Bestuurlijk advies: backup tegen cryptoware
Opgesteld door: Politie, Landelijke Eenheid, Dienst landelijke Recherche, Team High Tech Crime & het Nationaal Cyber Security Centrum Driebergen, januari 2014 Ontvanger / afdeling / functie (nader in de vullen)
[email protected]
1. Inleiding
Het team High Tech Crime van de Nationale Politie geeft bestuurlijke adviezen af wanneer vanuit haar opsporingsactiviteiten zicht wordt verkregen op een een vorm van criminaliteit die om een bestuurlijke of private interventie vraagt. Het doel van een dergelijk advies is om deze vorm van criminaliteit en door de Politie gesignaleerde knelpunten bij de bestrijding ervan onder de aandacht te brengen. Met een bestuurlijk advies wordt de betrokken instantie of branche daarnaast zoveel mogelijk geadviseerd om bepaalde maatregelen te nemen. Ransomware; inmiddels een bekend probleem Het Team High Tech Crime doet al enkele jaren onderzoek naar ransomware. Dit is malware (kwaadaardige software) waarmee de computer van een slachtoffer ontoegankelijk wordt gemaakt. De computer toont een melding dat deze alleen zal worden ontgrendeld als het slachtoffer geld betaalt. Naar schatting 5% van alle slachtoffers betaalt, al leidt dit zelden tot ontgrendeling. Door de malware te verwijderen is de computer wel weer toegankelijk te maken. Deze vorm van cybercrime loont en het aantal criminele organisaties dat zich hiermee bezighoudt stijgt. Tegelijkertijd groeit het maatschappelijk bewustzijn dat men niet moet betalen, maar de computer dient te ‘desinfecteren’. In opkomst: Cryptoware Uit zowel open bronnen als uit binnen-‐ en buitenlandse politie-‐informatie blijkt nu de opkomst van een andere variant: cryptoware1. Hier is het doel van de gijzeling niet de computer zelf, maar de bestanden op de computer. Het kan gaan om bestanden in alle formaten op de harde schijf van de computer, maar ook een virtual (cloud) disk, externe harde schijf en usb-‐sticks kunnen tijdens een besmetting worden vergrendeld. Ook (gedeelde) bestanden die zijn opgeslagen in bedrijfsnetwerken kunnen worden versleuteld. Het bereik van de versleuteling hangt af van de privileges van de werknemer in het netwerk. De versleuteling is, in tegenstelling tot die van de meeste ransomware, onomkeerbaar. De encryptie is van een dusdanige kwaliteit dat kraken geen optie is. Soms leidt betaling daadwerkelijk tot ontsleuteling van één of meer gegijzelde bestanden. Dit fenomeen werd tot nu toe nog niet vaak aangetroffen. Inmiddels neemt het aantal slachtoffers wereldwijd toe. De Nederlandse politie heeft al enkele aangiftes ontvangen van particulieren en bedrijven.
1
Zie bijvoorbeeld http://nakedsecurity.sophos.com/2013/10/18/CryptoLocker-‐ransomware-‐see-‐how-‐ it-‐works-‐learn-‐about-‐prevention-‐cleanup-‐and-‐recovery/
2. Doel
Door middel van deze bestuurlijke rapportage waarschuwt de politie voor cryptoware. Wij adviseren burgers, overheidsdiensten en bedrijven om alle mogelijke voorzorgmaatregelen te nemen om besmetting te voorkomen en, indien deze toch plaatsvindt, hiervan te kunnen herstellen. De politie waarschuwt in het bijzonder MKB-‐bedrijven en lagere overheden, die het meest aantrekkelijke doelwit lijken te zijn. De versleuteling van bestanden is een onomkeerbaar proces. Antivirussoftware kan de malware wel van de computer verwijderen, maar de bestanden niet terug brengen; de versleuteling is niet te doorbreken. Het zeer regelmatig maken van complete backups is de enig bekende tegenmaatregel.
