Ransomware – V-ICT-OR Advies (versie 4)

1 Inleiding ............................................................................................................................. 3

2 Regelgeving, richtsnoeren versie 3 .................................................................................... 5

3 Advies SANS ..................................................................................................................... 6

4 Het DNA van de dreiging ................................................................................................... 7

4.1 Werking ....................................................................................................................... 7

4.2 Specifieke eigenschappen ............................................................................................ 7

5 Maatregelen ........................................................................................................................ 8

5.1 Evaluatie huidige anti-malware oplossing(en) ............................................................ 8

5.2 Web filtering ................................................................................................................ 8

5.3 Bestandsbeheer ............................................................................................................ 9

5.3.1 Need-to-know ....................................................................................................... 9

5.3.2 Alleen lezen .......................................................................................................... 9

5.3.3 Detectie via FSRM (File Server Resource Manager) ........................................... 9

5.4 E-Mail ........................................................................................................................ 10

5.4.1 Consulatie van persoonlijke e-mail verbieden ................................................... 10

5.4.2 Bijlagen blokkeren ............................................................................................. 10

5.4.3 Blokkeer op trefwoorden .................................................................................... 10

5.5 Software restriction policies / App Locker ................................................................ 11

5.6 Office security ........................................................................................................... 12

5.7 EMET ........................................................................................................................ 12

5.8 Beveiliging back-upsystemen .................................................................................... 12

6 Bij (vermoedelijke) besmetting ........................................................................................ 13

6.1 Verdere schade voorkomen ....................................................................................... 13

6.2 Lokale bestanden recupereren ................................................................................... 13

6.3 Analyse malware ....................................................................................................... 13

Ransomware ivo.depoorter@v-ict-or.be Pagina 2 van 19

6.3.1 Snelle analyse ..................................................................................................... 13

6.3.2 Diepere analyse .................................................................................................. 14

6.4 Analyse besmet systeem ............................................................................................ 15

6.4.1 SysInternals ........................................................................................................ 15

6.4.2 Handige tools ...................................................................................................... 15

6.5 Herstel ........................................................................................................................ 16

6.5.1 Vorige versies ..................................................................................................... 16

6.5.2 Verwijderde bestanden terughalen ..................................................................... 16

6.5.3 Decrypteren ........................................................................................................ 16

7 Ransomware en de GDPR ................................................................................................ 17

8 Campagne overheid .......................................................................................................... 18

9 Nuttige informatie ............................................................................................................ 18

10 Overzicht richtlijnen / maatregelen .................................................................................. 19

Ransomware ivo.depoorter@v-ict-or.be Pagina 3 van 19

1 Inleiding

Cybercriminaliteit is zeer actueel in de pers.

Wereldwijd worden er bedrijven, scholen en ziekenhuizen getroffen door nieuwe vormen van

malware. Ook onze lokale besturen zijn niet gespaard gebleven. Bij sommige besturen is het

zelfs niet bij één keer gebleven.

België staat op nr. 5 van de landen waar

ransomware het hardst toegeslagen heeft.

.

Deze nieuwe vormen van malware bekennen pas kleur eens ze actief zijn.

Het verspreiden van malware wordt als dienst aangeboden via

MAAS of Malware As A Service (Voorbeeld Satan 1

Meer dan ooit zijn extra maatregelen nodig om ons te wapenen tegen deze nieuwe vormen

van malware.

In deze handleiding richten we onze pijlen op de zeer gevaarlijke varianten van:

CRYPTO-RANSOMWARE

1 https://www.helpnetsecurity.com/2017/01/20/satan-ransomware/

Golf van fraudemails besmet Vlaamse

kmo’s

2 Regelgeving, richtsnoeren versie 3

➢ Uw organisatie moet beschikken over geschikte procedures en richtlijnen ter bescherming tegen

malware en om het bewustzijn van de systeem- en de eindgebruikers te vergroten.

Enkele voorbeelden van mogelijke richtlijnen en procedures zijn:

o gebruik van ongeautoriseerde programmatuur verbieden;

o beleid bepalen inzake het ontvangen van bestanden en programmatuur vanuit of via externe netwerken of via enig ander medium;

o vastleggen van de verantwoordelijkheden inzake de bescherming tegen malware.

