ingestelde blokkade onder dreiging van het verder platleggen van de omgeving, en daarmee op een lokaal ongewenst rampje dreigde uit te lopen, snel werd opgelost met een vlotte kleine wijziging
en alsnog leidde tot gewenste spoedige doorgang naar pril en jong geluk?
Eind goed al goed, we noemden hem,
Marco.
01-03-2016, 07:40 door Anoniem
word? excel? Over overhyped gesproken...

Ik heb nog nooit een virus in mijn LaTeX files gezien, dus laten we dat voorlopig nog maar blijven gebruiken....
11-03-2016, 12:18 door Anoniem
Wanneer het zogenaamde locky virus via de mail op een iphone geopend wordt, is het dan mogelijk dat dit zich dan alsnog verspreid via netwerk of wanneer de iphone met lightning kabel met de computer verbonden wordt? Naar mijn idee is de iphone hiertegen beveiligd maar kan iemand daar bevestiging op geven?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.