De keerzijde van 'debuggen' ransomware

Ransomware - de beveiligingsplaag van de moderne, digitale wereld - wordt alleen maar gevaarlijker. Waren gebruikers informeren over wat ze moeten doen, maar het is moeilijk om moordende encryptie voor te blijven die rijkelijk rond lagen van verduisterde digitale sporen wordt gestrooid die de daden van de slechteriken en uw bestanden verbergen. Ondertussen begraaft de tol bedrijven en bindt het de handen van wetgevers die om een ​​oplossing smeken. Maar als we de sleutels tot ransomware openbreken, helpen we dan niet gewoon de slechteriken om het de volgende keer beter te maken?

Eerder deze maand bij een digitale werkplaats in het hart van Tsjechië deelden ontwikkelaars van ransomware-decryptors met aanwezigen hoe ze een deel van de code hebben gekraakt en de gegevens van gebruikers terugkrijgen. Door zorgvuldige analyse ontdekten ze soms fouten in de implementaties of operaties van de slechteriken, waardoor ze het versleutelingsproces konden omkeren en de versleutelde bestanden konden herstellen.

Maar wanneer good guys de tool aan het publiek aankondigen, configureren de oplichters hun waren snel opnieuw met tactieken die 'meer volledig onhackbaar' zijn, waardoor onderzoekers de volgende batch bestanden niet kunnen openen. Kortom, de onderzoekers debuggen de waren van de oplichters voor hen in een niet-deugdzame cyclus.

Dus we repareren het niet, we jagen erop, reageren erop, schilderen over de schade. Maar elk succes kan van voorbijgaande aard zijn, aangezien herstel van het grootste deel van de verwoesting onmogelijk blijft voor de kleine bedrijven die het gevoel hadden dat ze moest betalen om in bedrijf te blijven.

Overheden zijn – met alle goede bedoelingen – ook reactief. Ze kunnen aanbevelen, helpen bij het proces van respons op incidenten en misschien hun ondersteuning sturen, maar dat is ook reactief en biedt weinig troost voor een vers gestript bedrijf.

Dus schakelen ze over naar financiën bijhouden. Maar de slechteriken zijn meestal goed in het verbergen - ze kunnen al het goede gereedschap betalen door het grote geld te betalen dat ze net hebben gestolen. En eerlijk gezegd weten ze misschien meer dan veel overheidsactoren. Het is alsof je een F1-racewagen achtervolgt met een redelijk snel paard.

Hoe dan ook, onderzoekers moeten meer zijn dan bètatesters voor de slechteriken.

U kunt niet alleen de tools van de cybercriminelen detecteren en ze ook blokkeren, aangezien ze gebruik kunnen maken van standaard systeemtools die worden gebruikt voor de dagelijkse werking van uw computer; ze kunnen zelfs worden verzonden als onderdeel van het besturingssysteem. Open-sourcetools zijn de lijm die het hele systeem bij elkaar houdt, maar kunnen ook de lijm zijn die het ransomware-coderingsproces dat het systeem vergrendelt, bij elkaar houdt.

Dus dan moet je bepalen hoe de criminelen handelen. Het is niet slecht om een ​​hamer in je hand te hebben in een monteur, totdat je tegen een raam zwaait om hem te breken. Evenzo kan het detecteren van een verdachte actie het begin van een aanval detecteren. Maar dit doen met de snelheid van nieuwe aanvalsvarianten is moeilijk.

Hier in Europa wordt er veel moeite gedaan om regeringen uit verschillende landen bijeen te roepen om informatie over ransomware-trends te delen, maar de groepen die dit leiden zijn niet rechtstreeks rechtshandhavingsinstanties; ze kunnen alleen maar hopen dat rechtshandhavingsinstanties snel handelen. Maar dat gebeurt niet met de snelheid van malware.

De cloud heeft zeker geholpen, omdat beveiligingsoplossingen deze kunnen gebruiken om actuele pre-aanvalscenario's uit te voeren die uw computer moet activeren om een ​​aanval te stoppen.

