De eerste overwinning van het No More Ransom Platform is een feit. Kaspersky Lab wees de politie en het Openbaar Ministerie op de locatie van de WildFire command and control-server, waarna ze de server offline haalden. Hierbij werden bijna 5800 decryptiesleutels bemachtigd, waarvan drieduizend voor Nederlandse en 2100 voor Belgische infecties.
In totaal betaalden 236 slachtoffers en verdienden de cybercriminelen in een maand 135.9 Bitcoins (bijna zeventigduizend euro). Met behulp van de speciaal door Kaspersky Lab en Intel Security ontwikkelde decryptietools kunnen slachtoffers hun geïnfecteerde bestanden nu ontgrendelen zonder losgeld te betalen. Naar verwachting zullen er binnenkort nog meer sleutels aan de tools worden toegevoegd.
WildFire
De ransomware WildFire lijkt vooralsnog vooral op Nederland en België te zijn gericht, aangezien de afgelopen weken zeker 50 procent van de infecties in Nederland is geregistreerd en 36 procent in België. WildFire’s infection vector vertoont overeenkomsten met Zyklon en GNLocker: vanaf gehackte servers wordt namens een transportbedrijf een spam e-email gestuurd met de mededeling dat een levering niet is nagekomen en het verzoek om, middels een te downloaden Word-bestand, een nieuwe afspraak te maken. Zodra de ontvanger het Word-bestand opent en de macro-functionaliteit is ingeschakeld, wordt de malware gedownload en geïnstalleerd, waarna WildFire de bestanden op de computer versleutelt. Het gevraagde losgeld bedraagt zo’n driehonderd euro per slachtoffer, maar als dit niet binnen acht dagen betaald is, wordt dit bedrag verdrievoudigd.
Offline
De Nederlandse politie en het OM hebben er inmiddels voor gezorgd dat de WildFire-server offline is, waardoor geen nieuwe slachtoffers meer kunnen worden gemaakt. Daarna zijn computers die besmet zijn met WildFire niet langer in staat om verbinding te maken met de servers van de criminelen. In plaats daarvan wordt het slachtoffer gewaarschuwd met de boodschap dat het kwaadaardige domein in beslag is genomen door de Nederlandse politie en ze NoMoreRansom.org kunnen bezoeken om de decryptietool te downloaden en hun bestanden te ontgrendelen zonder losgeld te betalen.
Samenwerking
John Fokker, digital team coördinator van de National High Tech Crime Unit (NHTCU) van de Nederlandse politie: ‘De bemachtiging van WildFire decryptiesleutels bewijst nogmaals dat cybercrime, en met name ransomware, succesvoller bestreden kan worden door nauw met andere partijen samen te werken. De Nederlands politie streeft ernaar om slachtoffers van ransomware te helpen door malwaregerelateerde zaken te onderzoeken, criminele infrastructuren plat te leggen en decryptiesleutels beschikbaar te stellen. Het regelmatig back-uppen van persoonlijke bestanden blijft echter de beste strategie tegen ransomware.’
Jorn van der Wiel van Kaspersky Lab sluit zich hierbij aan. ‘Het is van groot belang dat er meer partners uit zo veel mogelijk verschillende disciplines aansluiten om deze vorm van ransomware nóg voortvarender tegen te gaan. We maken goede vorderingen, maar dit is slechts het begin en met een hechte samenwerking kunnen we zoveel meer bereiken.’
@Peter
Het gaat niet om downloaden en openen. Het gaat er in de eerste plaats om, dat je op een Windows systeem iets kan installeren zonder dat je het als gebruiker weet en zelfs zonder dat het systeem je waarschuwt.
Je KAN niet van elke niet door wie dan ook geïnformeerde gebruiker verwachten, dat hij begrijpt, wat hij aan het doen is, als hij niets vermoedend op een link in een mail klikt, waarvan hij denkt, dat die afkomstig is van een bekende relatie.
Ik vind het dus veel te gemakkelijk om de WINDOWS-klant verantwoordelijk te maken voor iets, wat Microsoft zou moeten zien te voorkomen.
Vind jij het ook niet raar, dat magnetron-fabrikanten aangesproken en veroordeeld kunnen worden, wanneer je je hond erin stopt en die overlijdt en de leverancier van software, die miljarden schade aanricht niet?
