Ransomware is een geavanceerde vorm van malware die probeert gebruikers een som geld of zogenaamde boete te laten betalen door hun apparaat of bestanden te vergrendelen. De simpele versie hiervan toont een afbeelding op het scherm waarin beweerd wordt dat de gebruiker illegale content gedownload heeft of illegale software gebruikt. Als de gebruiker niet betaalt zal deze volgens de afbeelding gearresteerd worden. Andere, meer complexe ransomware als Cryptowall en Cryptolocker versleutelen alle bestanden op een computer. Ze eisen betaling in ruil voor een sleutel die de bestanden ontgrendelt. Maar die overeenkomst wordt niet altijd gehonoreerd. Ransomware kreeg voor het eerst bekendheid als dreiging in Oost-Europa in 2005, maar groeide eind 2013 uit tot een wereldwijd fenomeen.
Perspectief
Om ransomware in perspectief te plaatsen is het belangrijk om te kijken naar de bedrijven die doelwit waren van een gijzeling. Zo kreeg de gemeente Detroit te horen dat ze 800 duizend dollar losgeld moest betalen. Men betaalde echter niet. Een ziekenhuisgroep werd in negen verschillende locaties gegijzeld en betaalde wel. Ransomware-auteurs zien het geld binnenstromen en zullen naar verwachting door blijven gaan zolang er winst te halen is. Ze sturen hun kwaadaardige code per e-mail en verpakken hem in bestanden. Ook plaatsen ze hun code op het internet, waar ze gebruikers proberen te lokken met gratis content om vervolgens bedrijven klem te zetten.
Vergrendeling voorkomen
Beveiligingsorganisaties werken onvermoeibaar aan manieren om ransomware tegen te houden. Dit doen ze door mechanismes te bouwen die ongeautoriseerde vergrendeling tegenhouden. En door handtekeningen te creëren die bekende aanvallen stopzetten. In de tabel beneden is te zien hoe SonicWall next-generation firewalls meer dan negentig miljoen ransomware aanvallen voorkwam in mei 2016. Deze vrolijke statistieken zijn het gevolg van honderden ransomware signaturen die actief aanvallen stopzetten. Dus waarom is na jaren van ransomware bestrijden het nog steeds een groot probleem? Waarom geven de aanvallers het gevecht niet op, ondanks de successen die leveranciers van beveiligingstechnologieën boeken?
Missie
Firewalls boeken grote successen. Maar de signaturen zijn nog steeds gebonden aan wat er al bekend is. Zo kennen wij alle variaties van o.a. Locky, Tescrypt en Crowti, maar deze ontwikkelen zich snel en veranderen om de verdediging van beveiligingstechnologie te slim af te zijn. De missie van een firewall-leverancier is om in rap tempo nieuwe signaturen te creëren voor alle ransomware-varianten voordat die bedrijven tot slachtoffer kunnen maken. Maar op deze manier blijft het uiteindelijk een kat-en-muis-spelletje tussen cybercriminelen en leveranciers van beveiligingstechnologie.
Cloud-gebaseerde signaturen
Hoe kun je uit dit spel stappen en een nieuw niveau van beveiliging bereiken? Hier kan sandbox-technologie en cruciale rol spelen. De SonicWall Capture Advanced Threat Protection (ATP) bijvoorbeeld beschikt over meerdere analyse-machines. Het combineert virtuele sandbox, analyse op niveau van de hypervisor en de emulatie van volledige systemen. De ATP gebruikt vooral cloud-gebaseerde signaturen voor elke mogelijke versie van ransomware, om zo een opeenvolgende aanval te blokkeren en de levenscyclus van ransomware in te korten. Op deze manier wordt veel malware verwijderd voor hij zijn eindbestemming kan bereiken. Door cloud-gebaseerde signaturen te gebruiken leert de oplossing feitelijk uit de meer dan negentig miljoen aanvallen die wereldwijd worden onderzocht door de firewall. Hoe meer organisaties op deze manier informatie over ransomware automatisch delen, hoe moeilijker het voor cybercriminelen wordt.
Florian Malecki is international product marketing director bij SonicWall
