Bestuurlijk advies: backup tegen cryptoware

 

   

Bestuurlijk  advies:   backup  tegen  cryptoware  

 

     

      Opgesteld  door:  Politie,  Landelijke  Eenheid,  Dienst  landelijke  Recherche,  Team  High  Tech  Crime     &  het  Nationaal  Cyber  Security  Centrum   Driebergen,  januari  2014   Ontvanger  /  afdeling  /  functie  (nader  in  de  vullen)   [email protected]        

1.  Inleiding  

Het  team  High  Tech  Crime  van  de  Nationale  Politie  geeft  bestuurlijke  adviezen  af  wanneer  vanuit  haar   opsporingsactiviteiten  zicht  wordt  verkregen  op  een  een  vorm  van  criminaliteit  die  om  een  bestuurlijke   of  private  interventie  vraagt.  Het  doel  van  een  dergelijk  advies  is  om  deze  vorm  van  criminaliteit  en   door  de  Politie  gesignaleerde  knelpunten  bij  de  bestrijding  ervan  onder  de  aandacht  te  brengen.  Met   een  bestuurlijk  advies  wordt  de  betrokken  instantie  of  branche  daarnaast  zoveel  mogelijk  geadviseerd   om  bepaalde  maatregelen  te  nemen.     Ransomware;  inmiddels  een  bekend  probleem   Het  Team  High  Tech  Crime  doet  al  enkele  jaren  onderzoek  naar  ransomware.  Dit  is  malware   (kwaadaardige  software)  waarmee  de  computer  van  een  slachtoffer  ontoegankelijk  wordt  gemaakt.  De   computer  toont  een  melding  dat  deze  alleen  zal  worden  ontgrendeld  als  het  slachtoffer  geld  betaalt.   Naar  schatting  5%  van  alle  slachtoffers  betaalt,  al  leidt  dit  zelden  tot  ontgrendeling.  Door  de  malware   te  verwijderen  is  de  computer  wel  weer  toegankelijk  te  maken.  Deze  vorm  van  cybercrime  loont  en   het  aantal  criminele  organisaties  dat  zich  hiermee  bezighoudt  stijgt.  Tegelijkertijd  groeit  het   maatschappelijk  bewustzijn  dat  men  niet  moet  betalen,  maar  de  computer  dient  te  ‘desinfecteren’.     In  opkomst:  Cryptoware   Uit  zowel  open  bronnen  als  uit  binnen-­‐  en  buitenlandse  politie-­‐informatie  blijkt  nu  de  opkomst  van   een  andere  variant:  cryptoware1.  Hier  is  het  doel  van  de  gijzeling  niet  de  computer  zelf,  maar  de   bestanden  op  de  computer.  Het  kan  gaan  om  bestanden  in  alle  formaten  op  de  harde  schijf  van  de   computer,  maar  ook  een  virtual  (cloud)  disk,  externe  harde  schijf  en  usb-­‐sticks  kunnen  tijdens  een   besmetting  worden  vergrendeld.  Ook  (gedeelde)  bestanden  die  zijn  opgeslagen  in  bedrijfsnetwerken   kunnen  worden  versleuteld.  Het  bereik  van  de  versleuteling  hangt  af  van  de  privileges  van  de   werknemer  in  het  netwerk.  De  versleuteling  is,  in  tegenstelling  tot  die  van  de  meeste  ransomware,   onomkeerbaar.  De  encryptie  is  van  een  dusdanige  kwaliteit  dat  kraken  geen  optie  is.  Soms  leidt   betaling  daadwerkelijk  tot  ontsleuteling  van  één  of  meer  gegijzelde  bestanden.  Dit  fenomeen  werd  tot   nu  toe  nog  niet  vaak  aangetroffen.  Inmiddels  neemt  het  aantal  slachtoffers  wereldwijd  toe.  De   Nederlandse  politie  heeft  al  enkele  aangiftes  ontvangen  van  particulieren  en  bedrijven.      

