Crypto-Ransomware in EMEA: Nederland op tweede plek

crypto-emea3De feestdagen zijn vaak drukke tijden voor koeriers of pakketdiensten. Mensen kopen online cadeaus om deze vervolgens te laten bezorgen bij bijvoorbeeld familie en vrienden. Je moet dan ook niet raar opkijken als je een bericht of melding ontvangt over een pakketje dat voor jou klaar ligt.

Cybercriminelen zijn zich hier ook van bewust en zetten pakketdiensten in als social engineering-lokmiddel voor Crypto-Ransomware-aanvallen in EMEA. Hier zien we een verschuiving aangezien er bij eerder aanvallen gebruik werd gemaakt van facturen en financiële overzichten.

Nederlanders slachtoffer Crypto-ransomware
Op basis van informatie uit het Trend Micro Smart Protection Network blijkt dat een aantal landen in de afgelopen drie maanden vaker slachtoffers van Crypto-Ransomware waren dan anderen. Uit onderstaande grafiek blijkt dat Spanje, Frankrijk, Turkije, Italië en het Verenigd Koninkrijk tot de ‘consistente’ slachtoffers van Crypto-Ransomware behoren. Maar ook Nederland komt in het rijtje voor. Zo stond Nederland in oktober zelfs op de tweede plek van de top landen die geïnfecteerd zijn.


Figure 1. Top infected countries in the EMEA region, September 2014


Figure 2. Top infected countries in the EMEA region, October 2014

Figure 3. Top infected countries in the EMEA region, November 2014

 Infecteren
Crypto-Ransomware-varianten hebben bijna altijd dezelfde aanvliegroute. Het slachtoffer ontvangt een e-mail met daarin een link of bijlage. Met behulp van social engineering-technieken zorgen cybercriminelen ervoor dat het slachtoffer op de link klikt of de bijlage opent. Deze link of bijlage is eigenlijk een kwaadaardig bestand. In dit voorbeeld gaat de e-mail over een ontvangen pakketje.

Klikt de ontvanger op de link, dan wordt hij doorgestuurd naar een andere website waar hij een CAPTCHA code moet invoeren. Deze site is een vervalste versie van de website van de koeriersdienst.

Nadat de CAPTCHA code is ingevoerd, wordt het downloaden van een archiefbestand geactiveerd. Maar voordat het definitieve playload – file encryptie – wordt uitgevoerd moet de gebruiker het malafide bestand uitpakken. Onze onderzoekers vonden dit bestand als TROJ CRYPLOCK.WJP.

Het (niet) betalen van een vergoeding
Slachtoffers kunnen vervolgens in de verleiding komen om het probleem direct op te lossen door het betalen van een vergoeding. Echter, zijn er geen garanties dat een betaling resulteert in een decryptie door cybercriminelen. Sommige Crypto-Ransomware-varianten bieden een gratis voorbeeld decryptie, maar nogmaals, die is waarschijnlijk vaker een truc om slachtoffers te doen overtuigen dat decryptie mogelijk is en moedigt hen verder aan om de vergoeding te betalen.

Tips
Eerder spraken we uitgebreid over de stappen die iedere gebruiker of onderneming kan nemen om computers en bestanden te beschermen tegen Crypto-Ransomware. Deze beveiligingsmaatregelen bevat onder meer een email-beleid om potentiële bedreigingen via attatchments en anti-spam of scanning-oplossingen voor e-mail.

Gebruikers kunnen ook een aantal instellingen herconfigureren om een beschermingslaag toe te voegen. Zo kunnen ze bijvoorbeeld hun macro-beveiligingsniveau op ‘hoog’ instellen of het volledig uitschakelen, aangezien er macro’s worden gebruikt in aanvallen. Daarnaast kunnen gebruikers controleren of de Use Access Control (UAC)-instellingen zijn toegestaan om te voorkomen dat kwaadaardige applicaties kunnen worden uitgevoerd met beheerrechten.

Het is in ieder geval belangrijk dat gebruikers en organisaties beveiligingsoplossingen implementeren on hun apparaten te beschermen en er daarnaast ook voor te zorgen dat deze oplossingen regelmatig worden geupdate. Real time scanning kan malafide bestanden real time detecteren en blokkeren, ‘web reputation’  kan malafide sites of communicatie blokkeren en ‘e-mail reputation’ kan potentiële dreigingen in e-mails scannen.

Kortom, wij wensen je prettige, en met deze tips ongetwijfeld ook veilige, kerstdagen!

 

 

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.