Naar verluidt ([1], [2], [3]) zijn vandaag Duitse bedrijven, om precies te zijn de afdeling personeelszaken, gespamd met nepsollicitaties waarvan de bijlagen ransomware kunnen downloaden en starten. Daarbij bevatten de mails opvallend veel correcte gegevens van de geadresseerde waardoor deze betrouwbaar over (kunnen) komen.

Wellicht is het een goed idee om medewerkers van een dergelijke afdeling in jouw bedrijf te waarschuwen; het ligt voor de hand dat een vergelijkbare golf binnenkort Nederland aandoet.

Zoals de laatste tijd gebruikelijk is de kans dat een virusscanner de bijlage in een kort geleden (tot enkele uren) verzonden e-mail als kwaadaardig herkent, minimaal. Daarbij gaat het om een zogenaamde dropper die de feitelijke ransomware downloadt (en verder zelden andere kwaadaardige eigenschappen heeft). Detectie is slecht doordat verzenders voortdurend hun obfuscatietechniek in de toegepaste scripts aanpassen. Vaak duurt het een dag voordat de helft van de virusscanners op VirusTotal zo'n dropper als kwaadaardig bestempelt. Gewoon 1 dag wachten met het openen van e-mail verkleint dus je risico's!

De detectiekans van de uiteindelijke malware is nog kleiner. Want hoewel IP-adressen van sites waar die uiteindelijke malware vandaan gedownload wordt (door de dropper) na een tijdje op blacklists belanden, wijzigen de cybercriminelen de DNS gegevens zodra dat gebeurt. Bovendien bevatten droppers meestal een vijftal domainnames die allemaal worden geprobeerd waardoor de download vaak toch wel lukt. De te downloaden malware zelf wordt ook regelmatig door de cybercriminelen aangepast, namelijk zodra deze door te veel virusscanners wordt herkend. M.a.w. als je zo'n dropper een paar uur later nogmaals zou starten, zul je vaak zien dat deze vanaf andere IP-adressen andere malware downloadt.

Bijvoorbeeld de in [1] genoemde Goldeneye ransomware werd omstreeks 19:00 vanavond door 40 van 56 virusscanners herkend [4]. Aanvankelijk (toen deze malware voor het eerst werd aangeboden aan Virustotal, namelijk 6 december om ca. 09:30) werd deze maar door 3 van de 56 scanners herkend. En daarbij gaat het om scanners die in Duitsland en in Nederland nauwelijks worden gebruikt, namelijk Baidu, Qihoo-360 en Yandex [5]. Je kunt er donder op zeggen dat om 19:00 vanavond deze versie op de downloadsites van de cybercriminelen (vaak gehackte webservers) allang vervangen was door gewijzigde malware met net zulke slechte detectie als de eerdergenoemde versie aanvankelijk had.

Het Duitstalige document van BSI [6] (bron: [7]) bevat aanwijzingen voor preventie. In dit soort gevallen kan vooral waakzaamheid van potentiële ontvangers de risico's aanzienlijk verlagen.

P.S. voordat je roept dat whitelisting de heilige graal is: naast dat dit normaal werken lastiger maakt, blokkeer je hier geen malware mee die versleuteld wordt gedownload en op je schijf gezet, in het geheugen wordt ontsleuteld als DLL code en vervolgens in een gewhitelisted (vertrouwd) proces wordt geïnjecteerd zoals in [8] beschreven door Didier Stevens. Of de onderhavige ransomware dit ook doet, weet ik niet.

[1] https://www.heise.de/security/meldung/Goldeneye-Ransomware-Die-Bedrohung-erkennen-Mitarbeiter-warnen-Infektion-verhindern-3564252.html
[2] https://www.heise.de/security/meldung/Goldeneye-Ransomware-greift-gezielt-Personalabteilungen-an-3562281.html
[3] https://twitter.com/certbund/status/806104277039058944
[4] https://virustotal.com/en/file/b5ef16922e2c76b09edd71471dd837e89811c5e658406a8495c1364d0d9dc690/analysis/1481133664/
[5] https://virustotal.com/en/file/b5ef16922e2c76b09edd71471dd837e89811c5e658406a8495c1364d0d9dc690/analysis/1481016535/
[6] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.pdf
[7] https://twitter.com/Timo_Steffens/status/806124411422208000
[8] https://isc.sans.edu/forums/diary/Hancitor+Maldoc+Bypasses+Application+Whitelisting/21683/