Anti-ransomware software
Er zijn diverse tools beschikbaar om ransomware-activiteiten te blokkeren. In Windows is bijvoorbeeld een feature beschikbaar genaamd “Controlled folder access”. Prima voor workstations en kosteloos beschikbaar binnen Windows. Ook zijn dit soort tools zeer nuttig voor het stoppen van de meer opportunistische aanvaller zonder veel technische skills die op grote schaal malware verspreidt en hoopt dat iemand toehapt. In een voor de aanvaller gunstig geval, kunnen ook bij dit soort type aanvallen grote hoeveelheden of belangrijke data versleuteld worden. De gebruiker die demalware opstart moet dan wel toegang hebben tot deze data.
Echter in deze blogserie hebben we het over getrainde cybercriminelen die nadat ze toegang hebben verkregen tot een systeem, de vaardigheden hebben om een netwerk te infiltreren en in staat zijn zich hoge rechten toe te eigenen. Doordat ze deze rechten hebben verkregen kunnen zij securitymaatregelen in Windows en commerciële software eenvoudig uitzetten (Morato, 2018). Een voorbeeld hiervan zien we bij de ransomware-groep Ryuk. Voordat zij hun ransomware activeren starten ze een bestand (kill.bat) dat actief allerlei processen stopt die gerelateerd zijn aan security-oplossingen (Carbon black, 2020). Anti-ransomware software is dus niet de oplossing tegen doelgerichte aanvallen met ransomware door groepen cybercriminelen. Je wilt de aanvaller detecteren voordat hij aan de gang gaat met ransomware. Echter deze anti-ransomware oplossingen kunnen eventueel wel helpen om een professionele aanvaller te vertragen en helpen bij detectie. Ook als een professionele hacker geautomatiseerd ransomware uitrolt en hij niet bewust is van bepaalde anti-ransomware maatregelen op een subset van servers, zou dit de ransomware-activiteit kunnen blokkeren. Als een aanvaller zijn werk echter “goed” doet, genoeg rechten heeft en de anti-ransomware maatregelen in kaart heeft gebracht, is hij in staat deze te stoppen. Het monitoren op het stoppen van security-software kan wel helpen malafide activiteiten op te sporen.
Het is aan te bevelen om bij het aanschaffen van endpoint protectie oplossingen of back-up software te controleren op ingebouwde anti-ransomware functionaliteit en huidige software te checken op eventuele anti-ransomware detectie en response features (Veeam, 2019). Weet wel dat anti-ransomware features soms wel ten koste gaan van performance en ook false positives kunnen opleveren. Response features kunnen in de productiesituatie verstoringen veroorzaken (Morato, 2018).
In Windows is veel functionaliteit beschikbaar om de aanmaak van bestanden met veelgebruikte ransomwarebestandsextenties te blokkeren (Buntrock, 2017). Echter dit zou in productie ook verstoringen kunnen opleveren, indien de extensies door legitieme applicaties gebruikt worden. Aan de andere kant zou dit een aanvaller kunnen vertragen en alerts opleveren indien ransomware inderdaad files probeert te saven met een vooraf gedefinieerde bekende extensie.