Eerste ransomware gemaakt in JavaScript ontdekt
Onderzoekers hebben de allereerste ransomware voor Windows ontdekt die volledig in JavaScript is gemaakt en met een aantal kleine aanpassingen ook op Mac- en Linuxcomputers kan werken. De ransomware heet Ransom32 en wordt als 'Ransomware as a Service' (Raas) aangeboden.
Via deze dienst kunnen cybercriminelen eenvoudig een eigen versie van de ransomware downloaden en verspreiden. De makers van Ransom32 geven afnemers het advies om niet al te hoge bedragen voor het ontsleutelen van versleutelde bestanden te vragen, omdat slachtoffers anders niet zullen betalen. Een kwart van het bedrag dat slachtoffers betalen gaat naar de makers. Bij het genereren van een Ransom32-versie kunnen cybercriminelen voor verschillende opties kiezen, zo meldt anti-virusbedrijf Emsisoft, dat de ransomware analyseerde.
Zo is er een optie die de ransomware bestanden laat versleutelen op een manier die weinig rekenkracht van de processor vraagt, zodat slachtoffers niet doorhebben dat er iets mis is, waarna er pas een waarschuwing wordt getoond. In deze waarschuwing staat dat de bestanden zijn versleuteld en er losgeld voor het ontsleutelen moet worden betaald. Een andere optie laat de waarschuwing juist als eerste zien, waarna het versleutelen pas begint.
NW.js
De ransomware zelf maakt gebruik van NW.js. Dit is een framework waarmee normale desktopprogramma's voor Windows, Linux en Mac OS X via JavaScript kunnen worden ontwikkeld. Het is gebaseerd op de populaire Node.js- en Chromiumprojecten. Waar JavaScript, niet te verwarren met Java, zich normaal binnen de browser bevindt en niet echt interactie met het systeem kan hebben, biedt NW.js meer controle en interactie met het onderliggende besturingssysteem. Daardoor kan de JavaScriptcode bijna alles wat andere programmeertalen zoals C++ of Delphi kunnen.
Het voordeel van NW.js is dat ontwikkelaars redelijk eenvoudig hun webapplicaties tot normale desktopprogramma's kunnen omzetten. Daarbij kan dezelfde JavaScriptcode op verschillende platformen worden gebruikt. Een NW.js-applicatie hoeft dus slechts een keer geschreven te worden en is daarna bruikbaar op Windows, Linux en Mac OS X. Dit houdt in dat Ransom32 in theorie ook voor Linux en Mac OS X kan worden aangepast. Op dit moment zijn er nog geen versies aangetroffen die op deze twee platformen werken.
Een ander voordeel van NW.js is dat het een legitiem framework is. Twee weken nadat de ransomware voor het eerst verscheen wordt die nog altijd slecht door anti-virussoftware herkend, aldus Emsisoft. Vooralsnog kunnen versleutelde bestanden niet worden ontsleuteld, zo meldt Bleeping Computer. De ransomware kan zich op verschillende manieren verspreiden, zoals e-mailbijlagen of drive-by downloads, afhankelijk waar de afnemers van de dienst voor kiezen.
FlashFake/Flashback malware voor Mac maakte een paar jaar geleden misbruik van het destijds voorgeïnstalleerde Java framework onder Mac OS X.
Inmiddels wordt Java al jaren niet meer (sinds Mac OS X Lion 10.7) voorgeïnstalleerd meegeleverd bij aanschaf van de Mac.
Java moet je zelf installeren.
Nou kan ik mij vergissen (NW.js zegt mij niet zoveel) maar een zoektochtje in de gauwigheid leert dat "NW.js" of het aangeroepen benodigde "Node.js" helemaal niet op een Mac staat voorgeïnstalleerd.
Dat betekent dat dit voor een standaard Mac Os X gebruiker niet direct een gevaar zou moeten opleveren omdat het dan eerst de betreffende .js frameworks zou moeten installeren.
Verder heb ik eigenlijk geen ervaring met software die extra installatie van Node.js vereist.
Lijkt me echt een developer aangelegenheid.
Zie ik dat verkeerd?
Wie?
Ik zie nu dat met het malware file dat maar liefst 22 mb groot is ook het node.js framework mee wordt geleverd en zich kennelijk automatisch kan uitpakken en activeren.
Emsisoft stelt
This also means, that at least in theory, Ransom32 could easily be packaged for both Linux and Mac OS X.
Ik zie inderdaad wel een mogelijke route maar vraag mij dan nog steeds af of, waar, hoe en met welke rechten het node.js framework dan zou moeten draaien.
Voor installatie in een framework directory is admin permissie vereist.
Installeer je het lokaal dan zal de malware misschien alleen lokale rechten hebben om lokaal bestanden te encrypten, wat ook geen fijne gedachte is als je werkt en browst onder hetzelfde gewone user account.
Een oplossing daarvoor zou kunnen zijn dat je onder een ander account werkt dan dat je browst en dat je (niet onbelangrijk!) je shared directory tussen de accounts gaat dichtgooien door de shared directory alleen leespermissies te geven, dus de standaard algemene schrijfrechten er vanaf haalt.
Benieuwd wat Apple hier voor oplossing voor gaat bedenken en wanneer.
Het internet geteisem zag de bui al hangen n.a.v. het in diskrediet komen van Adobe's Flash, dus het zoeken was naar een andere manier om met RansomWare mensen pootje te lichten.
Voor mij als gebruiker met een beetje kennis - letterlijk, ik ben geen specialist - van computer veiligheid alvast No-Script maar eens een reset naar default settings gegeven. Je moet wat hè... maar ach wat een zootje is het toch geworden in dat open riool genaamd Internet.
