Onderzoek: Locky-ransomware besmet Nederlandse pc's
De Locky-ransomware die deze week voor het eerst werd gesignaleerd heeft in Nederland al duizenden computers geïnfecteerd, zo claimt beveiligingsonderzoeker Kevin Beaumont. Locky verspreidt zich via Word-documenten, waarin ontvangers wordt gevraagd om macro's in te schakelen.
Op deze manier wordt de ransomware op de computer gedownload. Eenmaal actief versleutelt de ransomware allerlei bestanden op de computer en zoekt daarbij ook naar netwerkschijven, waaronder die niet aan een schijfletter zijn gekoppeld. Beaumont wist één van de domeinnamen te registreren die Locky gebruikt, maar nog niet door de makers was geregistreerd. Zo kan hij een deel van de infecties zien, omdat besmette computers met dit domein verbinding maken.
Gedurende een periode van een uur registreerde hij duizenden infecties. Het ging om 2900 computers in Nederland en zelfs 5300 machines in Duitsland die tijdens deze periode besmet raakten. De onderzoeker schat dat Locky over een periode van drie dagen mogelijk 250.000 computers zal infecteren. Gebruikers die niet over back-ups beschikken en hun bestanden terugwillen, moeten dan ook het gevraagde losgeld betalen. Volgens Beaumont is het grote aantal infecties mede te verklaren door het feit dat veel anti-virusbedrijven de ransomware de eerste 24 uur niet detecteerden.
De mitigatie is veiligheidstraining: u gaat niet zo maar reageren en doen wat een onbekende u vraagt. Ofwel geen snoepjes van vreemden aannemen. Koekje er bij?
Voor de meeste computergebruikers is het *de computer* die vraagt om macro's in te schakelen. Zelfs als die melding staat op een web pagina.
Mensen opleiden is niet de oplossing.
Microsoft zover krijgen dat ze Word en Excel gaan *sandboxen* is de oplossing.
HP heeft het gebouwd, Microsoft heeft er nooit iets mee gedaan: https://web.archive.org/web/20131002223734/http://www.hpl.hp.com/personal/Alan_Karp/polaris/index.html
"If you blame the user, you haven't done your job properly"
"If you blame the user, you haven't done your job properly"
"People often forget that POLA means two things at the same time. Not only must you prevent the application from having more authority than it needs to do the user's job, but also you must ensure that the application has enough authority to do that user's job."
POLA is een beheerderstaak waarbij je om die twee genoemde zaken op te lossen het gebruik en doel moet kennen. Met die kennis vul je dan de rest in ALS BEHEERDER. Het afschuiven op de tooling dat iemand het voor je moet oplossen...
Die van jou is waar en deze ook. "If you blame the tooling, you don't understand your job properly" http://idioms.thefreedictionary.com/A+bad+workman+blames+his+tools het begint http://img.picturequotes.com/1/112/if-you-cant-explain-it-simply-you-dont-understand-it-well-enough-quote-2.jpg
Die ondersteunt - volgens hun opgave - geen macro's.
het user profiel (en in zeker de TEMP directory, maar ook het bureaublad wil je niet).
En uiteraard weer een geval waarin dat super waardevolle systeem voor het uiten van meningen van Tibetaanse journalisten
gebruikt wordt waarvoor het meestal gebruikt wordt: computercriminaliteit.
De mitigatie is veiligheidstraining: u gaat niet zo maar reageren en doen wat een onbekende u vraagt. Ofwel geen snoepjes van vreemden aannemen. Koekje er bij?
Als de vraag visueel plausibel wordt geïllustreerd is dat een gedachtengang die nou eenmaal psychologisch niet opgaat.
Huhhhhhhh???
Snappnieee?
Bijvoorbeeld
https://www.security.nl/image/view/9767
Het eerder gegeven antwoord getuigt van eenzelfde blindheid omtrent techniek als de blindheid die de gebruiker heeft bij gebrek aan kennis van techniek.
Wie was er eerder, het ei of de kip?
In dit geval het ei van de ontwikkelaars en technische gebruikers die verantwoordelijk zijn voor het implementeren en (te pas en onpas) gebruik van Macro functionaliteit.
Eerst was er de macrofunctionaliteit, daarna kwam het misbruik.
Als je als techneut je niet kan verplaatsen in je doelgroep de eindgebruiker, wat malwareontwikkelaars bij uitstek wel feilloos kunnen, blijf je de security-plank misslaan.
Daar technisch overheen blijven 'lullen' zal het probleem rondom security nooit gaan verhelpen.
Dat, het totale gebrek je te kunnen verplaatsen in de ander, dat is in essentie de oorzaak van heel veel security problemen.
Macro based crap.
Dus de macro download de crap en de uitvoer lokatie is %temp% ( default is %userprofile%\appdata\local\temp\ ), dus blokkeer executie vanuit die folder en ik zie het hele probleem niet....
Applocker is leuk, maar daar zitten wel wat haken en ogen aan:
http://www.biztechmagazine.com/article/2012/03/windows-applockers-lockdown-limitations
Aan iedereen die op Microsoft Word aan het afgeven is:
Je enabled zelf die macro's...
https://support.office.com/en-us/article/Enable-or-disable-macros-in-Office-documents-7b4fdd2e-174f-47e2-9611-9efe4f860b12
- Waarom klikken de slachtoffers daarna op de bijlage om die te openen?
- Waarom activeren slachtoffers daarop nog eens de macro's als die vraag komt?
De mails zijn niet voorzien van een naam of zelfs maar een goede inhoud met een verklaring van wie de mail komt en waarom je als ontvanger het document krijgt of moet openen.
Als je als techneut je niet kan verplaatsen in je doelgroep de eindgebruiker, wat malwareontwikkelaars bij uitstek wel feilloos kunnen, blijf je de security-plank misslaan.
Daar technisch overheen blijven 'lullen' zal het probleem rondom security nooit gaan verhelpen.
Dat, het totale gebrek je te kunnen verplaatsen in de ander, dat is in essentie de oorzaak van heel veel security problemen.
Helaas heb ok ook de andere kant gezien. De instructive voor het overnemen van werk.. Tik in: f7, y,y,n,y - missie rond.
Moest uitgevoerd worden als een robot zonder enige achtergrondkennis. Het was een goedkope manier van overdracht.
Excel en Word macro-s komen juist vanuit de slimme eindgebruikers (shadow-it) omdat de reguliere ICT niet levert te duur is of wat dan ook. https://s-media-cache-ak0.pinimg.com/236x/b0/94/01/b09401785147efd34a3679f537c48598.jpg
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.