Erik Westhovens: Wat te doen tegen ransomware?

Securityspecialist Erik Westhovens is spreker op de gratis toegankelijke Dutch IT Security Day op 1 december in De Rijtuigenloods in Amersfoort waar zijn boek 13. Ransomwared aan bod zal komen, over de werkwijze van hackers en ransomware gangs, wat dit aanricht en ook wat eraan te doen is. “Bij ransomware denken we vooral vanuit techniek, maar we moeten ook leren om vanuit emotie te kijken.”

Achtergrond

Securityspecialist Erik Westhovens loopt al een hele tijd mee in deze wereld. Het begon in 1984-1985 toen hij met het geld dat hij verdiende met een bijbaantje in de computers terechtkwam. Vrienden hadden een Commodore 64, hij een ZX Spectrum. Internet was er nog niet, maar hij vond het een interessante wereld. In 1987 is Erik in contact gekomen met de groep Hackers United, waar hij kennismaakte met hun werkwijzen. Vanaf 1992 ging hij aan de slag als helpdesk medewerker en system administrator. Vervolgens kwam internet op, en daarmee ontstond de passie voor security. Erik: “Ik wist toen al 100% zeker dat mensen er misbruik van zouden gaan maken. Data en intellectual property kan altijd misbruikt of gestolen worden.”

In 2001-2002 leerde Erik hoe printplaten, die onder andere in telefoons en laptops worden gebruikt, werkten. Met die kennis wist hij hiaten in deze systemen te vinden. De eerste interessante techniek was de chipknip waarmee je saldo kon uploaden. Erik bleek later in staat om de chipkaart van het elektronisch patiëntendossier te hacken. Daarna volgden diverse IT-bedrijven waar hij later zelfs gevraagd werd om adjunct-directeur te worden. Erik: “Dit was een enorme stap voor mij, en ook erg leuk om te doen. De minder leuke kant was mensen managen. Dat lag me gewoon niet.”

Ransomware en security op werkplekken

Bij het bedrijf Insight was Erik bezig met het makkelijker maken om werkplekken te beheren. “Ik voorzag dat security op werkplekken heel erg belangrijk zou worden. Ransomware kwam toen op gang en ik kreeg door dat dit een forse vlucht zou kunnen nemen. Ik heb me toen volledig ingezet op een veilige werkplek, om deze te beschermen tegen hackers en ransomware gangs.” Na enige tijd kwam Erik erachter dat dit echter een verloren strijd was. Het beschermen van de werkplek ging niet meer lukken bemerkte hij al vrij snel in zijn carrière. Hackers zijn enorm geavanceerd en dit zie je ook in hun aanvallen. Toch kan er wel wat aan gedaan worden. In zijn bedrijf Ransomwared heeft Erik speciale technieken doorontwikkeld. “We kunnen met AI-engines alles detecteren op een werkplek (malware, virussen, demons, C2/C4 etc.). Dit gaat met rules zoals indicators of compromise en indicators of attack. De AI-engines kunnen in leermodus worden gezet. Ik investeer veel tijd om de AI-engines steeds beter, sneller en slimmer te maken.”

Securitytrends

De securitytrends van 2022 waren al in gang gezet door de coronapandemie, en de overheidsmaatregelen die daaruit volgden in maart 2020, aldus Erik. Veel mensen moesten thuiswerken als gevolg van de overheidsmaatregelen, terwijl er thuis vaak geen goede beveiliging was. Hackers hebben deze zwakte ontdekt en dit creëerde een nieuwe vorm van ransomware: het thuis infecteren van een device dat weer wordt meegenomen naar kantoor, achter de firewall. Traditionele beveiligingsmaatregelen voldeden niet meer en werden buitenspel gezet. De oplossing voor bedrijven bestaat uit EDR/XDR/NDR systemen. Met deze extended detection krijg je enigszins controle over wat er op zo’n device gebeurt. Je ziet het als de gebruiker malicious software installeert of per ongeluk op een malicious link klikt (phishing).

Erik post veel over security en incidenten op Linkedin, maar hij kan niet alles onderzoeken.

Dat kost veel tijd en die heeft hij eigenlijk niet. “Je kunt er niet 24 uur per dag mee bezig zijn. Je zoekt namelijk iets wat mensen onvindbaar willen houden.”

Een aantal jaar geleden heeft hij een darknet crawler ontwikkeld, waarmee op keywords kan worden gezocht. Dit is een soort spider die tor-routers bevraagd, waarbij je kunt nagaan wat er zoal langskomt. Met die kennis heeft Erik weten te infiltreren in bepaalde darknet groepen waar hackers en ransomware gangs in zitten. Zij vertelden over hun hacks, en noemen daarbij bedrijfsnamen. Een goed voorbeeld is IKEA, waar de exchange servers waren geïnfiltreerd. In groepen kwam dit specifieke bericht voorbij. Dit wist ik al in een vroeg stadium, nog voordat het bedrijf dit zelf wist.

De aanleiding tot het boek

Alle opgedane kennis en kunde rondom security dreiging heeft Erik samengevat in een boek, 13. Ransomwared, samen met medeauteur Mike Jansen. Er was een goede reden om dit boek te schrijven en uit te brengen, aldus Erik. “Ik word zo’n 40 keer per jaar gebeld door bedrijven die getroffen zijn door ransomware. Dan ligt de hele werkomgeving plat en het personeel wordt noodgedwongen naar huis gestuurd.” Veel bedrijven weten zich dan geen raad en kijken een dag, of zelfs twee dagen, om zich heen, en stellen zich allerlei vragen zoals: ‘wat is er gebeurd, hoe is het gebeurd en hoe kunnen we dit fixen?’ Vervolgens gaan ze googlen, vinden ze Erik via zijn Linkedin posts, en dan krijg hij de vraag: ‘Wat kun je voor ons doen?’ Vervolgens gaat hij helpen en leidt hij ze door de ransomware situatie heen met aandacht voor de cruciale bedrijfsprocessen.

