Hackingmails komen, hackingmails gaan, alleen ransomware blijft bestaan. Op deze listige manieren proberen cybercriminelen het ons lastig te maken.
De kostprijs van de gemiddelde ransomware-aanval steeg eind 2019 naar 3,92 miljoen dollar. Voor Amazon Prime Day eerder deze week verwachtten experts een recordaantal phishingaanvallen. Het zijn mooie dagen voor cybercriminelen. Hoe komt het toch dat de cijfers angstwekkend blijven toenemen? Is er dan niets dat we kunnen doen?
We beschikken vandaag over erg geavanceerde verdedigingstechnieken en toch vinden cybercriminelen bijna dagelijks nieuwe manieren om mensen in de val te lokken. De meest doeltreffende manier om alsnog te vermijden dat een hack schade berokkent of een onderneming geld kost, is investeren in training en bewustmaking.
Door mensen regelmatig op de gevaren te wijzen die in hun mailbox (kunnen) belanden, zijn ze steeds voorbereid op mogelijke pogingen om zowel hun computer over te nemen als die van hun collega’s of onderneming. Er is immers maar één geslaagde inbraakpoging nodig om een heel netwerk te infecteren met een virus of ransomware-aanval, en de gevolgen kunnen niet te overzien zijn. Daarom lijsten we hier de grootste en populairste cyberaanvallen van vandaag op.
BazarLoader
De eerste heet BazarLoader en maakt gebruik van een slim stukje misleiding. Ondertussen weet iedereen wellicht al dat het nooit een goed idee is om een e-mailbijlage te openen van een afzender die je niet kent. Doe je dat toch, dan weet je hopelijk dat het een nog veel slechter idee is om in een Word- of Excel-document te klikken op ‘enable content’. Zo geef je een hacker immers een vrijgeleide om je hele computernetwerk over te nemen.
Naarmate het bewustzijn over kwaadaardige praktijken groeit, groeit dat van criminelen uiteraard mee. Ze zoeken dan naar nieuwe manieren om ons om de tuin te leiden en in het geval van BazarLoader gebeurt dat door het gevaarlijke bestand niet mee te sturen in de email, maar door het extern te uploaden op bijvoorbeeld een Google Drive – of een website die erop moet lijken.
Het ziet er dan uit als een Word- of Excel-document dat niet kan worden geopend op de Drive, waardoor de gebruiker wordt gevraagd om het te downloaden en het lokaal te openen. Hoewel een nietsvermoedende gebruiker een afbeelding ziet van een Word-document, wordt pas bij het downloaden duidelijk dat het hier niet gaat om een Microsoft Office-bestand, maar om een uitvoerbestand (‘.exe’). Laat het logo je niet in de luren leggen!
Emotet
De meest wijdverspreide malwarecampagne van het moment heet Emotet. Het gevaar van deze malware ligt in de vermenigvuldiging: eens hij een slachtoffer te pakken heeft, wordt jouw e-mailadres misbruikt om de campagne verder te zetten naar iedereen in jouw adresboekje.
Emotet zet daarnaast de deur open voor Trojans als QakBot (ook gekend als QBot) en Trickbot. Deze verspreiden zich razendsnel over een netwerk, waar ze wachtwoorden, cookies en bestanden buitmaken. Beide Trojans brengen bovendien nog meer gezelschap mee: Prolock-, Ryuk- of Conti-ransomwarewormen worden vaak gelinkt aan QBot en Trickbot.
Hoewel de gevolgen van Emotet dus verder reiken dan die van BazarLoader, is de infectiemethode iets traditioneler: deze gebruikt namelijk de ‘enable content’-methode in Office-bestanden waar we zonet al voor waarschuwden.
Alle uitvoerende bestanden
Een laatste gevaar dat tegenwoordig sterk vertegenwoordigd is in vele mailboxen, zijn .exe-bestanden die zich vermommen als pdf of Office-document. Een e-mailprogramma zal deze bestanden altijd automatisch blokkeren, maar hackers omzeilen die beveiliging door de uitvoerbestanden in een beveiligd archief te stoppen. Ze zetten het wachtwoord voor dat archief dan in de mail, in de hoop dat onze nieuwsgierigheid het overneemt.
Zoals gezegd bij BazarLoader is het mogelijk om zo’n uitvoerbestand het logo van een ‘vertrouwd’ programma te geven. Het kost eender wie slechts twee seconden om het logo van Adobe of een Microsoft-product erop te plakken. Open je het archief, dan zal je wellicht een vertrouwd icoon terugvinden.
Daarom is het belangrijk om, net als bij vermoedelijke phishinglinks, te controleren of een bestand werkelijk is wat het beweert te zijn. Dat kan door op ‘eigenschappen’ te klikken, in de instellingen aan te passen dat extensies altijd zichtbaar moeten zijn, of door een lijstweergave te gebruiken in de Windows Verkenner. Ter herinnering: zie je als extensie .vbs, .js, .exe, .ps1, .jar, .bat, .com, of .scr staan, klik dan nooit!
Arnout Van de Meulebroeucke, ceo Phished