image

Antivirusbedrijf wil term "ransomware" door alternatief vervangen

dinsdag 3 januari 2023, 10:22 door Redactie, 20 reacties

Het is de hoogste tijd om de term "ransomware" door een alternatief te vervangen, aangezien bij veel aanvallen door ransomwaregroepen helemaal geen data meer wordt versleuteld. Dat vindt antivirusbedrijf Emsisoft. De eerste ransomware-aanvallen waren eenvoudig en voornamelijk geautomatiseerd. Vaak waren eindgebruikers het doelwit. Tegenwoordig zijn de aanvallen complexer en is er sprake van "human-operated ransomware" gericht op bedrijven, waarbij aanvallers veel meer "handwerk" verrichten voor het binnendringen van organisaties en verspreiden van de ransomware.

Daarnaast is het gemeengoed voor ransomwaregroepen om voor het uitrollen van ransomware eerst gevoelige data te stelen, om daarmee getroffen organisaties af te persen als ze het gevraagde losgeld niet betalen. Volgens Emsisoft is het versleutelen van data de laatste stap in de aanval, als die al plaatsvindt. "Om het anders te zeggen, aanvallen kunnen ook bestaan uit alleen het stelen van data, zelfs wanneer ze worden uitgevoerd door groepen die normaliter data versleutelen", aldus Emsisoft.

De virusbestrijder stelt dan ook dat ransomwaregroepen ransomwareloze aanvallen uitvoeren. "Dit zorgt voor verwarring bij het bijhouden van statistieken wat als "ransomware" aanval moet worden gezien en wat niet." Volgens Emsisoft kunnen dergelijke incidenten beter worden bestempeld als "data extortion events", waarbij er sprake is van encryptie-gebaseerde data-afpersing en data-afpersing op basis van gestolen gegevens, die elkaar niet hoeven uit te sluiten. "Deze omschrijvingen zijn mogelijk geen ideale vervanging voor "ransomware", maar we zijn er zeker van dat iemand met betere alternatieven kan komen."

Reacties (20)
03-01-2023, 10:45 door Anoniem
De juiste term was toch "double/triple extortion ransomware"?

-W
03-01-2023, 10:48 door Anoniem
In Fallout 3 had je er een mooie omschrijving voor: Reverse pick-pocketing.

Je kon bijvoorbeeld een handgranaat op scherp zetten, dan een NPC besluipen en de handgranaat in zijn jaszak stoppen. Was erg leuk. Dus in plaats van iets stelen, geef je het slachtoffer iets (malware) waardoor je die kan hacken.
03-01-2023, 11:38 door Anoniem
Ransomware is software die data versleutelt en dan via een betaalde sleutel weer vrij geeft...
Is er geen data versleuteld, is het geen ransomware maar een ransomattack via niet-ransomware maar andere soorten aanvallen en software... zo moeilijk is het niet...

Beetje een Tesla die zegt dat we niet meer over brandstof mogen praten want zij hebben stroom...
Leuk, maar 99% van de auto's rijdt nog steeds op satansap (dat er in Noorwegen veel Tesla's rondrijden en dat BEV religieuzen graag hard roepen doet daar niets aan af).

Dus aanval met software die data versleuteld is een ransomware aanval, wordt er data buitgemaakt, is dat wel ransom maar geen ransomware attack.. simpel...
Dat de mainstream media dat niet snapt wisten we al sinds de term Hacker, Cracker, Printerswitch enz door elkaar heen gebruikt werden.
03-01-2023, 11:40 door Anoniem
Is "extortion"-ware geen goede term? Het gaat de criminelen natuurlijk om afpersing, zowel cybercriminelen of statelijke operatoren. Ze willen en/of data of geld.

#obserwator
03-01-2023, 12:07 door Anoniem
Ransom slaat toch op losgeld en afpersing en niet perse op versleuteling en dekt daarmee de lading beter. Je wordt net voor iets anders afgeperst. En event as synoniem van incident lijkt me heel geen goede.
03-01-2023, 12:44 door Anoniem
Door Anoniem: Is "extortion"-ware geen goede term?