   

 

                                                                                                                1

Zie  bijvoorbeeld  http://nakedsecurity.sophos.com/2013/10/18/CryptoLocker-­‐ransomware-­‐see-­‐how-­‐ it-­‐works-­‐learn-­‐about-­‐prevention-­‐cleanup-­‐and-­‐recovery/    

2.  Doel  

  Door  middel  van  deze  bestuurlijke  rapportage  waarschuwt  de  politie  voor  cryptoware.  Wij  adviseren   burgers,  overheidsdiensten  en  bedrijven  om  alle  mogelijke  voorzorgmaatregelen  te  nemen  om   besmetting  te  voorkomen  en,  indien  deze  toch  plaatsvindt,  hiervan  te  kunnen  herstellen.  De  politie   waarschuwt  in  het  bijzonder  MKB-­‐bedrijven  en  lagere  overheden,  die  het  meest  aantrekkelijke  doelwit   lijken  te  zijn.  De  versleuteling  van  bestanden  is  een  onomkeerbaar  proces.  Antivirussoftware  kan  de   malware  wel  van  de  computer  verwijderen,  maar  de  bestanden  niet  terug  brengen;  de  versleuteling  is   niet  te  doorbreken.  Het  zeer  regelmatig  maken  van  complete  backups  is  de  enig  bekende   tegenmaatregel.      

3.  Knelpunten  

  Businessmodel   Wanneer  een  computer  besmet  is  met  cryptoware  en  de  bestanden  versleuteld  zijn,  zijn  deze  niet  te   ontsleutelen  door  iemand  anders  dan  de  dader.  De  versleuteling  is  onomkeerbaar.  Na  tijdige  betaling   worden  de  bestanden  soms  ontgrendeld.  Daders  dreigen  echter  ook  om  de  ontsleutelcodes  binnen   enkele  dagen  weg  te  gooien.  Hierna  is  ontgrendeling  niet  meer  mogelijk.  De  meeste  slachtoffers  zijn   financieel  wel  in  staat  om  de  betaling  te  voldoen  en  betalen  soms  dan  ook.  De  doelgroep  maakt   zichzelf  voor  de  toekomst  aantrekkelijker  door  het  criminele  businessmodel  succesvol  te  maken.     Besmetting   Een  computer  kan  op  diverse  manieren  besmet  raken.  De  meest  voorkomende  wijze  van  besmetting   verloopt  via  besmette  hyperlinks  of  attachments  in  spammail.  Slachtoffers  die  deze  mails  openen   besmetten  op  deze  manier  ongewild  hun  eigen  computer.  Een  andere  manier  is  gebruikers  omleiden   naar  een  gehackte  website,  advertentie  of  pop-­‐up.  De  gehackte  pagina  zoekt  vervolgens  naar   zwakheden  in  de  sofware  van  het  slachtoffer.  Hier  merkt  de  gebruiker  in  eerste  instantie  niets  van.   Veelgebruikte  zwakheden  zitten  in  Java,  Flash  en  PDF.  Tot  slot  wordt  gebruik  gemaakt  van  botnets2.     Dit  betekent  dat  cryptoware  verspreid  wordt  via  de  malware  die  zich  reeds  op  de  computer  van  het   slachtoffer  bevindt.       Grenze(n)loos   Achter  een  besmetting  met  cryptoware  kunnen  diverse  criminele  organisaties  schuilgaan  afkomstig  uit   verschillende  landen.  Daders  hebben  veelal  online  contact  en  aanvallen  kunnen  op  afstand  uitgevoerd   worden.  Dit  maakt  het  opsporen  van  de  daders  lastig  voor  (Nederlandse)  opsporingsdiensten.  Dit   maakt  preventie  des  te  belangrijker.     Doelwitten   Alle  computergebruikers,  particulieren  of  organisaties,  kunnen  besmet  worden  met  cryptoware.  Met   name  het  Windows-­‐besturingssysteem  is  een  doelwit,  al  is  niet  uit  te  sluiten  dat  andere   besturingssystemen  in  de  nabije  toekomst  hier  ook  mee  te  maken  krijgen.     Aanvallen  die  in  het  buitenland  zijn  waargenomen  zijn  vooral  gericht  op  het  midden-­‐  en  kleinbedrijf.   Deze  bedrijven  beschikken  over  voldoende  financiën,  hebben  toegang  tot  hun  bestanden  nodig  om   hun  bedrijfsprocessen  op  gang  te  houden  en  willen  imagoschade  voorkomen.  Het  grootste  verschil   met  grote  organisaties  is  dat  het  MKB  minder  geld  kan  besteden  aan  beveiliging.  Ze  beschikken  niet   altijd  over  ICT-­‐beheer,  een  backupbeleid  of  autorisatiebeheer.  Hierdoor  vormen  ze  een  aantrekkelijk   doelwit.    