➢ De nodige beheersmaatregelen om mobiel computergebruik (inclusief andere mobiele media) en telewerken op een veilige manier toe te laten, moeten ingevoerd worden. Deze maatregelen kunnen onder meer betrekking hebben op:

o bescherming tegen malware;

➢ Om een optimale beveiliging van het netwerk te garanderen, kan een gewone gebruiker ook in

een samenwerkingsverband tussen een stad/gemeente en een OCMW niet beschikken over

administratorrechten op zijn werkstation. Deze beperking van rechten heeft tot doel te vermijden

dat het werkstation en het netwerk besmet worden door malware of dat het werkstation van de

gebruiker slecht wordt geconfigureerd. Deze beperking heeft tot gevolg dat de gebruiker niet over

alle functies op zijn werkstation zal beschikken. De gebruiker zal bijvoorbeeld niet gemachtigd zijn

om nieuwe toepassingen te installeren of om de netwerk- of systeemparameters te wijzigen.

➢ Ter bescherming tegen malware (voorkomen, ontdekken en verwijderen/herstellen) behoort uw

informaticadienst anti-malware- en herstelsoftware te installeren en regelmatig te updaten,

waarbij computers en media als voorzorgsmaatregel of routematig worden gescand. De

uitgevoerde scan behoort onder meer:

o alle bestanden die via netwerken of via elke vorm van opslagmedium zijn ontvangen, vóór

gebruik op malware te scannen;

o bijlagen en downloads vóór gebruik op malware te scannen en dit op verschillende cruciale plaatsen in uw netwerkconfiguratie (mailservers, computers, netwerktoegang…);

o internetpagina’s op malware te scannen. Nauwkeurige en informatieve waarschuwingsberichten in het geval van een reële bedreiging kunnen het bewustzijn van de gebruikers vergroten.

➢ Zie ook andere normen zoals

o Communicatiebeveiliging o Informatiebeveiligingsincidenten o Back-up

Ransomware ivo.depoorter@v-ict-or.be Pagina 6 van 19

3 Advies SANS

Volgens de aanbevelingen van SANS, Critical Security Control 8 (zie

https://www.sans.org/critical-security-controls/controls) wordt malware het best voorkomen

door de volgende maatregelen in acht te nemen.

1. Permanente bewaking van servers, werkstations, mobiele toestellen met antivirus, anti-

spyware, persoonlijke firewalls en op werkstation gebaseerde IPS detectie.

Bij detectie rapportering aan een centrale beheerstool en centrale logging.

2. Gebruik van een centrale anti-malware oplossing met reputatie monitoring van bestanden.

Mogelijkheid om centraal updates te pushen en te controleren of dit gelukt is.

3. Beperking gebruik van externe apparaten tot de zakelijke behoefte.

Monitoring voor gebruik van externe apparaten

Geen gebruik van de auto-run bij verwisselbare media

Automatisch malware scan bij gebruik van wisselbare media.

4. Gebruik van anti-exploitatie functies zoals DEP (Data Execution Prevention), ASLR

(Address Layout Randomization), virtualisatie.

Implementatie van tools zoals EMET (Enhanced Mitigation Experience Toolkit).

5. Gebruik netwerk-gebaseerde anti-malware tools waarmee uitvoerbare bestanden

gecontroleerd kunnen worden met andere technieken dan op handtekening gebaseerde

detectie om te vermijden dat schadelijke inhoud het eindpunt bereikt

6. DNS query monitoring met detectie op gekende C2 malware domeinen

Zie ook andere Critical Security Controls:

• CSC-4 Kwetsbaarheidsscanning en remediëring

• CSC-5 Gecontroleerd gebruik beheerdersrechten

• CSC-7 E-Mail en webbrowser bescherming

• CSC-10 Data herstel

• CSC-17 Security Training

• CSC-19 Incidentbeheer

Ransomware ivo.depoorter@v-ict-or.be Pagina 7 van 19

CONTACT HOOFDKWARTIER Er wordt contact opgenomen met het

C&C

INSTALLATIE Schrijft sleutels weg in het register die

persistent zijn na het opstarten van de pc.