Ooit als assistent begeleider aan een landelijke computercursus voor senioren deelgenomen. Er werd niet uitgelegd wat algemeen een browser is, een tekstverwerker, mailprogramma, enz. Het was een cursus puur gericht op Windows (XP). IE, Word, Outlook, Skype, …. Een Mac-gebruiker (cursist) kon meteen inpakken omdat het cursusmateriaal puur op Windows gericht was. Niks over beveiliging (accounts), virusscanners, firewalls, enz. Veel te ingewikkeld voor die categorie. Tevreden cursisten, dus. Klaar voor het werk (als Admin). Geen idee welk risico ze lopen. Hoe ga je al de theorieën in deze discussie aan die categorie gebruikers uitleggen? DE doelgroep voor de hackers, malware en andere rotzooi! Ze zijn al blij na zo’n basiscursus aan de slag te kunnen. Een ander systeem? Geen idee! En als men het al weet stapt men niet over; weg investering en weer veranderen. Dat laatste is bij elke windows versie sowieso het geval, maar dat weet die gebruiker vaak niet. Ik geef ze gelijk. Computer starten en gaan, zonder eerst allerlei software-updates te moeten downloaden, scannen en noem maar op. De oplossing moet niet primair bij de gebruiker liggen, maar onderdeel zijn van het OS.
@Willem
Complete nonsens dat alleen Windows vatbaar zou zijn voor ransomware en andere zaken die je als user onbewust installeert. Lees maar:
https://blogs.sophos.com/2015/03/26/dont-believe-these-four-myths-about-linux-security/
Je hoeft geen Windows te kopen om er een bedrijfsadministratie op te draaien. Je hebt altijd nog de keuze om er een papieren archief op na te houden of wat simpele maatregelen te nemen en je users op te voeden.
@Willem
Een auto wordt geleverd met gordels, als je die niet gebruikt loop je risiko’s.
Al die Windowsversies hebben een rechtensysteem aan boord om bestanden tegen onbevoegde toegang te beschermen, je moet eens de moeite nemen dat in detail te bekijken dan begrijp je mijn punt.
Het is namelijk de gebruiker en de software leverancier die uit pure gemakzucht het gebruik van administratorenrechten bijna verplichten om de gegeven software te kunnen gebruiken.
@KJ
de sophos-pagina behoort onder het kopje reklame.
Kijk eens na hoeveel walware “in the wild” voor desktop-linux bestaat, dat is heel erg weinig.
@Jan
Dacht het niet:
https://web.nvd.nist.gov/view/vuln/search-results?query=Linux&search_type=all&cves=on
Waarom wordt hier aangenomen dat hacks altijd via een user-desktop verlopen? Er bestaat vele applicatie en server hacks die gewoon remote te exploiteren zijn.
Er is geen enkele reden om aan te nemen dat een platform intrinsiek veiliger is dan andere. Het gaat uitsluitend om de kans dat een vulnerability met een hoge CVSS waarde daadwerkelijk wordt ge-exploiteerd. Daarbij spelen veel meer factoren mee dan louter het platform type.
@KJ
heb je de “vulnerabilities” die op die site genoemd worden wel eens gelezen?
De meeste betreffen software die nageladen moet worden of die een lokale gebruiker moet starten.
Simpel uit ervaring gesproken, de kans op problemen ligt op dit moment hoofdzakelijk bij slecht ingerichte Windowssystemen (desktop) en dan bij e-mail en/of webbrowser.
Na 15 jaar Linux op de desktop ben ik nog nooit op potentiele malware gestoten.
Wanneer je gaten in SSL of Apache/Nginx op het konto van linux schrijft is dat bedenkelijk.
Natuurlijk is geen enkel platform 100% veilig of foutloos maar de desktop-linux gebruiker kan heel veel zorgelozer zijn PC gebruiken als een desktop-windows gebruiker.
Simpel gesteld blijft het grootste risiko de gebruiker zelf, die start zaken die hij niet kent of klikt op links met onwaarschijlijke aanbiedingen.
@Ewout
ervaringsfeit, 5 ransomeware slachtoffers, 5 x besmet met email.
Wie zijn webbrowser uptodate houdt, dat kun je gebruikers leren, loopt minder risiko’s.
Maar ja we kunnen niet allemaal zo enorm intelligent zijn als Ewout zich zelf vind.
@kj
Het gaat in dit draadje om gebruikerssystemen. Niet om servers.
Ik beweer NIET, dat Windows het enige systeem is, waarop je rotsooi kunt installeren. Maar als je meer dan 85% van de markt mag je best je verantwoordelijkheid nemen als er met jouw software zoveel fout gaat, waardoor particulieren en bedrijven enorme schade lijden.
Dat iedereen daar zo gemakkelijk over heen stapt, vind ik net zo onbegrijpelijk als de opstelling van Microsoft.
Daarnaast heel praktisch:
Kun jij mij uitleggen, hoe je op een Chromebook dergelijke injecties realiseert?
