Afgelopen september hoorde ik voor het eerst van cryptolocker, een zeer serieuze computerbedreiging. Cryptolocker is een hoogst geavanceerd virus met een bijpassend business model.
Kort gezegd is cryptolocker een stuk ransomware. Het is een virus die een computer besmet, de bestanden encrypt en tegen betaling een passende sleutel aanbiedt om overal weer bij te komen. In tegenstelling tot de ransomware die we tot op heden tegen kwamen past cryptolocker echter zeer serieuze encryptie toe, met gebruikmaking van pki-achtige technieken.
Hoe werkt cryptolocker?
In de meeste gevallen raakt een pc besmet via spam, waarbij een gebruiker een kwaadaardige bijlage heeft geopend. Na besmetting van de pc met cryptolocker worden alle gebruikers bestanden (zoals .docx, .jpg, .xls, et cetera) ge-encrypt. Bijzonder is dat cryptolocker niet alleen op de lokale harde schijf kijkt. De software encrypt ook usb-sticks, gekoppelde netwerk shares (bijvoorbeeld nas), en zelfs cloud drives. De sleutel wordt na het encrypten weggegooid.
De gebruiker krijgt vervolgens de keuze tussen het betalen van driehonderd dollar, via MoneyPak of Bitcoin, in ruil voor een sleutel om de bestanden te decrypten, of gedag zeggen tegen de bestanden. Deze keuze moet wel binnen 72 uur gemaakt worden.
De tweestrijd bij het aanpakken van cryptolocker
Cryptolocker maakt gebruik van veel servers op internet. Deze servers worden onder andere gebruikt om encryptie/decryptie sleutels te verspreiden. Verschillende (overheids)diensten jagen actief op deze servers en proberen ze uit te schakelen. Dat werkt goed bij een standaard botnet bijvoorbeeld, maar in dit geval is er een keerzijde aan de medaille. Het kan namelijk zo zijn dat een getroffen gebruiker betaalt om zijn bestanden terug te krijgen, maar dat de server met daarop zijn decryptie sleutel door de politie is ontmanteld.
De adviezen spreken elkaar dan ook tegen. In Nederland zegt de politie niet te betalen, in de Verenigde Staten echter zijn er zelfs politiebureaus die de betaling voor je verrichten en je helpen om uit de ellende te komen.
Er bestaat in dit geval geen beste advies is. Natuurlijk moet je criminelen niet betalen, maar als al je bedrijfsdocumenten verdwenen zijn wil je wel graag een oplossing. En het laatste waar je dan behoefte aan hebt is tegengewerkt worden door politie en opsporingsinstanties.
Waar gaat het heen?
Het meest schrikbarende aan cryptelocker is eigenlijk niet zozeer de technologie die toegepast is. Die is bekend, en we konden er op wachten dat het een keer door kwaadwillenden ingezet zou gaan worden.
Het business model achter cryptolocker is eigenlijk veel angstaanjagender. Feitelijk is cryptolocker een ‘perfect product’. Het doet wat het moet doen en dan nog zeer goed ook. Daarnaast lijkt de klantenservice niet eens zo beroerd. Er worden steeds meer mogelijkheden aangeboden om uit de ellende te komen. Voor (veel) extra geld kun je zelfs de termijn van 72 uur overschrijven bijvoorbeeld.
Ik vrees dat cryptolocker de eerste incarnatie is van een nieuwe generatie kwaadaardige software. Cryptolocker verlegt de lat voor virusbouwers en kan dienen als referentiemodel voor andere virusontwikkelaars. Een goede bescherming tegen cryptolocker vergt werkelijk een beveiligingsmodel over verschillende lagen. Een echte uitdaging voor de security specialist.
Voor iemand die volgens zijn profiel kennis heeft van Linux en Open Source is het apart dat de schrijver gemakshalve vergeet te melden dat het cryptolocker probleem alleen geldt voor gebruikers met een Microsoft Operating System. Zoals Jan van Leeuwen terecht opmerkt heeft (een) Linux (gebruiker) er geen last. “Aapjes” (?) of niet, dit probleem begint met het OS.
Als je als bedrijf serieus werk maakt van OS onafhankelijk ontsluiten van applicaties dan kan dat onveilige, te dure Operating System eruit. En dan kan ook nog eens iedereen met zijn tablet of smartphone bij de bedrijfsinformatie. Vinkje bij BYOD en de CEO heeft ook weer een verhaal voor op de golfbaan (natuurlijk wel even TLS 1.2 en two-factor authentication gebruiken).
De toekomst is helemaal niet donker maar biedt juist kansen. Als Oracle, SAP, Siebel, Salesforce etc. hun apps via een webinterface aanbieden dan is een ouderwetse dure fat client met een onveilig OS niet meer nodig. De slimme ICT leverancier grijpt deze kans door oplossingen aan te bieden die hierop inspelen. De vraag is of de afnemers het probleem eindelijk bij de wortel aanpakken door die traditionele desktop eruit te gooien of dat ze zich wederom in slaap laten sussen door beloftes van de marketing machine uit Redmond.
Dat we in een zeer flexibele wereld leven is af te leiden aan de manier hoe we software hebben gefabriceerd.
Hoe meer rekbaarheid we nodig dachten te hebben (software ontwikkelaars),
des te meer het kwetsbaar werd in de ruime betekenis.
Commercieel gezien leek alles voor de wind te gaan,vooral die gasten van o.a microsoft natuurlijk.
Ik concludeer namelijk gewoon maar even dat diegene die het virus ooit in leven brachten min of meer een ordinaire concurent geweest moet zijn die een ploegje metselaars inhuurde(nerds met een krantenwijk).
pas veel later zagen meer partijen het grote voordeel hierin en zo was er een verdien model geboren.
Laten we vooral niet al die toeters en bellen meer gaan uitbelichten want dat is meer voer voor de echte specialisten vrees ik.
Voor voorlopig moeten we maar weer eens rustig afwachten of die code gekraakt kan worden en dat is nog maar te hopen.(analyse).
Op hoop van zegen
Mvg Mitch anti nerd.
————-
Als je altijd een back-up maakt, of je belamgrijke data op een externe schijf hebt staan, dan kun je toch naar de fabriekstoestand gaan of Windows opnieuw installeren?
Graag een mening