Twee manieren om Ransomware op zijn sporen te stoppen

Ransomware is een bedreiging geworden die zowel bedrijven als individuen treft, maar onderzoekers hebben verleidelijk bewijs geleverd dat we het binnenkort misschien kunnen stoppen voordat het schade aanricht.





De snelst groeiende categorie malware is cryptografische ransomware, software die een computer op dezelfde manier infecteert als andere kwaadaardige software, en vervolgens stilletjes de bestanden van gebruikers versleutelt, waardoor ze onleesbaar worden. Tegen de tijd dat de slachtoffers het probleem ontdekken, legt de malware hen uit dat ze een vergoeding moeten betalen voor de coderingssleutel die hun bestanden weer bruikbaar maakt.

Twee onderzoeksteams hebben nieuwe manieren ontwikkeld om ransomware te detecteren voordat het echte schade kan aanrichten. Makers van antivirussoftware blijven achter bij de detectie van specifieke ransomware, maar ze zeggen dat het eraan komt.

Met sterke codering die direct beschikbaar is voor makers van malware, is er in de meeste gevallen geen manier voor gebruikers van wie de bestanden zijn gecodeerd om de originelen terug te krijgen, tenzij ze een archief hebben dat dateert van vóór de infectie of de vergoeding betalen. Ransomware vertrouwt op eer onder dieven, en meestal geeft het betalen van de vergoeding de benodigde coderingssleutel vrij. Het voorkomen van een infectie of het stoppen ervan is de enige andere uitweg.



Volgens een recent Symantec-rapport , doen aanvallers elke dag miljoenen pogingen om gebruikers te infecteren en worden elke maand tienduizenden systemen gegijzeld. Hoewel berichten over hoge vergoedingen het nieuws kunnen domineren, zoals een ziekenhuis waarvan de bestanden werden gegijzeld totdat het $ 17.000 betaalde om ze te ontgrendelen, zoeken ransomware-distributeurs meestal naar een snelle hit die de meeste consumenten met tegenzin zullen betalen. De gemiddelde vergoeding die nodig is om bestanden te ontgrendelen, is meer dan verdubbeld van $ 294 eind 2015 tot $ 679 in juni 2016, zegt Symantec.

Onderzoekers hebben onlangs twee papers gepresenteerd die een effectieve detectie bieden van de unieke acties die ransomware gebruikt om gebruikersbestanden te gijzelen. Antivirusmakers zeggen dat hoewel deze benaderingen in het laboratorium kunnen werken, het moeilijker is om ze te dupliceren in reële omstandigheden vanwege de snelle aanpassing door malwaremakers. Er komen echter veranderingen aan die de economische waarde van het inzetten van ransomware moeten verminderen.

Onderzoekers van de Northeastern University hebben een offline scansysteem gemaakt , genaamd Unveil, die verdachte malware lanceert in een beschermde virtuele omgeving - zoals een brein in een doos - om het gedrag ervan op een gecontroleerde manier te volgen en vervolgens snel te scoren of het ransomware was of niet. Een aparte groep onderzoekers van de University of Florida en Villanova University een realtime monitoringsysteem gemaakt genaamd CryptoDrop die ransomware vrijwel onmiddellijk kon stoppen.

Beide projecten keken naar het fundamentele gedrag dat ransomware vertoont: het lezen van gegevens uit veel documenten en het vervolgens vervangen van die bestanden (door ze te verwijderen of te overschrijven) door nieuwe inhoud die niet alleen heel anders is, maar ook duidelijk versleuteld. Amin Kharraz van het Unveil-team zegt dat het low-level gedrag van alle ransomware past in een patroon dat kan worden geïdentificeerd.

Unveil kon ook controleren of er een scherm in de vorm van losgeld verscheen terwijl de software actief was, aangezien de berichten die om geld vragen heel anders zijn dan wat de meeste besturingssystemen en software normaal laten zien.

Vincent Weafer, vice-president van McAfee Labs van Intel Security, vindt het werk interessant, maar hij is niet optimistisch over het feit dat het in de praktijk volledig effectief is. 'Als 90 procent van de verdedigers dezelfde eigenschappen gebruiken, dan zullen de slechteriken proberen te veranderen en te verdoezelen.'

Als een tool bijvoorbeeld kijkt of een bestand is overgeschakeld van platte tekst naar een gecodeerde indeling, kunnen aanvallers slechts delen van een bestand versleutelen om het onleesbaar en onherstelbaar te maken, zonder aan de software door te geven dat het voldoende is gewijzigd. Of als snelle wijzigingen in grote aantallen bestanden een waarschuwing veroorzaken, kan ransomware langzaam en geduldig wegtikken. De auteurs van de twee artikelen in afzonderlijke interviews beweren dat het basisgedrag van ransomware slechts licht kan worden verhuld, maar niet effectief kan worden verborgen.

Onthullende onderzoekers testten een grote steekproef van malware die in het wild was verzameld en schatten een nauwkeurigheidspercentage van bijna 97 procent bij het identificeren van een subset van ongeveer 14.000 ransomware-varianten; ze ontdekten zelfs een nieuwe familie waar anti-malwarefirma's niets van af wisten. De auteurs van CryptoDrop hebben 492 bekende voorbeelden getest (afkomstig van 14 grote ransomware-families) en herkenden 100 procent in realtime met een mediaan verlies van 10 bestanden voordat de activiteit werd herkend en stopgezet.

De twee groepen academici hebben een vruchtbare bodem gevonden voor verkenning, maar Weafer van McAfee Labs en Sean Sullivan, een beveiligingsadviseur bij F-Secure Labs, waarschuwen dat het testen van een set nepbestanden en een subset van malware niet overeenkomt met de rommeligheid van de echte wereld. Beide leggen de nadruk op detectie in een eerder stadium door software die applicatie-activiteit onderzoekt. Ze zeggen ook dat ransomware niet verschilt van andere infecties die zich zonder onderscheid verspreiden door oudere besturingssystemen, niet-gepatchte systemen en die met Flash en Java te raken.

Het is ook zo dat ransomware meer aandacht krijgt omdat het 'in your face' is, zoals Weafer het uitdrukt, terwijl de meeste malware zich verbergt en zaken kan doen die geen verband houden met de gebruiker wiens computer is gehackt.

Hoewel het specifieke werk van deze twee academische teams misschien niet direct zijn weg vindt naar anti-malwaresoftware, zegt Weafer dat tegen het einde van het jaar nieuwe benaderingen voor het blokkeren van ransomware zullen worden opgenomen in de beveiligingssoftware-industrie. Strengere controles uitvoeren voordat een applicatie kan worden gestart, zoals het controleren van een centrale database of de app ooit op een computer waar ook ter wereld heeft gedraaid, is een van de strategieën die bedrijven willen bespreken.

'High-profile bedreigingen duren niet eeuwig', zegt Weafer. Ransomware zal vervagen en worden vervangen door de volgende dreiging.

zich verstoppen