3. Knelpunten
Businessmodel Wanneer een computer besmet is met cryptoware en de bestanden versleuteld zijn, zijn deze niet te ontsleutelen door iemand anders dan de dader. De versleuteling is onomkeerbaar. Na tijdige betaling worden de bestanden soms ontgrendeld. Daders dreigen echter ook om de ontsleutelcodes binnen enkele dagen weg te gooien. Hierna is ontgrendeling niet meer mogelijk. De meeste slachtoffers zijn financieel wel in staat om de betaling te voldoen en betalen soms dan ook. De doelgroep maakt zichzelf voor de toekomst aantrekkelijker door het criminele businessmodel succesvol te maken. Besmetting Een computer kan op diverse manieren besmet raken. De meest voorkomende wijze van besmetting verloopt via besmette hyperlinks of attachments in spammail. Slachtoffers die deze mails openen besmetten op deze manier ongewild hun eigen computer. Een andere manier is gebruikers omleiden naar een gehackte website, advertentie of pop-‐up. De gehackte pagina zoekt vervolgens naar zwakheden in de sofware van het slachtoffer. Hier merkt de gebruiker in eerste instantie niets van. Veelgebruikte zwakheden zitten in Java, Flash en PDF. Tot slot wordt gebruik gemaakt van botnets2. Dit betekent dat cryptoware verspreid wordt via de malware die zich reeds op de computer van het slachtoffer bevindt. Grenze(n)loos Achter een besmetting met cryptoware kunnen diverse criminele organisaties schuilgaan afkomstig uit verschillende landen. Daders hebben veelal online contact en aanvallen kunnen op afstand uitgevoerd worden. Dit maakt het opsporen van de daders lastig voor (Nederlandse) opsporingsdiensten. Dit maakt preventie des te belangrijker. Doelwitten Alle computergebruikers, particulieren of organisaties, kunnen besmet worden met cryptoware. Met name het Windows-‐besturingssysteem is een doelwit, al is niet uit te sluiten dat andere besturingssystemen in de nabije toekomst hier ook mee te maken krijgen. Aanvallen die in het buitenland zijn waargenomen zijn vooral gericht op het midden-‐ en kleinbedrijf. Deze bedrijven beschikken over voldoende financiën, hebben toegang tot hun bestanden nodig om hun bedrijfsprocessen op gang te houden en willen imagoschade voorkomen. Het grootste verschil met grote organisaties is dat het MKB minder geld kan besteden aan beveiliging. Ze beschikken niet altijd over ICT-‐beheer, een backupbeleid of autorisatiebeheer. Hierdoor vormen ze een aantrekkelijk doelwit.
2
http://nakedsecurity.sophos.com/2013/10/18/CryptoLocker-‐ransomware-‐see-‐how-‐it-‐works-‐learn-‐ about-‐prevention-‐cleanup-‐and-‐recovery/
Andere mogelijke doelwitten zijn lagere overheden zoals gemeenten. Organisaties met een goed beveiligde ICT-‐omgeving, waaronder de vitale sectoren, lopen minder risico op besmetting. De gevolgen van een besmetting met cryptoware kunnen wel veel groter zijn. Hoe komt cryptoware op een computer?
Bijlagen en links in spam zijn belangrijke aanvalsvectoren. Veel gebruikers downloaden en installeren zelf hun malware. De gebruiker denkt bijvoorbeeld een PDF bestand te openen maar dit blijkt in werkelijkheid het virus te zijn. In de meeste gevallen krijgt de gebruiker een waarschuwing, maar deze wordt door gebruikers vaak weg geklikt. Het gebeurt ook dat websites, of hun advertentienetwerken, worden gehackt waardoor een betrouwbaar ogende site toch bezoekers besmet met malware. Een computer kan al ook langere tijd onderdeel uitmaken van een botnet. In dat geval is het vrij eenvoudig om de cryptoware te installeren via een backdoor. Goed patch management, actuele antivirussoftware en oplettende gebruikers verkleinen de kans op malware, maar bieden geen garanties.
Een andere, relatief nieuwe, modus operandi is het gebruik van exploitkits. Advertenties of code in gehackte websites verwijzen naar de webpagina van een exploitkit. De exploitkit heeft een webpagina die allerlei pogingen doet om de webbrowser te compromitteren middels de exploitatie van zwakheden. De meest gebruikte zwakheden zitten in Java, Flash en PDF. Het lijkt er op dat de huidige varianten van cryptoware, na activatie, op het systeem van het slachtoffer op zoek gaan naar documenten, foto's en andere bestanden op schijven voorzien van een schijfletter (inclusief netwerkschijven en virtuele 'cloud'-‐disks) om deze te versleutelen. Apple producten zijn niet immuun voor exploitkits, er is alleen nog geen ransomware of cryptoware op waargenomen. Ook de andere malware komt (nog) nauwelijks voor op de besturingssystemen OSX en Linux.