                                                                                                                2

 http://nakedsecurity.sophos.com/2013/10/18/CryptoLocker-­‐ransomware-­‐see-­‐how-­‐it-­‐works-­‐learn-­‐ about-­‐prevention-­‐cleanup-­‐and-­‐recovery/  

  Andere  mogelijke  doelwitten  zijn  lagere  overheden  zoals  gemeenten.  Organisaties  met  een  goed   beveiligde  ICT-­‐omgeving,  waaronder  de  vitale  sectoren,  lopen  minder  risico  op  besmetting.  De   gevolgen  van  een  besmetting  met  cryptoware  kunnen  wel  veel  groter  zijn.       Hoe  komt  cryptoware  op  een  computer?  

 

Bijlagen  en  links  in  spam  zijn  belangrijke  aanvalsvectoren.  Veel  gebruikers  downloaden  en   installeren  zelf  hun  malware.  De  gebruiker  denkt  bijvoorbeeld  een  PDF  bestand  te  openen  maar  dit   blijkt  in  werkelijkheid  het  virus  te  zijn.  In  de  meeste  gevallen  krijgt  de  gebruiker  een  waarschuwing,   maar  deze  wordt  door  gebruikers  vaak  weg  geklikt.     Het  gebeurt  ook  dat  websites,  of  hun  advertentienetwerken,  worden  gehackt  waardoor  een   betrouwbaar  ogende  site  toch  bezoekers  besmet  met  malware.  Een  computer  kan  al  ook  langere   tijd  onderdeel  uitmaken  van  een  botnet.  In  dat  geval  is  het  vrij  eenvoudig  om  de  cryptoware  te   installeren  via  een  backdoor.  Goed  patch  management,  actuele  antivirussoftware  en  oplettende   gebruikers  verkleinen  de  kans  op  malware,  maar  bieden  geen  garanties.    

 

Een  andere,  relatief  nieuwe,  modus  operandi  is  het  gebruik  van  exploitkits.  Advertenties  of  code  in   gehackte  websites  verwijzen  naar  de  webpagina  van  een  exploitkit.  De  exploitkit  heeft  een   webpagina  die  allerlei  pogingen  doet  om  de  webbrowser  te  compromitteren  middels  de  exploitatie   van  zwakheden.  De  meest  gebruikte  zwakheden  zitten  in  Java,  Flash  en  PDF.     Het  lijkt  er  op  dat  de  huidige  varianten  van  cryptoware,  na  activatie,  op  het  systeem  van  het   slachtoffer  op  zoek  gaan  naar  documenten,  foto's  en  andere  bestanden  op  schijven  voorzien  van   een  schijfletter  (inclusief  netwerkschijven  en  virtuele  'cloud'-­‐disks)  om  deze  te  versleutelen.       Apple  producten  zijn  niet  immuun  voor  exploitkits,  er  is  alleen  nog  geen  ransomware  of  cryptoware   op  waargenomen.  Ook  de  andere  malware  komt  (nog)  nauwelijks  voor  op  de  besturingssystemen   OSX  en  Linux.  

   

4.  Maatschappelijke  relevantie  

Het  risico  om  slachtoffer  te  worden  van  cryptoware  lijkt,  afhankelijk  van  de  mate  van  beveiliging  van   de  ICT-­‐structuur,  groot.  Bij  slachtoffers  kan  besmetting  leiden  tot  aanzienlijke  schade.  Bestanden  raken   ontoegankelijk  en  bedrijfsprocessen  kunnen  in  gevaar  komen.  Voor  organisaties  kan  dit  leiden  tot   ernstige  imagoschade  en  financiële  schade.       Betaling  van  het  losgeld  kan  voor  slachtoffers  een  oplossing  lijken.  Maar  ontsleuteling  van  bestanden  is   niet  gegarandeerd.  Betaling  trekt  ook  nieuwe  aanvallen  aan.  Dit  betekent  voor  alle  potentiele   slachtoffers  een  toename  van  het  risico.     Kortom:  als  er  geen  voorzorgmaatregelen  worden  genomen  tegen  dit  fenomeen,  is  de  kans  aanwezig   dat  Nederland  hiervan  schade  zal  ondervinden.  Wanneer  organisaties  in  een  vicieuze  cirkel  van   besmetting  en  betaling  terecht  komen,  is  de  kans  groot  dat  het  fenomeen  sterk  zal  toenemen.    