Crimeware

https://en.wikipedia.org/wiki/Crimeware
03-01-2023, 13:27 door walmare
Een veel betere term is walmare of te wel windows malware. Het speelt zich immers afgerond 100% af op het windows marketing systeem. Dat voorkomt verwarring bij het bijhouden van statistieken.
03-01-2023, 13:42 door Tintin and Milou - Bijgewerkt: 03-01-2023, 13:48
Door walmare: Een veel betere term is walmare of te wel windows malware. Het speelt zich immers afgerond 100% af op het windows marketing systeem. Dat voorkomt verwarring bij het bijhouden van statistieken.

Gaaaappppp

New wave of data-destroying ransomware attacks hits QNAP NAS devices
https://arstechnica.com/information-technology/2022/09/new-wave-of-data-destroying-ransomware-attacks-hits-qnap-nas-devices/

QNAP gebruikers opnieuw getroffen door ransomware aanvallen op QTS 4.x
Dit is de vierde keer (eerste, tweede, derde) dit jaar dat QNAP een waarschuwing uitstuurt over ransomware.
https://nl.hardware.info/nieuws/81925/qnap-gebruikers-opnieuw-getroffen-door-ransomware-aanvallen-op-qts-4x

Synology warns of malware infecting NAS devices with ransomware
https://www.bleepingcomputer.com/news/security/synology-warns-of-malware-infecting-nas-devices-with-ransomware/
Hacker ransoms 23k MongoDB databases and threatens to contact GDPR authorities

https://www.zdnet.com/article/hacker-ransoms-23k-mongodb-databases-and-threatens-to-contact-gdpr-authorities/
New Linux malware uses 30 plugin exploits to backdoor WordPress sites
A previously unknown Linux malware has been exploiting 30 vulnerabilities in multiple outdated WordPress plugins and themes to inject malicious JavaScript.

According to a report by antivirus vendor Dr. Web, the malware targets both 32-bit and 64-bit Linux systems, giving its operator remote command capabilities.
https://www.bleepingcomputer.com/news/security/new-linux-malware-uses-30-plugin-exploits-to-backdoor-wordpress-sites/

Magento-webwinkels bij grootschalige aanval besmet met malware
https://www.security.nl/posting/670831/Magento-webwinkels+bij+grootschalige+aanval+besmet+met+malware

Never-before-seen malware has infected hundreds of Linux and Windows devices
https://arstechnica.com/information-technology/2022/09/never-before-seen-malware-has-infected-hundreds-of-linux-and-windows-devices/

New Linux malware brute-forces SSH servers to breach networks
https://www.bleepingcomputer.com/news/security/new-linux-malware-brute-forces-ssh-servers-to-breach-networks/
03-01-2023, 14:13 door Erik van Straten
Door Anoniem: Ransomware is software die data versleutelt en dan via een betaalde sleutel weer vrij geeft...
Dat maak jij ervan. Het deel "ware" komt ook voor in software, hardware, malware en bloatware, en zou je dus een "middel" of een "goed" o.i.d. kunnen noemen.

Ransom betekent losgeld en "ware" heeft niets met versleutelen te maken (zie ook https://www.merriam-webster.com/dictionary/ware).

Daarnaast hebben aanvallers ook software nodig om vertrouwelijke gegevens vanaf servers te verzamelen. Als zij niet versleutelen maar wel afpersen, zie ik niet in waarom je dat geen ransomware zou mogen noemen.

Maar als "ransomware" verwarrend is, vooral als malloten daardoor denken dat een offline back-up alle problemen oplost, vind ik iets als "ransom-attack" (iets korter dan extortion-attack) of "IT-ransom-attack" ook prima.
03-01-2023, 14:13 door Anoniem
@Tintin and Milou wordt jij door Microsoft betaald, dat je zo snel in de verdediging schiet? Je snelheid is duidelijk ten kosten van de nauwkeurigheid gegaan. Het stikt er van de ransomware in de wereld, dat is logisch, maar het moet er wel op kunnen komen en dat gaat bij windows kinderlijk eenvoudig. "Based on the ransomware files VirusTotal analyzed for its October 2021 report, 95% of all of them are for Windows PCs": https://storage.googleapis.com/vtpublic/vt-ransomware-report-2021.pdf
Dus wat dat (afgerond 100%) beftreft heeft walmare wel gelijk. De praktijk bevestigt dat. Die andere 5% zit in consumenten spul (QNAP Synology Android etc)
Gaaaappppp
Als mensen zo reageren dan weet je al dat de poster waarschijnlijk gelijk heeft. Een echte onderzoek, zoals hierboven genoemd, wijst daar ook op. Zo maar lukraak wat linkjes plaatsen zegt niet veel.
03-01-2023, 14:59 door Anoniem
Beste Erik,