Wat Erik opvalt is dat de reactie van bedrijven niks heeft te maken met IT maar meer met emotie en rouwverwerking. “Ik maakte bijvoorbeeld mee dat een CEO van een bedrijf huilend aan de telefoon hing. Ik wist in het begin niet wat ik er mee moest. Die emotie heb ik proberen over te brengen. Bij ransomware denken we vooral vanuit techniek, maar we moeten ook leren om vanuit emotie te kijken.”

Stappenplan APT en de 13^e stap

Er moest een boek over dit onderwerp komen maar Erik is geen schrijver. Mike Jansen, met wie hij al jaren samenwerkt, heeft die kwaliteiten wel. Samen hebben ze overlegd waarbij Erik graag wilde dat de emotie goed werd overgebracht. Wat gaat er door een getroffen bedrijf heen in zo’n situatie? Ze hebben het stappenplan APT (advanced persistent threat lifecyle) daarvoor gebruikt. Ook hackers moeten door zo’n cyclus van 12 stappen heen. Het is namelijk geen kwestie van alleen klikken op een verkeerd linkje, waarna een hele omgeving is geransomwared. Dat gaat in diverse stappen. Door het forensisch onderzoek dat Erik heeft gedaan bij bedrijven leerde hij die stappen herkennen en op basis daarvan is dit boek geschreven. Dit ging in nauwe samenwerking met Mike Jansen door middel van interviews en vele lange gesprekken. Erik: “Het boek heeft daardoor een goede flow gekregen.”

In eerste instantie bedacht Erik een leuke titel: ‘The hitchhiker’s guide into ransomware.’ Het idee van Mike was om de twaalf stappen van het model te beschrijven. In die twaalf stappen wordt ransomware echter niet genoemd. Dat is namelijk de 13^e stap, vandaar dat Mike de titel 13. Ransomwared heeft bedacht.

Je zou het boek kunnen zien als een handboek voor CEO’s en CIO’s van bedrijven om de risico’s van een hack te managen, maar Erik hoopt vooral dat mensen en werknemers van bedrijven die twaalf stappen bestuderen, en zelf die stappen gaan herkennen. In het boek zijn een aantal gimmicks opgenomen, om dit duidelijk te maken. Een voorbeeld in het boek is een netwerk dat opeens traag wordt, waarbij de internet breedte weg is en servers traag reageren. Je kunt het negeren maar nader onderzoek is altijd het beste.

Reacties

De eerste reacties op het boek waren positief, aldus Erik. Na de lancering in april 2022 zijn vanuit diverse rollen binnen bedrijven veel reacties gekomen. CEO’s vonden het boek interessant, omdat het vooral niet te veel verzand in technisch geblaat. “Het is géén technische handleiding maar meer een soort thriller met een echt verhaal waarin je wordt meegenomen”. CEO’s vonden het erg leerzaam en bestelden vaak 20 tot 30 exemplaren tegelijk voor hun werknemers. Erik heeft veel connecties met cyber security specialisten en onderzoekers. Hun reactie kwam erop neer dat ze het boek heel erg to the point vonden. In het boek is de realistische hackerscommunicatie opgenomen. Hoe communiceren ze met elkaar om een bedrijf maximaal te raken om zo hun losgeld te krijgen?

Presentatie op IT Security Day

Erik: “Ik wil in mijn presentatie op de IT Security Day vooral de werkwijzen van hackers verduidelijken. Hoe kun je signalen detecteren en welke maatregelen kun je daartegen nemen? Ik neem de bezoeker mee in de twaalf stappen van het APT, die ik één voor één ga belichten. Dit sluit aan bij de inhoud van het boek. Wat doet die hacker precies en hoe kun je dit herkennen?”

Phishing en nieuwe ransomware technieken

De meeste CEO’s zeggen bijna allemaal het meest last te hebben van phishing, blijkt uit de Dutch Security Survey. Volgens Erik gaat het bij ransomware aanvallen nu nog in 95% van de gevallen om aanvallen via de gebruikers werkplek, maar dit begint momenteel wel te verminderen. Hij neemt nu twee nieuwe technieken waar: iodine en bring your own driver.

Ten eerste iodine: IP-verkeer over DNS. De gebruiker krijgt een non-malicious link over valide websites, met pixels erin. Gegenereerde websites zorgen uiteindelijk voor malware. Dit is lastig te bestrijden, maar Erik heeft daarvoor AI-rules gebouwd waardoor ze nu een aanval kunnen detecteren voordat die plaatsvindt. De term iodine behoeft wat uitleg. Iodine is Engels voor jodium, het 53^e element in het periodiek systeem, en deze aanval gaat over poort 53.

En ten tweede bring your own driver: gebruikers van devices wordt gevraagd om hun drivers te updaten. Daarmee haal je malicious content binnen. De laptop komt achter de firewall, en krijgt een ander IP-adres. Malware wordt actief en gaat zich zo verspreiden.

Erik verwacht dat phising in de komende tijd terugloopt en we steeds meer met dit soort geavanceerde methodieken te maken krijgen.

Bezoekers kunnen zich nu gratis inschrijven voor de  Dutch IT Security Day en ze krijgen allemaal een gratis exemplaar van het boek 13. Ransomwared (zolang de voorraad strekt).

Interview: Witold Kepinski

Tekst: Harald van Gils