5.  Aanbevelingen  /  gewenste  maatregel  

Wanneer  een  computer  of  netwerk  eenmaal  besmet  is  met  cryptoware,  kunnen  er  geen  tot  weinig   maatregelen  genomen  worden.  Dit  maakt  preventie  des  te  belangrijker.  Wij  adviseren  organisaties  om   hun  weerbaarheid  tegen  malware-­‐aanvallen  te  vergroten  en  ook  maatregelen  te  nemen  om  hiervan,   zo  nodig,  direct  weer  te  herstellen.  Hiervoor  is  een  tijdige  investering  noodzakelijk.  

  •

Het  maken  van  backups  is  het  belangrijkste  advies.  Een  backup  terugzetten  is  de  beste  manier   om  versleutelde  bestanden  terug  te  krijgen.  Let  op:  koppel  een  backup-­‐systeem  niet  constant   aan,  omdat  het  dan  zelf  ook  besmet  of  versleuteld  kan  raken!  Bewaar  de  back  ups  dus  bij   voorkeur  offline.  Voor  MKB-­‐bedrijven  is  het  regelmatig  wegschrijven  van  zakelijke  documenten   op  DVD  mogelijk  een  relatief  eenvoudige  maatregel.  

•

Zorg  dat  het  terugzetten  van  backups  getest  is.  Wanneer  versleuteling  heeft  plaatsgevonden,   is  gedetailleerde  kennis  van  de  eigen  systemen  van  groot  belang.    

•

Voorlichting  van  medewerkers  is  een  belangrijk  onderdeel  van  preventie.  Het  ondoordacht   openen  van  e-­‐mails  vormt  een  risico.  Maak  medewerkers  binnen  de  organisatie  bewust  van  de   risico’s  van  cryptoware  en  geef  instructies  over  hoe  de  kans  op  besmetting  verkleind  kan   worden.  De  komst  van  exploitkits  maakt  echter  dat  voorlichting  alleen  niet  voldoende  is;  een   besmetting  kan  immers  volgen  uit  normaal  internetgebruik.  

•

Minimaliseer  de  kans  dat  kritieke  systemen  worden  getroffen.  Goede  antivirussoftware  (en   het  updaten  hiervan!)  is  onontbeerlijk.  Hanteer  een  goed  patch-­‐management  voor   besturingssystemen  en  software.  Kijk  voor  preventieve  maatregelen  op  de  website  van  het   Nationaal  Cyber  Security  Centrum  of  bij  anti  virus  bedrijven.  Indien  mogelijk,  isoleer  gevoelige   of  kritieke  systemen  van  het  internet.  

•

Neem  maatregelen  om  de  schade  bij  besmetting  te  minimaliseren.  Neem  de  autorisatie-­‐ instellingen  op  het  netwerk  eens  kritisch  onder  de  loep;  het  waar  mogelijk  veranderen  van   schrijfrecht  naar  leesrecht  van  schijven  of  bestanden  kan  veel  schade  voorkomen.    

 

 

   

 

 

6.  Afsluitend  

  Het  Team  High  Tech  Crime  en  Nationaal  Cyber  Security  Centrum  hopen  u  middels  dit  advies  voldoende   te  hebben  voorgelicht.  Meer  informatie  over  cryptoware  kan  worden  gevonden  op  onderstaande   websites:   • https://www.ncsc.nl/dienstverlening/expertise-­‐advies/kennisdeling/factsheets/factsheet-­‐10-­‐ vuistregels-­‐voor-­‐veilig-­‐internetten.html  (tips  voor  preventieve  maatregelen  tegen  cryptoware)     • https://community.mcafee.com/docs/DOC-­‐5473  (McAfee  cryptolocker  faq  "the  NSA  could   probably  do  it")   • http://technet.microsoft.com/en-­‐us/library/cc786941(v=ws.10).aspx  (Restriction  policies)       Als  uw  organisatie  slachtoffer  is  geworden  van  cryptoware  kunt  u  hiervan  aangifte  doen  bij  de  politie.   Aangifte  zal  niet  leiden  tot  een  oplossing  voor  uw  probleem,  maar  geeft  de  politie  en  het  Nationaal   Cyber  Security  Centrum  wel  meer  inzicht  in  de  omvang  van  het  probleem.                         Illustratie  voorpagina:  www.computable.nl     Illustratie  pagina  1:  http://nakedsecurity.sophos.com