Maar wat vind je van het feit, dat ze hiermee deze dreiging weer willen opbreken in twee perioden.Namelijk die van voor het benoemen als ransomware en die van daarna. Waarom wil een av-vendor dat?

Ik weet niet waarom. Maar ik kan me soms niet ontrekken aan de 'vreemde' gedachte, dat een heleboel criminaliteit een soort van gedoogd wordt om een beoogde agenda-uitkomst sneller en gemakkelijker te kunnen bereiken.

Zo ook met dit soort van cybercriminaliteit, die ons al sinds 2015 kwelt en nog steeds succesvol werkt voor deze cybercriminelen en hun eventuele opdrachtgevers.

Ik weet, dat je dan direct door sommigen (ook hier) weggezet wordt als conspiracy-theorist, wap of erger.

Maar als je alles zuiver analyseren wil, zijn statelijke ransomware aanvallen dan niet vaak zo te classificeren? Corruptie bedient zich vaak van criminaliteit. Als het om groot geld gaat verdwijnen vaak de ethische overwegingen etc als sneeuw voor de zon....

#webproxy
03-01-2023, 15:02 door Briolet
Volgens mij heeft dit Antivirusbedrijf boter op zijn hoofd.

Wat mij betreft mogen ze pas discussiëren over dit soort definities als ze eerst de omschrijving van hun eigen bedrijfstak ter discussie stellen. Want wat heeft ransomeware nu met virussen te maken?
03-01-2023, 16:34 door Anoniem
Door Briolet: Volgens mij heeft dit Antivirusbedrijf boter op zijn hoofd.

Wat mij betreft mogen ze pas discussiëren over dit soort definities als ze eerst de omschrijving van hun eigen bedrijfstak ter discussie stellen. Want wat heeft ransomeware nu met virussen te maken?
Het is logisch dat een antivirusbedrijf alles breed wil trekken want dan komen ook andere besturingssytemen in het vizier.
Windows marktaandeel neemt af. Linux marktaandeel wordt steeds groter (Microsoft Azure bevat al fors meer Linux VM's dan windows). Men wil dus antivirus/malware (endpoint solutions noemen ze dat) software verkopen voor die andere systemen, waardoor op die andere systemen de onveiligheid allen maar toeneemt door introductie van gesloten 3party software.
Managers trappen dara in en ontwikkelen company procedures dat elk syteem antivirus moet bevatten maar Linux != Windows om maar iets te noemen. Het spekt alleen maar de zakken van dit soort bedrijven. Als het echt een probleem zou zijn zou RedHat wel zo'n product uitleveren.
03-01-2023, 17:15 door Tintin and Milou
Door Anoniem: @Tintin and Milou wordt jij door Microsoft betaald, dat je zo snel in de verdediging schiet?
Nee, maar heb een hekel aan dat soort BS.

Je snelheid is duidelijk ten kosten van de nauwkeurigheid gegaan. Het stikt er van de ransomware in de wereld, dat is logisch, maar het moet er wel op kunnen komen en dat gaat bij windows kinderlijk eenvoudig. "Based on the ransomware files VirusTotal analyzed for its October 2021 report, 95% of all of them are for Windows PCs": https://storage.googleapis.com/vtpublic/vt-ransomware-report-2021.pdf
Dus wat dat (afgerond 100%) beftreft heeft walmare wel gelijk. De praktijk bevestigt dat. Die andere 5% zit in consumenten spul (QNAP Synology Android etc)
Of omdat er veel minder Linux malware geupload wordt?
Virustotal wordt ook heel veel gebruikt icm met Windows applicaties om te scannen.

Check voor de lol eens hoeveel websites er defaced worden? Welk OS komt dan denk je met 99% naar voren?