UITWISSELING CRYPTO SLEUTELS Asymmetrische versleuteling tussen C&C

en pc

VERSLEUTELING Versleuteling van bestanden met een

bepaalde extensie (doc, pdf, jpg,..)

AFPERSING Betaling via ontraceerbaar Bitcoin (P2P)

netwerk

4 Het DNA van de dreiging

Vooraleer de nodige maatregelen te kunnen nemen is het belangrijk om op de hoogte te

blijven van de laatste dreigingen en de werking ervan.

Onderstaand voorbeeld herneemt de belangrijkste eigenschappen van Crypto-Ransomware.

4.1 Werking

4.2 Specifieke eigenschappen

• Komt binnen met bepaalde extensies (zip, rar, docx, xlsx,..)

• E-mail met bepaald onderwerp of tekst (invoice, rekening,…)

• Gebruikt Office macro’s

• Gebruikt bepaalde kwetsbaarheden (Adobe Flash CVE-2015-0311)

• Maakt verbinding via Tor, IP2 proxy

• Gebruikt bepaalde mappen (%appdata%, %temp%) om bestanden te droppen

• Dropt bestanden met bepaalde eigenschappen (samsam.exe)

• Maakt registersleutels aan (“HKCU\Software\locky)

• Wijzigt registersleutels (HKCU\Software\Microsoft\Internet Explorer\PhishingFilter)

• Verwijdert Shadow Copies

• Sluit processen af (msconfig, regedit, procexp , taskmgr)

• Gebruikt bepaalde tools (psexec.exe van sysinternals)

• Versleutelde bestanden krijgen bepaalde extensie (ecc, crypto,…)

• Blokkeert de volledige harde schijf (master boot record)

Ransomware ivo.depoorter@v-ict-or.be Pagina 8 van 19

5 Maatregelen

We gaan ervan uit dat de verplicht te nemen maatregelen volgens de richtsnoeren, in het

bijzonder het bewustzijn van de eindgebruikers vergroten, al meegenomen worden in de anti-

malware strategie van het bestuur.

De voorgestelde maatregelen spelen in op het DNA van Crypto-Ransomware en moeten als

aanvullend beschouwd worden aan de bestaande anti-malware oplossing(en).

5.1 Evaluatie huidige anti-malware oplossing(en)

Sommige anti-malwareoplossingen voorzien extra functionaliteit om de kans op

besmetting/verspreiding van crypto-ransomware te reduceren.

Vraag deze informatie op aan de fabrikant!

Enkele voorbeelden van deze technieken zijn sandboxing2 waar alle bijlagen geanalyseerd

worden vooraleer ze bij de eindgebruiker komen.

Ook het automatisch verbreken van netwerkverbindingen3 bij besmetting is een actie die

verder gaat dan wat er vroeger van een virusscanner verwacht werd.

Hou bij aankoop van een nieuwe oplossing rekening met deze nieuwe technieken.

Bekijk ook de testresultaten

Art 32 – Beveiligen van de verwerking

1. Rekening houdend met de stand van de techniek, aard, omvang,

context……

5.2 Web filtering

Afhankelijk van de gebruikte web filter kunnen er categorieën geselecteerd worden.

Rekening houdend met de werking van ransomware (vb. communicatie met C&C over het

Tor-netwerk) kunnen er enkele web categorieën uitgeschakeld worden zoals:

Anonymizers, Browser exploits, Dangerous downloads, Malicious sites, Phishing, SPAM

URLs, Command and Control,…

Heb je nergens de mogelijkheid om deze categorieën te filteren gebruik zet dan een

DNS filter op (bijvoorbeeld OpenDNS) en gebruik deze als doorstuurserver

(forwarder)

2 https://nl.wikipedia.org/wiki/Sandbox_(software) 3 Zie Kaspersky Anti-Cryptor demo

Ransomware ivo.depoorter@v-ict-or.be Pagina 9 van 19

5.3 Bestandsbeheer

5.3.1 Need-to-know

Het hiërarchisch model, waar de inzage bepaald wordt volgens je plaats op de hiërarchische

ladder, is niet langer verenigbaar met de nieuwe dreigingen.