Kun jij mij uitleggen, hoe je op een Apple dergelijke injecties realiseert zonder waarschuwing van het systeem en zonder je wachtwoord opnieuw te moeten invoeren?
@jan van leeuwen
Ik denk dat je systeembeheerder bent. De ‘veiligheidsgordel’ waarover jij het hebt, vergelijken met het Windows rechten systeem, is dermate ver van de werkelijkheid, dat ik me niet kan voorstellen, dat je het echt meent. ‘Gewone’ mensen moeten toch ook een tekst kunnen maken, kunnen mailen, het internet op kunnen, administratie kunnen bijhouden zonder zich in de rechten van Windows te hebben hoeven verdiepen?
En lees aub ook even, wat ik hierboven in reactie schreef op de opmerkingen van kj.
Tenslotte
In het boek van Steve Jobs kan je lezen, waarom de vroegere vrienden Jobs en Gates van elkaar verwijderd raakten. Dat was een kern, van waar we het hier nu ook over hebben.
Microsoft neemt het met Windows niet nauw met beschikbaarheid, security en integriteit voor gewone gebruikers, terwijl ‘Een PC op elk bureau’ hun missie was. Dáár zit mijn probleem.
Ik denk, dat het ook nauwelijks mogelijk zal blijken om gebruikerssystemen zodanig in te richten en te onderhouden, dat ze aan zeroday (https://www.google.nl/#q=zeroday) kunnen voldoen. Persoonlijk pleit ik daarom al sinds 1999 voor volledig werken in de Cloud, waarbij
1. aan de gebruikerskant alleen via de browser gewerkt wordt (zie Chromebook)
2. aan de serverkant de leverancier zijn verantwoordelijkheid volledig neemt via ISO 27001
En waar dat (nog) niet kan, waarschuw ik tegen leveranciers en software, die alle problemen bij de klant legt en zelf niet de noodzakelijke verantwoordelijkheid nemen. Windows is daar een voorbeeld van. Dergelijke software komt er bij ons bedrijf niet meer in!
Ik denk overigens, dat ieders punten inmiddels wel duidelijk zijn. Als er geen echt nieuwe inzichten meer worden toegevoegd aan deze discussie, was dit mijn laatste bijdrage aan dit lijntje.
@Willem Massier, Jan van Leeuwen
Zonder om hier nu in het gebruikelijke patform bashing te vervallen, stel ik vast dat er geen enkel gebruikerssysteem bestaat dat intrinsiek veilig is en er geen enkel bedrijf bestaat dat “zijn verantwoordelijkheid neemt via ISO 27001” waar het gaat om ge-exploiteerde usersystemen. Lees bijvoorbeeld de Google Chrome EULA (Artikel 14) nog maar eens op na.
Zo had Chromebook bijvoorbeeld tot in 2014 nog te maken had met onveilige extensions: http://arstechnica.com/security/2014/01/malware-vendors-buy-chrome-extensions-to-send-adware-filled-updates/
@Jan: enigzins flauw om OpenSSL niet als een Linux onderdeel aan te merken. Voor een hacker maakt dat namelijkt helemaal niets uit. Het is gewoon een onderdeel van de meeste Linux distro’s.
Uiteraard vinden er meer exploits plaats op plekken waar de weerstand het laagst is en de meeste mogelijkheden tot exploitatie bestaan. Windows wordt nu eenmaal meer gebruikt dan als userOS dan Linux en Chrome en Chrome is relatief nieuw en heeft inderdaad een architectuur die veiliger is dan Windows.
Verder valt een groot stuk van de verantwoordelijkheid voor het mitigeren van zwakheden in IT security onder de verantwoording vallen van het bedrijf waarvoor een gebruiker werkt en is die niet uitsluitend zijn toe te schrijven aan de fabrikant van het OS.
Lees eens het 2016 SMB report van Ponemon : http://www.ponemon.org/blog/smbs-are-vulnerable-to-cyber-attacks. Zolang er bedrijven zijn die:
– geen password policy hebben (bijna 60%)
– of er wel een hebben maar die niet enforcen (65%)
– er geen security IT staff op nahouden (35%)
– geen vertrouwen hebben in de eigen security maatregelen (100-14=86%)
denk ik niet dat het veel zin heeft om hoog van de toren te blazen richting Microsoft.
Voordat je de maker van een OS verantwoordelijk wil houden voor de opgelopen schade, bedenk dan dat een rechtbank uiteraard eerst wel zal toetsen wat het bedrijf in kwestie zelf heeft gedaan om de beveiliging op peil te houden.