Gaaaappppp
Als mensen zo reageren dan weet je al dat de poster waarschijnlijk gelijk heeft. Een echte onderzoek, zoals hierboven genoemd, wijst daar ook op. Zo maar lukraak wat linkjes plaatsen zegt niet veel.
Je onderzoek laat zien, dat op basis van de aangeleverde files het 95% is. 95% of zoals ik liet zien, is niet 100%. Zeker niet als we gewoon eens naar het aantal webserver gaan kijken. Dan krijg je ineens hele andere getallen te zien.

Ik beheer diverse grote Windows omgevingen, waarbij ik niet alleen Windows beheer. Ik weet dus ook precies waar de shit zit.
Ligt bijna ook nooit aan Microsoft, maar aan de implementatie, configuratie of beheerders.

Veelal legacy, of je mag de security niet verhogen, omdat gebruikers dit te lastig vinden. Gebruikers moeten met fluwelen handjes vast gehouden worden, ze mogen vooral nergens last van hebben. Probeer dan je hardening maar eens door te voeren.Te lastig, te complex, te duur, te gebruikers onvriendelijk, dus een NO go.
Of die applicatie moet met local admin rechten opgestart worden, en weg is je security model. Of alleen met dat .net framework, welke niet meer ondersteund wordt. Legacy Java, want we willen niet de core applicatie upgrade (mag je raden wel OS daarvoor gebruikt wordt).
Adobe upgrade..... Nee die moet eerst door de volledige test straat gedaan worden, en daarna gefaseerd uitgerold worden. Tegen de tijd dat je dan klaar bent, is de volgende security update al weer gereed.

Maar ik beheer ook omgevingen die volledige lockdowns hebben, je mag gewoon geen vreemde applicatie opstarten.

Server beheer is daarin een stuk gemakkelijker, dan desktop beheer.
03-01-2023, 18:01 door Anoniem
Door Anoniem: Is "extortion"-ware geen goede term? Het gaat de criminelen natuurlijk om afpersing, zowel cybercriminelen of statelijke operatoren. Ze willen en/of data of geld.

#obserwator

"-ware" komt van software. Als er geen malware gebruikt wordt kan je er moeilijk "-ware" achter plakken. Ze gaan eerder "blackmailen" of aan "extortion" doen.

Ik heb het gevoel dat de ransomware nu vooral door criminelen gebruikt wordt om te laten zien dat ze het netwerk in hun controle hebben. En dan de bedrijven blackmailen/extort'en.
03-01-2023, 21:29 door Anoniem
Door Tintin and Milou:
Door Anoniem: @Tintin and Milou wordt jij door Microsoft betaald, dat je zo snel in de verdediging schiet?
Nee, maar heb een hekel aan dat soort BS.

Je snelheid is duidelijk ten kosten van de nauwkeurigheid gegaan. Het stikt er van de ransomware in de wereld, dat is logisch, maar het moet er wel op kunnen komen en dat gaat bij windows kinderlijk eenvoudig. "Based on the ransomware files VirusTotal analyzed for its October 2021 report, 95% of all of them are for Windows PCs": https://storage.googleapis.com/vtpublic/vt-ransomware-report-2021.pdf
Dus wat dat (afgerond 100%) beftreft heeft walmare wel gelijk. De praktijk bevestigt dat. Die andere 5% zit in consumenten spul (QNAP Synology Android etc)
Of omdat er veel minder Linux malware geupload wordt?
Virustotal wordt ook heel veel gebruikt icm met Windows applicaties om te scannen.

Check voor de lol eens hoeveel websites er defaced worden? Welk OS komt dan denk je met 99% naar voren?

Gaaaappppp
Als mensen zo reageren dan weet je al dat de poster waarschijnlijk gelijk heeft. Een echte onderzoek, zoals hierboven genoemd, wijst daar ook op. Zo maar lukraak wat linkjes plaatsen zegt niet veel.
Je onderzoek laat zien, dat op basis van de aangeleverde files het 95% is. 95% of zoals ik liet zien, is niet 100%. Zeker niet als we gewoon eens naar het aantal webserver gaan kijken. Dan krijg je ineens hele andere getallen te zien.