Bij besmetting wordt de volledige boomstructuur versleuteld!

Een gezonder principe is te werken volgens het need-to-know principe.

5.3.2 Alleen lezen

Overweeg of het niet mogelijk is om de rechten op bepaalde mappen te wijzen naar alleen-

lezen i.p.v. wijzigingsrechten te gebruiken.

5.3.3 Detectie via FSRM (File Server Resource Manager)

Op internet vind je een lijst met bestanden en extensies die door ransomware gebruikt worden.

Vanaf server 2008 kan je gebruik maken van de ‘File Server Resource Manager’ om deze lijst

te blokkeren (Active file screening) of enkel te rapporteren (Passive file screening).

De werkwijze is beschreven op de volgende link van Microsoft.

Een actuele lijst is terug te vinden op de volgende link (automatisatie met powershell

mogelijk).

Om je huidige ‘Filescreengroup’ te updaten kopieer je de nieuwe lijst en wijzig je

New-FsrmFileGroup naar Set-FsrmFileGroup.

Opgepast, dit vervangt de lijst volledig!

*.ecc

*.ezz

recoveryfile*.txt

recoverfile*.txt

recoveryfile*.txt

Howto_Restore_FILES.TXT

help_recover_instructions+*.txt

_Locky_recover_instructions.txt

Ransomware ivo.depoorter@v-ict-or.be Pagina 10 van 19

5.4 E-Mail

5.4.1 Consulatie van persoonlijke e-mail verbieden

De consultatie van privé e-mails via het web of een andere e-mail toepassing dan de standaard

toepassing van het bestuur is een groot risico.

Filter de gekende webmail adressen en sta slechts het gebruik van één e-mailprogramma toe.

5.4.2 Bijlagen blokkeren

5.4.2.1 Blokkeer uitvoerbare inhoud

Uitvoerbare inhoud (vb. exe), wordt best op de transport laag geblokkeerd.

Gebruik de ‘Excecutable content” lijst van Microsoft om gevaarlijke bijlagen te

blokkeren, aangevuld met gekende ransomware extensies zoals *.js, *.scr.

5.4.2.2 Outlook bijlagen

Standaard blokkeert Outlook deze lijst met bijlagen.

De lijst kan via GPO’s gewijzigd worden. Er wordt hierbij een onderscheid gemaakt tussen

level 1 (gebruiker ziet bijlagen niet) en level 2 (gebruiker moet eerst de bijlage bewaren

vooraleer te kunnen openen).

5.4.3 Blokkeer op trefwoorden

Ransomware e-mail wordt meestal verzonden via spamcampagnes.

Filter e-mail op gekende inhoud (subject/body) zoals ‘Uw factuur’, ‘Invoice’,….

Ransomware ivo.depoorter@v-ict-or.be Pagina 11 van 19

5.5 Software restriction policies / App Locker

Via App Locker en SRP voorziet Microsoft enkele opties om via GPO’s bepaalde applicaties

of extensies al dan niet toe te staan.

Sommige versies van ransomware kunnen via standaard gedrag, bijvoorbeeld het droppen van

een exe-bestand in %appdata% tegengehouden worden.

Hieronder enkele aanbevelingen.

Filter het logboek (aangepaste

weergave) op fout 866 om te

controleren welke toepassingen er

geblokkeerd werden.

Ransomware ivo.depoorter@v-ict-or.be Pagina 12 van 19

Office 2016 (en Office

2013 – Nieuwe ADMX)

kan macro’s blokkeren (via

GPO) afkomstig van

Internet.

‘Block macros from

running in Office files

from the Internet’

5.6 Office security

Sommige versies van Ransomware maken gebruik van Office macro’s om kwaadaardige code

uit te voeren. Standaard worden alle macro’s uitgeschakeld.

Indien je intern gebruik maakt van macro’s is digitale ondertekening een optie.

