In de wereld van cybersecurity blijft niemand stilzitten. Kwaadwillenden zoeken steeds nieuwe technieken, en cybersecuritybedrijven en overheden ontwikkelen nieuwe verdedigingstechnieken. Hoe vernuftig deze aanvallen kunnen zijn, blijkt uit de naar het mythische Scandinavische zeemonster vernoemde ransomware systeem Kraken, onlangs gedocumenteerd door cybersecuritybedrijf Cisco.
Bij het bestrijden van ransomware en andere digitale dreigingen is het dichthouden van de deuren natuurlijk de belangrijkste stap. Via tweefactorauthenticatie, een goed wachtwoordbeleid en medewerkers die geschoold zijn in het herkennen van digitale aanvallen. Maar ook als de ransomware eenmaal binnen is, en als de schade uiteindelijk gedaan is en de gegevens vergrendeld zijn, is het nog mogelijk om terug te vechten. Maar de nieuwe Kraken-ransomware toont aan hoe lastig dit terugvechten kan zijn.
Benchmark
Het begint nog voordat het versleutelen van de gegevens start. Kraken heeft namelijk een ingebouwde functionaliteit die eerst een benchmark op het geïnfecteerde systeem uitvoert. Dit houdt in dat de software een inschatting maakt van de rekenkracht van het systeem. Op een systeem met veel rekenkracht wordt een volledige encryptie uitgevoerd. Op tragere systemen houdt de software zich echter in, en worden gegevens slechts deels versleuteld. Dit betekent dat de software het gedrag aanpast, met als doel om in zo kort mogelijke tijd zo veel mogelijk schade aan te richten. Bovendien kan Kraken voorkomen dat het door beveiligingssoftware gezien wordt door te veel rekenkracht te gebruiken.
Daarnaast vliegt Kraken ook onder de radar door zich voor te doen als een achtergrondproces. Dit betekent dat de software achter de schermen actief is op een manier die voor beveiligingssoftware minder zichtbaar is. Het heeft bovendien ingebouwde functionaliteit die bedoeld is om automatische systemen die bedoeld zijn om achtergrondprocessen die zich vreemd gedragen uit te schakelen om de tuin te leiden.
Opruimen
En als de schade eenmaal gedaan is, dan ruimt Kraken netjes achter zichzelf op. Dit doet het door in de map van waaruit het werkt een script op te zetten dat wordt uitgevoerd op het moment dat de encryptie afgerond is. Dit script bevat instructies om vier belangrijke elementen van de ransomware te verwijderen: de logboeken van de software, de gebruiksgeschiedenis van de shell waarin de software werd uitgevoerd, de software zelf en het script.
In de praktijk betekent dit dat de Kraken-ransomware, als deze volledig zijn gang kan gaan, uiteindelijk alle sporen van de activiteit wist. Het versleutelt op een manier die ontworpen is om zo veel mogelijk detectie te ontwijken, en ruimt vervolgens achter zichzelf op. De gebruiker blijft achter met versleutelde gegevens en het bekende briefje met instructies over het betalen van het losgeld om de gegevens terug te krijgen.
Up to date
En dat is een probleem bij het herstel van de systemen en het vervolgen van de daders. Het opruimscript van Kraken wist precies die sporen uit, die door forensisch ICT-ers worden gebruikt om herstel mogelijk te maken en de daders in beeld te krijgen. Bij het opstellen van herstelprotocollen voor specifieke vormen van ransomware is het belangrijk om een duidelijk beeld te hebben van hoe de ransomware het werk doet. Het schoonveegscript van Kraken bemoeilijkt dit.
De Kraken ransomware is slim gebouwd en heeft vele nieuwe functionaliteit die het bespeuren bemoeilijken. Het is echter zeker niet onfeilbaar. Cisco heeft de Indicators of Compromise (het digitale signatuur waarmee Kraken herkend kan worden) openbaar gemaakt via Github. De belangrijkste bescherming blijft natuurlijk preventie. Het is daarom belangrijk om zowel de systemen van uw organisatie als de mensen die ze gebruiken up to date te houden.