Veiligheid

Hoe een ransomware-aanval werkt en welke tools worden gebruikt

0 240 9 minuten om te lezen

Een van de krachtigste en meest lucratieve aanvallen voor cybercriminelen is ransomware. De structuur is in principe vrij eenvoudig: ze nemen eigendom van je bestanden, versleutelen ze zodat je er geen toegang toe hebt en je hebt vrijwel geen mogelijkheid om ze te herstellen. Vermoedelijk, als je ze terug wilt krijgen, moet je een bepaald bedrag betalen. Het bewijs geeft echter aan dat dit bijna nooit gebeurt. En als dat gebeurt, valt het slachtoffer terug in de klauwen van de aanvallers en om ze weer terug te krijgen moet hij... natuurlijk opnieuw betalen. Het is een vicieuze cirkel waarin afpersing de hoofdrol speelt.

De noodzaak om deze bestanden te hebben werkt in het nadeel van de gebruikers en leidt ertoe dat ze de fout maken om te betalen om de gegevens te herstellen die door de ransomware zijn versleuteld. Het is niet nodig om het losgeld te betalen. Nooit. Hoewel het lijkt alsof het het einde van de wereld is voor het verliezen van bestanden, zou het niet moeten gebeuren. Want als je dat doet, krijg je misschien de bestanden terug, maar de ransomware-aanval zal opnieuw plaatsvinden.

De effectiviteit van deze aanvallen is groot omdat ze de tijd nemen om te bestuderen welk doelwit het slachtoffer zal worden. Meestal zijn ze gericht op grote organisaties waar ze heel gemakkelijk een winstgevendheid van enkele miljoenen dollars kunnen hebben.

Ransomware-fasen

Hoe worden deze aanvallen uitgevoerd? Vervolgens bekijken we alle fasen van een ransomware-aanval. In totaal zijn er acht fasen. Echter, en voor een beter begrip, zullen we ze groeperen en natuurlijk citeren wat er in elke fase gebeurt op chronologisch niveau.

Eerste proces

Deze fase komt overeen met de brug tussen de cybercrimineel en het slachtoffer. Meestal gebruiken ze websites en e-mails van het type phishing. Meestal worden e-mails gebruikt omdat de e-mailservice zelf over het algemeen meerdere kwetsbaarheden heeft. Het is praktisch de verantwoordelijkheid van de email klant voor inbrengen werk van adequate beveiligingsmaatregelen zodat: gebruikers bij voorkomen slachtoffer zijn van phishing en gevolg van andere aanvallen.

Handhaving en escalatie van bevoegdheden

Een van de redenen waarom ransomware-aanvallen zo effectief zijn, is dat ze doorgaans geen kwaadaardige of gespecialiseerde tools gebruiken om malware te verspreiden. Het gebruikt alleen degene die populair zijn bij IT-beheerders. Dus vanaf de fase van executie aan verhoging van privilegeser is niet te veel te doen. Zodra de aanvaller beheerdersrechten op het systeem van het slachtoffer heeft verkregen, kan alles worden gedaan. Ondanks het feit dat veel beveiligingslekken al patches en fixes hebben die deze corrigeren, hechten veel beheerders niet het nodige belang aan software-updates. De aanvaller heeft maar een paar computers nodig die niet up-to-date zijn met beveiligingsupdates en wat daarna komt kan heel gemakkelijk omslaan in zeer complexe aanvallen.

Omzeil verdedigingen en toegangsreferenties

Zolang een aanvaller over de nodige rechten beschikt om systeembeheerder te zijn, kan hij de beveiligingsinstellingen naar wens definiëren. U kunt de beveiligingsmaatregelen aanpassen zodat er zo min mogelijk alarmen worden geactiveerd bij een onregelmatige wijziging. U kunt zelfs voorkomen dat deze alarmen volledig afgaan. Daarnaast zijn er tools die "onder" werken en die het mogelijk maken om elk beveiligingsprogramma dat aanvallen blootlegt, uit te schakelen of te verwijderen.

Wat betreft toegang tot identifiers, er zijn veel gratis en open source tools voor dit doel. Wat aanvallers het meest ten goede komt, is het feit dat ze precies open source zijn. Cybercriminaliteit is al lang niet meer een kleine wereld die ergens verstopt zit. Het is een geweldige industrie die als geen ander winstgevend is. Deze tools die helpen bij het verkrijgen van geprivilegieerde toegangsgegevens tot het systeem zijn echter erg populair bij specialisten die zich toeleggen op pentesting.

