Selecteer een pagina

Cybercriminelen zetten ransomware als afilliate verdienmodel in de markt. Voor 50 dollar kun je instappen

Ransomware wordt een nog groter probleem. Cybercriminelen bundelen volgens antivirusontwikkelaar McAfee en Recorded Future de krachten. De makers van het Krakenvirus bieden hun malware inmiddels zelfs als affiliate-programma aan.
De cybercriminelen kunnen door samen te werken veel sneller reageren op tegenmaatregelen die producenten van antivirussoftware nemen. Soms kunnen ze hun virus binnen een paar uur al dusdanig aanpassen dat ze de antivirussoftware opnieuw kunnen omzeilen.

De ontwikkelaars van de Kraken ransomware stimuleren met hun affiliatemodel mensen om cybercrimineel te worden. Ze kunnen zich voor 50 dollar aanmelden en gaan er dan mee akkoord om 20 procent van alle betalingen die door slachtoffers gedaan worden door te sturen naar het Kraken-team.

In ruil krijgt de partner cybercrimineel elke 15 dagen verse versies van de Kraken-malware. Alle communicatie loopt via de e-mail.

Het Kraken-team maakt bovendien een aparte versie van de malware voor de partner. De partner zelf kan aangeven wat het gewenste bedrag is dat slachtoffers moeten betalen. Die bedragen lopen van 0,075 tot 1,25 bitcoin, wat (470 tot 7.845 dollar). Verder kunnen partners vragen om bepaalde landen uit te sluiten, zodat gebruikers daar geen doelwit worden.

Kraken, een Ransomware as a Service (RaaS)-operatie, maakt gebruik van een nieuwe exploit kit om slachtoffers te maken. Volgens nieuw onderzoek van McAfee en Recorded Future is het moeilijk om te beschermen tegen die combinatie.

Bij ransomware worden bestanden of een volledig apparaat versleuteld. Opnieuw toegang krijgen kan alleen als de juiste sleutel bekend is, waar cybercriminelen veelal geldbedragen voor vragen.

Kraken versleutelt nadat het toegang heeft gekregen tot een systeem alle bestanden ongeacht de grootte of wat het bestand is.

De ransomware richt zich vooral op computers die Windows 8, 8.1 en 10 draaien. Ook kan het bij opslagapparaten op hetzelfde netwerk als een getroffen systeem komen.

Nadat een systeem versleuteld is, is het onmogelijk om de bestanden terug te krijgen zonder te betalen. Slachtoffers kunnen hun systemen wel wissen en de data herstellen via back-ups.

Cybercriminelen herontdekken Microsoft Office. Mogelijke aanvalsscenario’s via Office-bestanden…

Cybercriminelen hebben Microsoft Office ‘herontdekt’ als tool om in bedrijfsnetwerken te infiltreren. Dit blijkt uit onderzoek van Unit42, de afdeling cybersecurity van het Amerikaanse bedrijf Palo Alto Networks. Eerste tip: pas op met bestanden met de extensie .docm.

Verderop in dit artikel zetten we de mogelijke aanvalsscenario’s via Office-bestanden op een rij.

Aanvalpogingen met behulp van speciaal voorbereide Microsoft Office bestanden zijn op zich niet nieuw. Op dit moment nemen de pogingen van criminelen om kwetsbaarheden in bedrijfsnetwerken via dergelijke bestanden uit te buiten volgens Unit42 echter weer toe.

Het is daarom voor organisaties van belang om medewerkers via awareness traimingen bewust te maken van de risico’s van het openen van Office documenten van onbekende afzenders.

Mensen openen Office-documenten die bijgevoegd zijn in mailberichten meestal instinctief. Voor ze zich het beseffen hebben ze vrijwel automatisch met hun muis op het Word of Excel bestand geklikt.

Dit geldt ook als deze bestanden afkomstig zijn van afzenders die niet bekend zijn bij de ontvanger. Dit wijst op een gebrek aan kennis over de mogelijke gevaren.

Maar zelfs een bekende en betrouwbare afzender beschermt niet tegen malware-infecties. Het systeem van de verzender kan het het geïnfecteerde Microsoft bestand ook ongemerkt versturen.