En het verkort de levensduur van effectieve ransomware-tools en -technieken, zodat ze niet veel geld verdienen. Het kost de slechteriken geld om goede ransomware te ontwikkelen, en ze willen een terugverdientijd. Als hun payloads maar één of twee keer werken, loont dat niet. Als het niet loont, gaan ze iets anders doen dat wel werkt, en misschien kunnen organisaties weer aan de slag.

Maak een back-up van de schijf

Een professionele tip van de conferentie: maak een back-up van uw versleutelde gegevens als u wordt geraakt door ransomware. Als er uiteindelijk een decryptor wordt vrijgegeven, heb je in de toekomst misschien nog steeds een kans om verloren bestanden te herstellen. Niet dat het je nu helpt.

De beste tijd om een ​​back-up te maken is natuurlijk wanneer u niet wordt afgeperst door ransomware, maar het is nooit te laat om te beginnen. Hoewel het op dit moment meer dan tien jaar oud is, is de gids van WeLiveSecurity om Basisprincipes van back-ups biedt nog steeds praktische informatie biedt praktische informatie over hoe u het probleem kunt aanpakken en een oplossing kunt ontwikkelen die werkt voor uw huis of kleine onderneming.

ESET versus ransomware

Als je je afvraagt ​​waar ESET staat met het maken van ransomware-decryptors, hebben we een gemengde aanpak: we willen mensen beschermen tegen ransomware (die we vaak classificeren als Diskcoder- of Filecoder-malware), en ook manieren bieden om gegevens te herstellen. Tegelijkertijd willen we de criminele bendes achter deze plaag niet waarschuwen dat we het technologische equivalent hebben gedaan van het openen van hun gesloten deuren met een set digitale lockpicks.

In sommige gevallen kan een decryptor worden gepubliceerd en openbaar worden gemaakt via het ESET Knowledgebase-artikel Zelfstandige hulpprogramma's voor het verwijderen van malware. Op het moment van publicatie hebben we daar momenteel ongeveer een half dozijn decoderingstools beschikbaar. Andere dergelijke tools zijn beschikbaar op de website van het No More Ransom-initiatief, waarvan ESET sinds 2018 een geassocieerde partner is. In andere gevallen schrijven we echter wel decryptors, maar plaatsen we er geen informatie over.

De criteria om aan te kondigen dat een decryptor is vrijgegeven, verschillen per stuk ransomware. Deze beslissingen zijn gebaseerd op een zorgvuldige beoordeling van vele factoren, zoals hoe productief de ransomware is, de ernst ervan, hoe snel de auteurs van de ransomware codeerfouten en fouten in hun eigen software patchen, enzovoort.

Zelfs wanneer partijen contact opnemen met ESET voor hulp bij het ontsleutelen van hun gegevens, wordt specifieke informatie over hoe de ontsleuteling is uitgevoerd niet openbaar gedeeld om de ontsleuteling zo lang mogelijk te laten werken. We zijn van mening dat dit de beste afweging is tussen het beschermen van klanten tegen ransomware en het zo lang mogelijk kunnen helpen bij het ontsleutelen van gegijzelde bestanden. Zodra criminelen zich ervan bewust zijn dat er gaten in hun codering zitten, kunnen ze deze repareren en kan het lang duren voordat er andere fouten worden gevonden waarmee gegevens kunnen worden hersteld zonder dat de eigenaar wordt afgeperst.

Omgaan met ransomware, zowel de operators als de ransomware-code zelf, is een lastig proces, en het is vaak een schaakspel dat weken, maanden of zelfs jaren kan duren voordat de goeden het opnemen tegen de slechteriken. ESET's visie hierop is om te proberen het maximale goed te doen, wat inhoudt dat zoveel mogelijk mensen zo lang mogelijk worden geholpen. Het betekent ook dat als u een door ransomware aangetast systeem tegenkomt, de hoop niet opgeeft, er nog steeds een externe kans is dat ESET u kan helpen bij het terugkrijgen van uw gegevens.

Ransomware kan een probleem zijn dat niet snel zal verdwijnen, maar ESET staat klaar om u ertegen te beschermen. Het is echter nog steeds veel beter om het te voorkomen dan het te genezen.