In ieder geval moet er rekening mee worden gehouden dat veel van de tools die aanvallers gebruiken om compromissen te sluiten en systemen aan te vallen, oorspronkelijk in een andere context zijn ontworpen. Dat wil zeggen in de professionele en/of academische context. Bijvoorbeeld, Routerploit is een oplossing waar we het al over hebben gehad in RedesZone die ons helpt bij het identificeren van routers en/of andere netwerkapparaten die hun standaardreferenties hebben. Helaas is het een van de bondgenoten van degenen die aanvallen op routers uitvoeren om de configuratie van de gateway, DNS-servers en andere kwaadaardige acties te kunnen wijzigen.

ontdekking

Na het uitvoeren van alle noodzakelijke processen om bevoorrechte toegang tot het systeem te krijgen, wordt een van de belangrijkste fasen bereikt: toegang tot de structuur van het systeem. Vooral in het logische aspect. Uiterst bruikbare gegevens zoals het aantal terminals , het type services dat op de servers wordt gehost, of deze services in de cloud worden gehost of als een van hen nog steeds is plaats (fysiek gehost). Zelfs aanvallers kunnen identificeren of u back-ups hebt, online of fysiek gehost. Daarom is het voor hen ook handig als de back-ups overeenkomen met de servers, zowel die fysiek worden gehost als die in de cloud.

Waarom zouden ze geïnteresseerd zijn in back-ups? Welnu, als het slachtoffer zich realiseert dat hun back-upkopie of zowel hun originele kopie als de back-upkopie onder ransomware staat, dan is de kans groter dat het slachtoffer betaalt. Dit komt natuurlijk voort uit wanhoop en de drang om alles terug te krijgen. Aan de andere kant kan ransomware nog verder gaan. Naast het kapen van uw bestanden waardoor ze ontoegankelijk worden, kunnen ze, als ze succesvol zijn, ook kritieke databases kapen. Dit, om ze te doden, maakt de uitvoering van het losgeld nog gemakkelijker en als kers op de taart nemen ze de controle over deze databases om verdere aanvallen uit te voeren als ze dat willen.

Zijwaartse beweging en uiteindelijk impact

Het is mogelijk om deze instantie te bereiken via protocollen zoals: RDP (Remote Desktop-protocol) . Dit is beschikbaar in vrijwel alle Windows-besturingssystemen, het wordt alleen niet altijd genoemd. Hiermee kunt u op afstand verbinding maken met een andere Windows-computer, op voorwaarde dat RDP ook op de andere is ingeschakeld. Om via dit protocol verbinding te maken met een andere computer, moet u een wachtwoord hebben. Er zijn zelfs tools die helpen het wachtwoord te raden op basis van meerdere pogingen om het correct te doen, het is net als de brute krachtaanval . Als RDP echter niet is ingeschakeld, is er geen probleem, u kunt vertrouwen op andere tools voor extern bureaublad en van daaruit zijn de mogelijkheden eindeloos en heeft u verschillende opties om uit te kiezen.

De laatste fase is de impact, dat wil zeggen de uitvoering van de ransomware. In deze fase ben je alleen afhankelijk van oplossingen die alles hebben wat je nodig hebt om ransomware te creëren. Het grappige is dat je niet al te veel moeite hoeft te doen om te zoeken, omdat je niet eens naar het dark web hoeft om er een te vinden. Het is gewoon een kwestie van Googlen en je zult hoogstwaarschijnlijk een programma tegenkomen om ransomware te maken. In de meeste gevallen worden ze gepresenteerd als betaalde apps. Geld is echter meestal geen probleem voor cybercriminelen en zij zullen ervoor betalen. Zelfs als je niet al te veel middelen hebt, zijn de kosten relatief betaalbaar.

Bedenk dat de meest populaire betaalmethode voor losgeld Bitcoin cryptocurrency is. Ondanks het feit dat de waarde ervan behoorlijk volatiel is en er tijd in rekening is gebracht om het te tonen, is het de meest waardevolle cryptocurrency per eenheid. Volgens de ransomware kan de betaling in Bitcoins gemakkelijk oplopen tot duizenden dollars. Door op te tellen voor elke computer van het slachtoffer, zou u al miljoenen dollars kunnen bereiken voor een enkele uitgevoerde aanval.

Veelvoorkomende fouten die ons het slachtoffer maken van ransomware

Het lijdt geen twijfel dat alle computeraanvallen gemakkelijk kunnen worden vermeden als bepaalde beveiligingsmaatregelen worden genomen. Hoe dan ook, en hoewel we weten dat het toepassen van meerdere niet te lang zal duren, doen we dat niet. Een andere reden waarom we niet om de veiligheid en privacy van onze gegevens geven, is omdat we niet denken dat we het slachtoffer worden van een dergelijke aanval, totdat het ons overkomt.

Sophos-laboratoria  somt vijf fouten op en, op hun beurt, vijf essentiële stappen om te voorkomen dat je in dit soort eventualiteit valt.

Toegang tot systemen beveiligen

Hierboven vermeldden we dat services zoals RDP zeer toegankelijke bruggen zijn om andere Windows-computers te besturen waarop het protocol is ingeschakeld. Zelfs als ze het niet hebben, kunnen ze zelfs gratis en gebruiksvriendelijke tools gebruiken om met name computers te ondersteunen die onze toegangsprivileges kunnen verhogen. Een snelle maar effectieve truc is om via de internetaansluiting de netwerken te scannen om erachter te komen wat onze status is. Dit zal ons helpen te identificeren welke services via welke poorten we hebben ingeschakeld, zodat we die kunnen afsluiten die niet strikt noodzakelijk zijn. Een manier om dit snel te doen, is door de zoekmachine te gebruiken Shodan . die gratis te gebruiken is en je hoeft alleen maar een account aan te maken om toegang te krijgen tot alle functies.