Mogelijke aanvalsscenario’s via Office-bestanden

 

Pogingen tot aanvallen via Office-bestanden zijn zeer veelzijdig geworden. Kennis van deze scenario’s draagt bij tot een effectieve preventieve bescherming van netwerken. Het is voor organisaties daarom van groot belang om medewerkers via awareness trainingen te informeren over de risico’s. PrivacyZone kan daarbij helpen.

We zetten de mogelijke aanvalsscenario’s via Office-bestanden op een rij.

Macro’s

Microsoft Office bevat een optie om zelf macroscripts te schrijven waarmee processen en handelingen kunnen worden geautomatiseerd. Dat kan met de scriptengine die is geïntegreerd in MS-Office (Visual Basic for Applications). Dit is nog steeds de gemakkelijkste manier voor aanvallers om het systeem van de gebruiker in gevaar te brengen.

De scripts kunnen direct na het openen worden uitgevoerd zonder dat het slachtoffer een actie hoeft uit te voeren. Mits macro’s zijn geactiveerd op het systeem van de gebruiker.
Microsoft Office kan zo ingesteld worden dat standaard voorkomen wordt dat de macro’s na het klikken op een bestand automatisch worden uitgevoerd. Er moet dan altijd eerst nog via een popupvenster bevest worden dat het script mag worden uitgevoerd.

De ervaring leert dat veel medewerkers achterdochtig worden bij zo’n popup. Maar de kans bestaat dat ze dan naief toch nog de macroactie goedkeuren. Met alle mogelijke gevolgen van dien.

Kantoorgebruikers dienen zich er daarom van bewust te zijn dat Office-bestanden met macro’s een andere bestandsextensie (.docm) hebben. En dat ze bij deze bestanden altijd achterdochtig moeten zijn.

Ingebedde Flash-bestanden

Externe objecten uit andere programma’s en bronnen kunnen in Office-documenten worden ingesloten. En daarmee automatisch de kwetsbaarheden van deze applicaties. Er zijn succesvolle pogingen gedaan om aan te vallen met behulp van Flash-bestanden die zijn opgenomen in Excel-documenten, waarbij gebruik is gemaakt van een kwetsbaarheid in Flash Player.

Microsoft Equation Editor

Der Formel-Editor (Equation Editor) von Microsoft ist ein Hilfsprogramm für das Zeichnen und Schreiben mathematischer Ausdrücke. Dessen Dateien werden ebenfalls direkt in die Office-Dateien eingebettet. Doch auch auf diesem Weg gab es bereits erfolgreiche Exploit-Versuche. Da der Editor aus Sicht des Betriebssystems und des Office-Programms als eigener Prozess angesehen wird, greifen die im Office-Paket eingebauten Schutzfunktionen nicht.

Microsoft’s Equation Editor is een hulpprogramma voor het tekenen en schrijven van wiskundige uitdrukkingen. Deze bestanden worden rechtstreeks in Office-bestanden opgenomen. Cybercriminelen buiten deze bestanden uit om malware in te verstoppen.

Hoe kun je je als organisatie wapenen tegen dit soort aanvallen via Microsoft Office? Een softwarepakket waarmee vrijwel iedereen werkt.

Vraag als eerste uw ICT-afdeling of een extern ICT-bedrijf om Microsoft Office veilig in te stellen en laat ook actuele antivirus software installeren.

En plan vervolgens een awareness training in voor medewerkers. Zo’n awareness training is overigens volgens de Algemene Verordening Gegevensbescherming (AVG) verplicht.

PrivacyZone biedt Awareness Trainingen aan. Wil je meer weten? Neem contact met ons op. Telefoon: 06-31995740 of mail: info@privacyzone.nl.

Microsoft heeft beveiliging van Office 365 verbeterd

Microsoft heeft de Home- en Personal-edities van Office 365 beter beveiligd tegen ransomware. Zodra Microsoft malware ontdekt in de cloudopslag OneDrive krijgen gebruikers een waarschuwing.

Gebruikers kunnen voortaan ook oudere bestanden terughalen.

Net als Google Drive en Apple Cloud biedt OneDrive nu ook de mogelijkheid om bestanden te delen. Deze bestanden kunnen in OneDrive dan beveiligd worden met een wachtwoord, waardoor gedeelde mappen beter kunnen worden afgeschermd.

Het Microsoft mailprogramma Outlook krijgt een aantal nieuwe functies, waaronder het versleutelen van e-mail.

Zakelijke gebruikers konden al langer beschikken over enkele van deze opties.