Proactief omgaan met cybersecurity voorkomt vals gevoel

In de maandelijkse top 5 van cyberbedreigingen, opgebouwd aan de hand van ESET’s Live Grid, zagen we afgelopen maand een subtiele verschuiving. Twee trojans hebben zich tot de 3e en 4e plaats opgewerkt.

De top 5 bedreigingen voor Nederland ziet er als volg uit:

1. HTML/Phishing.LinkedIn.A 4.38 %

2. HTML/ScrInject.B.Gen 2.70 %

3. Win32/TrojanDownloader.Wauchos.I 1.85 %

4. Win32/PSW.Fareit.A 1.52 %

5. HTML/Iframe.B.Gen 1.48 %

Niet alleen besmette sites en bestanden zijn verantwoordelijk voor het infecteren van je systeem. Bij het bekijken van deze bedreigingen is het belangrijk te beseffen dat deze ook via een al besmet systeem kunnen worden binnengehaald.

Mebroot (een zgn. rootkit) laat zien hoe een eenmaal geïnfecteerd systeem een risico blijft. Mebroot zelf nestelt zich diep in het systeem en blijft vaak onopgemerkt. Omdat de malware geen overlast veroorzaakt, is de kans klein dat je dit als gebruiker merkt. De malware verbindt regelmatig naar een zogenaamd “command & control” server om nieuwe instructies op te halen, gestolen informatie af te leveren of nieuwe modules te downloaden. Op deze manier kan malware die al maanden aanwezig is op het systeem opeens een direct gevaar opleveren. Theola is een module die via Mebroot op een systeem wordt geplaatst. Theola is ontworpen om in de Google Chrome browser geld uit banktransacties te stelen.

Helaas gaan maar weinig gebruikers proactief met security om. Zolang een systeem zich niet vreemd gedraagt, zullen mensen met een vals gevoel van veiligheid transacties uitvoeren en dit is hoe Theola er gemakkelijk in slaagt vele rekeningen te plunderen. Veel banken geven na het constateren van malware het advies om de computer compleet te wissen. Dit klinkt overdreven, maar zoals nu duidelijk is, kán het zo zijn dat er nog een deel van de malware aanwezig is die in staat is om na het opschonen weer andere modules te downloaden.

Het komt ook voor dat gebruikers pas een antivirusproduct aanschaffen nádat ze besmet zijn. Een voor de gebruiker logische handeling, maar wederom voorziet het vooral in een vals gevoel van veiligheid. Veel malware is namelijk in staat om de installatie van antivirusproducten te stoppen of corrupt te maken zodat het product nooit volledige bescherming kan bieden. Daarom is het van belang een systeem te beveiligen vóórdat deze is gecompromitteerd. Een goed antivirusproduct, firewall en updates maken voor een sterke fundering. Wat betreft het opschonen van onbeveiligde en besmette systemen is het advies vaak volledig wissen. Mocht dat geen optie zijn, dan is het wijs het MBR1 opnieuw op te bouwen en de volledige schijf te scannen vanaf een LiveCD2. Omdat zo het besmette systeem zélf niet opstart kan de malware beter gevonden en verwijderd worden.

1) Het MBR is een het eerste deel waarmee de harde schijf opstart. Hoewel dit slechts weinig data bevat, kan malware zich hier ook in nestelen om zo vóór Windows op te kunnen starten. Daarmee blijft de malware langer onopgemerkt én is het lastiger te verwijderen.

2) Het scannen vanaf een besmet systeem is onbetrouwbaar; de malware draait in het zelfde geheugen als de scanner en kán zich verbergen of zorgen dat het niet te wissen is. Op een LiveCD staat een kleine besturingssysteem dat volledig in het werkgeheugen van de computer wordt geladen. Daarna wordt de besmette schijf pas aangesproken. De malware op de schijf is niet actief maar alleen aanwezig als losse data en kan zo snel gevonden, geïdentificeerd en verwijderd worden.

Nienke Ryan, managing director van SpicyLemon