Overloop ook de andere instellingen van het vertrouwenscentrum!

5.7 EMET

SANS raadt het gebruik aan van programma’s zoals EMET4 om vroegtijdig bepaalde memory

exploitatietechnieken te detecteren en blokkeren.

EMET wordt afzonderlijk geïnstalleerd en kan lokaal of via GPO’s beheerd worden.

Daar het programma heel wat extra controles uitvoert kan het sterk vertragend werken,

uitgebreid testen is hier de boodschap.

5.8 Beveiliging back-upsystemen

Beperk de toegang tot de back-upsystemen tot een beperkt aantal systemen en gebruikers en

zorg ervoor dat er geen permanente koppelingen (net shares) zijn naar deze systemen.

Overweeg versleuteling van de back-ups.

4 End Of Life 31/7/2017

Ransomware ivo.depoorter@v-ict-or.be Pagina 13 van 19

6 Bij (vermoedelijke) besmetting

6.1 Verdere schade voorkomen

Bij (vermoedelijke) besmetting is het belangrijk dat alle netwerkverbindingen verbroken

worden en dat het system afgezet wordt.

Bezorg het personeel de nodige richtlijnen om hier adequaat mee om te gaan.

6.2 Lokale bestanden recupereren

In een professionele omgeving horen er geen bestanden lokaal op de pc bewaard te worden

tenzij het niet anders kan, bijvoorbeeld bij mobiel (offline) gebruik.

Start de pc op met een boot CD (vb. Hirens Boot CD) en neem een back-up van de gegevens.

Probeer ook de malware bron te vinden met als doel een verdere analyse te kunnen uitvoeren.

Alle acties die hierna volgen gebeuren in een geïsoleerde omgeving zonder

verbinding naar het professioneel netwerk of externe schijven!

6.3 Analyse malware

Probeer zoveel mogelijk informatie in te winnen via het slachtoffer of het besmet systeem met

als doel de technische maatregelen te kunnen bijsturen.

Bij voorkeur laat je de malware online analyseren.

Op deze wijze beperk je het risico op verdere besmetting.

6.3.1 Snelle analyse

Een snelle analyse kan via Virustotal maar staat onvoldoende garant voor een correcte analyse

omdat er hier gewerkt wordt met signatures (hash-waarden).

Virustotal kan ook gebruikt worden voor URL-analyse.

Een betere analyse vind je terug bij zscaler

Ransomware ivo.depoorter@v-ict-or.be Pagina 14 van 19

6.3.2 Diepere analyse

Voor een diepere analyse moet het bestand geopend worden.

Enkele gratis, onlinediensten en tools maken een mooie analyse en zijn een betere indicator of

we hier te maken hebben met malware.

6.3.2.1 Online analyse

De sites Malwr of Hybrid-Analysis zijn daar voorbeelden van.

De analyse toont niet alleen enkele screenshots van de malware in actie maar maakt een

overzicht van kwaadaardige indicatoren, gedropte bestanden, opgezette verbindingen,…

6.3.2.2 Lokale analyse

Het programma PEStudio maakt een initiële malware analyse zonder dat het programma

gestart moet worden waardoor het risico op besmetting nihil is.

Contacteer de (Belgische) malware analyst Marc Ochsenmeier bij eventuele vragen.

Ransomware ivo.depoorter@v-ict-or.be Pagina 15 van 19

6.4 Analyse besmet systeem

Voor de analyse van het besmette systeem (na heropstart) bestaan er enkele interessante tools.

6.4.1 SysInternals

Sysinternals voorziet al jaren interessante tools voor systeembeheerders.

Specifiek voor malware analyse worden de volgende tools van de suite gebruikt:

• Process Explorer

• Sigcheck

• DLL View

• Autoruns

• Process Monitor

• Sysmon

De presentatie Malware Hunting with the Sysinternals Tools is een ideaal vertrekpunt om de

tools te leren inzetten wanneer er een vermoeden op besmetting is.

Moderne malware probeert zich soms te verbergen indien de gekende tools ingezet

worden voor de analyse!