Kies de juiste wachtwoorden en aanvullende authenticatiemethoden

Aan de zakelijke kant, als u een systeem- en netwerkbeheerder bent, moet u ervoor zorgen dat gebruikers sterke wachtwoorden gebruiken om toegang te krijgen tot hun bronnen. Dit is vooral belangrijk als veel of al het personeel vanuit huis werkt. Een ander doorslaggevend aspect is dat veel applicaties en bronnen toegankelijk zijn via vereenvoudigde toegangen zoals SSO. Voor dit laatste hoeft u niet altijd het wachtwoord in te voeren en hoeft u niet voor alles een wachtwoord aan te maken. Dit is een van de belangrijkste risico's, als een aanvaller uw inloggegevens krijgt, hebben ze hoogstwaarschijnlijk toegang tot al uw bronnen en dat zal een groot probleem zijn.

Aan de kant van de eindgebruiker wordt ons dagelijks leven, vooral op mobiele telefoons, beschadigd door applicaties. Veel ervan bevatten gevoelige informatie zoals bankzaken, financiën, locatiediensten (bijvoorbeeld Google Maps) en e-mails. Het is noodzakelijk om aanvullende authenticatiemethoden te hebben, zoals: MFA waardoor je elke keer dat je inlogt een code invoert die alleen geldig is voor deze sessie, hieronder laten we je een aanbeveling achter: Google Authenticator voor Android (Gratis) en voor iOS (vrij )

Downloaden
QR Code

Google-authenticator
Ontwikkelaar: Google LLC

Downloaden
QR Code

Google-authenticator
Ontwikkelaar: Google LLC

Let op systeemlogboeken

Als we logs weten te lezen en interpreteren, hebben we al veel gedaan voor de beveiliging van onze systemen en netwerken. Weten hoe je dit moet doen, is belangrijk omdat cybercriminelen de neiging hebben om hun tijd te nemen om aanvallen uit te voeren. Het bewijs van dit alles zijn precies alle fasen waaraan een effectieve ransomware-aanval gewend is. Er zijn momenten waarop ze "zonder waarschuwing" optreden, maar als we de tijd nemen om de logs te analyseren, kunnen we verschillende verrassingen tegenkomen.

Negeer geen waarschuwingen

Inbrengen is niet genoeg plaats type systemen SIEM , die ons bijvoorbeeld helpen bij het beheren van de verschillende gebeurtenissen die de veiligheid van onze systemen in gevaar zouden kunnen brengen. We moeten ook in de gaten houden welk type alarmen worden geactiveerd, hoe vaak, naar welke gebeurtenissen ze verwijzen en deze natuurlijk analyseren met het primaire doel om de hoofdoorzaak van de mogelijke inbreuk op de beveiliging te achterhalen. Vaak hebben we als systeem-, netwerk- of computerbeveiligingsbeheerder zoveel waarschuwings-e-mails, rapporten of wat dan ook, dat we er uiteindelijk enkele of meer van negeren. Het is niet aan te raden om iets te negeren, omdat het de overbrugging kan zijn voor een mogelijke ransomware-aanval die zelfs het functioneren van de organisatie waarvoor u werkt in gevaar kan brengen.

Als we ons niet in een dergelijke omgeving bevinden, moeten we ook op de hoogte zijn van mogelijke waarschuwingen. Vermijd het openen van verdachte e-mails, vooral de inhoud ervan. Ransomware is meestal ingebed in e-mailbijlagen, wat vreemd is voor de meeste van degenen die het ontvangen ... zelfs als ze deze e-mail niet hadden verwacht. Open gewoon de bijlage en binnen enkele seconden zijn uw bestanden niet meer beschikbaar door losgeld.

Houd de software up-to-date

Dit geldt zowel voor bedrijfssoftware als voor individueel gebruik, up-to-date software is een van de meest effectieve schilden tegen grote cyberaanvallen. Ook kan het je, afhankelijk van de software in kwestie, beschermen tegen bedreigingen en/of kwetsbaarheden zero-day , wat kan leiden tot andere, nog ernstigere aanvallen. In veel gevallen duurt het maar een paar minuten, dus u moet de software die u gebruikt bijwerken wanneer er een beveiligingsupgrade of hotfix beschikbaar is.

0 240 9 minuten om te lezen

Vergelijkbare items

Foto van Controleer of uw website, e-mail en verbinding betrouwbare internetstandaarden gebruiken

Controleer of uw website, e-mail en verbinding betrouwbare internetstandaarden gebruiken

Juni 22, 2021
Foto van Voorkomen dat Facebook u volgt in Chrome of Firefox

Voorkomen dat Facebook u volgt in Chrome of Firefox

Juni 22, 2021
Foto van weten of een Word-bestand veilig is

Ontdek of een Word-bestand veilig is

Juni 22, 2021
Foto van Ontdek de beste besturingssystemen voor ethisch hacken

Ontdek de beste besturingssystemen voor ethisch hacken

Juni 21, 2021

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Terug naar boven knop