4. Maatschappelijke relevantie
Het risico om slachtoffer te worden van cryptoware lijkt, afhankelijk van de mate van beveiliging van de ICT-‐structuur, groot. Bij slachtoffers kan besmetting leiden tot aanzienlijke schade. Bestanden raken ontoegankelijk en bedrijfsprocessen kunnen in gevaar komen. Voor organisaties kan dit leiden tot ernstige imagoschade en financiële schade. Betaling van het losgeld kan voor slachtoffers een oplossing lijken. Maar ontsleuteling van bestanden is niet gegarandeerd. Betaling trekt ook nieuwe aanvallen aan. Dit betekent voor alle potentiele slachtoffers een toename van het risico. Kortom: als er geen voorzorgmaatregelen worden genomen tegen dit fenomeen, is de kans aanwezig dat Nederland hiervan schade zal ondervinden. Wanneer organisaties in een vicieuze cirkel van besmetting en betaling terecht komen, is de kans groot dat het fenomeen sterk zal toenemen.
5. Aanbevelingen / gewenste maatregel
Wanneer een computer of netwerk eenmaal besmet is met cryptoware, kunnen er geen tot weinig maatregelen genomen worden. Dit maakt preventie des te belangrijker. Wij adviseren organisaties om hun weerbaarheid tegen malware-‐aanvallen te vergroten en ook maatregelen te nemen om hiervan, zo nodig, direct weer te herstellen. Hiervoor is een tijdige investering noodzakelijk.
•
Het maken van backups is het belangrijkste advies. Een backup terugzetten is de beste manier om versleutelde bestanden terug te krijgen. Let op: koppel een backup-‐systeem niet constant aan, omdat het dan zelf ook besmet of versleuteld kan raken! Bewaar de back ups dus bij voorkeur offline. Voor MKB-‐bedrijven is het regelmatig wegschrijven van zakelijke documenten op DVD mogelijk een relatief eenvoudige maatregel.
•
Zorg dat het terugzetten van backups getest is. Wanneer versleuteling heeft plaatsgevonden, is gedetailleerde kennis van de eigen systemen van groot belang.
•
Voorlichting van medewerkers is een belangrijk onderdeel van preventie. Het ondoordacht openen van e-‐mails vormt een risico. Maak medewerkers binnen de organisatie bewust van de risico’s van cryptoware en geef instructies over hoe de kans op besmetting verkleind kan worden. De komst van exploitkits maakt echter dat voorlichting alleen niet voldoende is; een besmetting kan immers volgen uit normaal internetgebruik.
•
Minimaliseer de kans dat kritieke systemen worden getroffen. Goede antivirussoftware (en het updaten hiervan!) is onontbeerlijk. Hanteer een goed patch-‐management voor besturingssystemen en software. Kijk voor preventieve maatregelen op de website van het Nationaal Cyber Security Centrum of bij anti virus bedrijven. Indien mogelijk, isoleer gevoelige of kritieke systemen van het internet.
•
Neem maatregelen om de schade bij besmetting te minimaliseren. Neem de autorisatie-‐ instellingen op het netwerk eens kritisch onder de loep; het waar mogelijk veranderen van schrijfrecht naar leesrecht van schijven of bestanden kan veel schade voorkomen.
6. Afsluitend
Het Team High Tech Crime en Nationaal Cyber Security Centrum hopen u middels dit advies voldoende te hebben voorgelicht. Meer informatie over cryptoware kan worden gevonden op onderstaande websites: • https://www.ncsc.nl/dienstverlening/expertise-‐advies/kennisdeling/factsheets/factsheet-‐10-‐ vuistregels-‐voor-‐veilig-‐internetten.html (tips voor preventieve maatregelen tegen cryptoware) • https://community.mcafee.com/docs/DOC-‐5473 (McAfee cryptolocker faq "the NSA could probably do it") • http://technet.microsoft.com/en-‐us/library/cc786941(v=ws.10).aspx (Restriction policies) Als uw organisatie slachtoffer is geworden van cryptoware kunt u hiervan aangifte doen bij de politie. Aangifte zal niet leiden tot een oplossing voor uw probleem, maar geeft de politie en het Nationaal Cyber Security Centrum wel meer inzicht in de omvang van het probleem. Illustratie voorpagina: www.computable.nl Illustratie pagina 1: http://nakedsecurity.sophos.com