Ik beheer diverse grote Windows omgevingen, waarbij ik niet alleen Windows beheer. Ik weet dus ook precies waar de shit zit.
Ligt bijna ook nooit aan Microsoft, maar aan de implementatie, configuratie of beheerders.

Veelal legacy, of je mag de security niet verhogen, omdat gebruikers dit te lastig vinden. Gebruikers moeten met fluwelen handjes vast gehouden worden, ze mogen vooral nergens last van hebben. Probeer dan je hardening maar eens door te voeren.Te lastig, te complex, te duur, te gebruikers onvriendelijk, dus een NO go.
Of die applicatie moet met local admin rechten opgestart worden, en weg is je security model. Of alleen met dat .net framework, welke niet meer ondersteund wordt. Legacy Java, want we willen niet de core applicatie upgrade (mag je raden wel OS daarvoor gebruikt wordt).
Adobe upgrade..... Nee die moet eerst door de volledige test straat gedaan worden, en daarna gefaseerd uitgerold worden. Tegen de tijd dat je dan klaar bent, is de volgende security update al weer gereed.

Maar ik beheer ook omgevingen die volledige lockdowns hebben, je mag gewoon geen vreemde applicatie opstarten.

Server beheer is daarin een stuk gemakkelijker, dan desktop beheer.
Ik doe netwerkbeheer. Die windows beheerders geven altijd netwerk de schuld, dan vragen wij altijd of ze al een reboot hebben gedaan. Je raadt het wel. windows was toch het probleem.
03-01-2023, 21:47 door Anoniem
Door Briolet: Volgens mij heeft dit Antivirusbedrijf boter op zijn hoofd.
Dat hebben ze allemaal. Als een antivirusbedrijf een persbericht uitgeeft gaat het er om hun naam in beeld te krijgen.
De inhoud van het bericht is niet van belang.
03-01-2023, 22:42 door Anoniem
De pakkans blijft duidelijk ver onder de maat.

Er is voorlopig geen remedie voor of iedereen op de infrastructuur altijd 100% onvervreemdbaar individueel zichtbaar maken en onder volledige voortdurende observatie van een global panopticum.

Maar dan is iedere eindgebruiker de individuele vrijheid al lang kwijt.

En dan pak je ook nog eens de gedoogde statelijke actoren niet.

Dan moet je eerst wachten op de NWO. Misschien zijn deze cybercriminelen ook wel als zekere wegbereiders hiervan te beschouwen. Zomaar een hypothetisch idee. Zal weg weggegooid worden door sommigen hier.

Als men gemakkelijker gepakt zou kunnen worden, houdt het pas op. Maar moet iedereen daarvoor inleveren?

Misschien moeten we het daarom l33t take-over-malware noemen.

Illegalen nemen iets (il)legaal over om mee af te kunnen persen en als daar niet op gereageerd wordt dreigen ze met data te exposen.

Het probleem zal 2023 nog wel uitduren. Dat is gewis.
04-01-2023, 00:19 door Erik van Straten
Door Anoniem: "-ware" komt van software.
Bull shit, zie https://security.nl/posting/779974.
04-01-2023, 11:20 door Anoniem
Wat brengt zulk 'gesteggel' nou in relatie tot handhaving?

Hoe helpen we ransomware en ander persisterende cybercrime de wereld uit?

Oh, het is als met vis, die rot, altijd van de kop naar de staart.
Dat weet iedere visverkoper.

Dus zolang het systeem aan de top door en door corrupt en feitelijk satanisch rot kan blijven opereren, verandert er daaronder ook geen ene r**t. Het geheel rot gewoon door. Tot de boom omgehaald moet worden, want de boomchirurg is aan het eind met de behandeling van pappen en nathouden van de schors.

De goeden niet te na gesproken, maar die zou men het liefst willen laten verdwijnen.

Er zitten er hier gelukkig voor iedereen nog een flink stel bevlogen 'untouchable' experts. Hun knowhow is gratis hier te lezen. Doe er je voordeel mee en weet het is altijd makkelijker een grey of black hat te dragen als een white hat te zijn. Het zal je niet in dank worden afgenomen! The good, the bad and the ugly, weten we nog - oudje?

Iemand eigenlijk een goed en werkzaam idee hoe ransomware 'zu beseitigen'?

#obserwator
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.