6.4.2 Handige tools

• ListCriLock haalt de index van de versleutelde bestanden uit het register

(HKCU\Software\CryptoLocker\ of HKCU\Software\CryptoLocker_0388\Files key)

en opent een tekstbestand met de analyse.

Het volgende Powershell commando leest dezelfde registersleutel uit.

(Get-Item KCU:\Software\CryptoLocker\Files).GetValueNames().Replace("?","\") |

Out-File CryptoLockerFiles.txt -Encoding unicode

• Crypotlocker Scan tool maakt een CVS bestand met bestanden die nader onderzocht

moeten worden

Ransomware ivo.depoorter@v-ict-or.be Pagina 16 van 19

6.5 Herstel

Met een goede back-up zou herstel geen enkel probleem mogen zijn, zoniet zijn er nog enkele

mogelijkheden die misschien een oplossing kunnen bieden.

6.5.1 Vorige versies

Wanneer het via de boot CD niet gelukt is om lokale bestanden te recupereren dan kan dit

misschien via de ingebouwde functie vorige versies voor zover dit op het volume geactiveerd

werd.

Een programma die een gelijkaardige functionaliteit biedt is Shadow Explorer

6.5.2 Verwijderde bestanden terughalen

Met recoverytools als Recuva en Pandora Recovery kunnen verwijderde bestanden worden

hersteld.

6.5.3 Decrypteren

Voor sommige versies van het cryptovirus zijn er oplossingen mogelijk.

Zo zijn ze erin geslaagd om in te breken in een Command en Control Center om zo de

encryptiesleutels te bemachtigen van één van de versies.

In een andere versie zijn er dan weer fouten ontdekt in het versleutelingsalgoritme waardoor

het in sommige gevallen toch mogelijk is je bestanden te recupereren.

Ideaal vertrekpunt om te decrypteren is de site nomoreransom.

Bij bezoek aan de site wordt onmiddellijk hulp aangeboden bij het ontsleutelen van bestanden

en vindt je ook decryptietools terug en een Crypto Sheriff om de variante de identificeren.

Ransomware ivo.depoorter@v-ict-or.be Pagina 17 van 19

Tweede mogelijk is ID Ransomware. Ook hier kan je aan de hand van de ‘Ransom note’ en

een versleuteld bestand achterhalen over welk type5 ransomware het gaat en of er een

mogelijkheid is om te decrypteren.

7 Ransomware en de GDPR6

Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een

datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen

versleutelen.

De verantwoordelijke kan er bij ransom- of cryptoware niet van uitgaan dat de inbreuk

beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele

systeem en alle gekoppelde bestanden raken.

Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de

gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn

gekopieerd of gemanipuleerd.

Bron:

https://autoriteitpersoonsgegevens.nl/nl/nieuws/datalek-door-ransomware-wat-moet-u-doen

Artikel 33 – Melding van een inbreuk ….aan toezichthoudende autoriteit

Artikel 34 – Melding van een inbreuk …aan betrokkene

Workflow melding: http://www.slideshare.net/Johan_Vdd/incidentdata-breach-notification-

flow-chart-belgian-law-future-situation

5 Momenteel worden er 365 types gedetecteerd 6 General Data Protection Regulation

Ransomware ivo.depoorter@v-ict-or.be Pagina 18 van 19

8 Campagne overheid

https://www.safeonweb.be/nl/quiz-introduction

https://www.safeonweb.be/quizz/start_cert_phishing_nl.htm

9 Nuttige informatie

Verplichte lectuur is het document uitgegeven door het CERT op 17/03/2017.

Hier vind je niet algemene informatie over ransomware maar ook enkele

basispreventiemaatregelen en contactinformatie voor de rapportering bij besmetting.

Enkele nuttige links:

➢ Centre for Cybersecurity Belgium

➢ Overzicht anti-ransomware tools

➢ Malware removel guides

➢ Anti-Ransomware Software Overview

➢ Helpnet Security - Malware

Ransomware ivo.depoorter@v-ict-or.be Pagina 19 van 19

10 Overzicht richtlijnen / maatregelen