En dan: Java-script wordt zo algemeen toegepast, Ook de site Digid.nl wordt er door ondersteund.
Hier is dus een mooie taak weggelegd voor Mijn Overheid: Digid vrij van script of anders die verplicht gestelde berichtenbox (put) dempen totdat iedereen weet hoe hij/zij selectief scripting moet toestaan. Waarom? Mijn Overheid gaat er keihard vanuit dat iedereen een computer heeft. Die willen we dan ook blijven gebruiken om ook eens iets anders te doen dan inloggen bij DigiD (What's the Fun in that?) Dus in onze vrije tijd met dat ding dan alleen Free-cell spelen? Dan dansen de kaarten je na een uurtje of zo wel voor de ogen. Zodoende voor de afwisseling gaan we blote billen van zekere dames of heren begluren op sites waar malware glitches naar RansomWare in java-script straks schering en inslag zijn. Ja toch, of heeft niemand boter op zijn hoofd?... Maak dat de kat wijs... en Mijn Overheid. Zij denkt dat al die miljoenen berichtenbox 'verplicht gestelden' zo kuis zijn als Freule Cato in haar zes-laags onderjurk.
Mijn Overheid, neem adviezen van universitaire medewerkers eens meer serieus: https://www.security.nl/posting/418321/Hoogleraar%3A+internet+zal+altijd+kwetsbaar+blijven (Met name de laatste alinea is van toepassing)
Ps. Ik betrek dit security.nl topic van 12-02-2015 met name in deze context omdat het feitelijk niet uitmaakt of een overheid of een burger geschaad wordt door het gebruik van Internet)
Inmiddels wordt Java al jaren niet meer (sinds Mac OS X Lion 10.7) voorgeïnstalleerd meegeleverd bij aanschaf van de Mac.
Java moet je zelf installeren.
M.b.t. tot het cross-OS verhaal:
Deze ransomware heeft nodig:
- Een stand-alone Tor-bestand (.exe)
- Een (puur-Windows) onderdeel van een programma genaamd Optimum X (shortcut.exe)
- Een HTML5 decoder (.dll)
- 2 vbs-scripts voor de malware-settings.
Een beetje makkeraar of distribioot weet dan dus gelijk dat dit geen bedreiging is voor hun OS, ook niet na een simpele herziening van de broncode.
Vooral de keuze voor .vbs voor de configuratie-bestanden doet vermoeden dat louter MS-OS het beoogde doelwit zijn.
Mijn conclusie is dan ook dat de ontwikkelaar (>90% een afgeperste IT-student) gewoon een klein beetje ervaring heeft met het programmeren van .js op Windows, meer niet.
Met cross-platform heeft het in ieder geval weinig (tot niets) van doen.
Dat gezegd hebbende, adware voor mobile is booming, malware voor IoT is een natte droom voor de bad guys en dit is de zoveelste stap in die richting. En .js zou daarbij een potent medium kunnen worden, dat dan weer wel.
Als een aanvaller ongemerkt een node.js-omgeving (editor + compiler) zou kunnen installeren, dan zou hij ook een omgeving voor een andere taal (bv Java) kunnen installeren en met een programma in die andere taal zou hij ook een aanval kunnen ondernemen. In die zin is dit risico niet speciaal aan Javascript gebonden.
Maar hoe kan een aanvaller ongezien node.js downloaden en installeren? De gebruiker moet wel erg onervaren zijn als hij een installatie van een onbekend pakket laat passeren. Zelf werk ik vrijwel altijd zonder admin rechten en vraagt een installatie mij om mijn admin wachtwoord, maar ook iemand met admin rechten wordt toch wel het een en ander gevraagd bij een installatie, al is het dan geen wachtwoord. Kortom, het beschreven risico lijkt mij zeer klein en het verhaal ruikt naar paniek zaaien over Javascript.
No-Script werkt alleen in een browser. Uit het artikel maak ik echter op dat het hier een zelfstandige applicatie betreft die op Java-Script gebaseerd is. Dit is gewoon een taal waarmee beginnende programmeurs beter uit de voeten kunnen dan objective-C of C++. Ook al omdat velen JS kennen uit hun ervaring met browsers.
Waar het om gaat is dat de malware zelf in javascript geschreven is en daarmee platformonafhankelijk is, aangezien Node.js op meerdere platformen geïnstalleerd kan worden.
Een bericht met als titel "Eerste ransomware gemaakt in Java ontdekt" zou technisch gezien vrijwel dezelfde impact hebben.
Inmiddels wordt Java al jaren niet meer (sinds Mac OS X Lion 10.7) voorgeïnstalleerd meegeleverd bij aanschaf van de Mac.
Java moet je zelf installeren.
Met welk OS je zelf bekend bent wordt niet geheel duidelijk, desondanks voel ik er weinig voor tot in detail te gaan discussieren hoe dit voor Mac OS X werkbaar te krijgen, wat wellicht in de basis inclusief componenten best kan maar dan nog niet de hobbels heeft genomen binnen de securitylagen van Mac OS X.
Als men de kunst zou afkijken van de eerdere succesvolle Java based aanval komt men wellicht al wel een eindje.
Het kan best zijn dat wederom de markt het niet oppikt omdat de userbase van Windows veel aantrekkelijker is om zich op te richten.
Het internet geteisem zag de bui al hangen n.a.v. het in diskrediet komen van Adobe's Flash, dus het zoeken was naar een andere manier om met RansomWare mensen pootje te lichten.
Het gevaarlijkste aan dit beestje is dat het niet herkend wordt door anti-virus scanners.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.