Bescherming tegen ransomware met behulp van het Wazuh Open Source-platform

Cyberbeveiliging
Bescherming tegen ransomware met behulp van het Wazuh Open Source-platform

Ransomware is kwaadaardige software die is ontworpen om de toegang tot een computersysteem te blokkeren of gegevens te versleutelen totdat er losgeld wordt betaald. Deze cyberaanval is een van de meest voorkomende en schadelijke bedreigingen in het digitale landschap en treft individuen, bedrijven en kritieke infrastructuur wereldwijd.

Een ransomware-aanval begint doorgaans wanneer de malware een systeem infiltreert via verschillende vectoren, zoals phishing-e-mails, kwaadaardige downloads of het misbruiken van softwarekwetsbaarheden. Eenmaal geactiveerd, codeert de malware bestanden met behulp van sterke cryptografische algoritmen, waardoor ze ontoegankelijk worden voor de legitieme eigenaar. De aanvallers eisen vervolgens betaling, meestal in cryptocurrency zoals Bitcoin, in ruil voor de decoderingssleutel.

Moderne ransomwarevarianten zijn verder geëvolueerd dan eenvoudige bestandsversleuteling. Sommigen maken gebruik van dubbele afpersingstactieken, waarbij aanvallers gegevens versleutelen, gevoelige informatie exfiltreren en dreigen deze openbaar te publiceren als het losgeld niet wordt betaald. Dit zet de slachtoffers onder druk, vooral organisaties die omgaan met vertrouwelijke klantgegevens of bedrijfseigen bedrijfsinformatie.

Ontwikkeling en verspreiding van ransomware

Het begrijpen van de creatie en distributie van ransomware is essentieel voor het ontwikkelen van effectieve verdedigingsstrategieën. De levenscyclus van ransomware omvat geavanceerde ontwikkelingsprocessen en diverse verspreidingsmethoden die misbruik maken van technische kwetsbaarheden en menselijk gedrag.

Ontwikkeling van ransomware

Ransomware wordt doorgaans ontwikkeld door cybercriminele organisaties of individuele dreigingsactoren met programmeerexpertise. Het creatieproces omvat:

  • Malware-codering: Ontwikkelaars schrijven kwaadaardige code met behulp van verschillende programmeertalen, waarbij ze versleutelingsalgoritmen en command-and-control-communicatieprotocollen gebruiken.
  • Ransomware-as-a-Service (RaaS): Sommige criminele groepen hanteren op abonnementen gebaseerde modellen die ransomware-tools aan aangesloten bedrijven leveren in ruil voor een percentage van het losgeld.
  • Maatwerk en testen: Aanvallers testen hun malware met beveiligingsoplossingen om ervoor te zorgen dat deze detectie kan omzeilen.

Voortplantingsmethoden

Ransomware verspreidt zich via meerdere aanvalsvectoren:

  • Phishing-e-mails: Schadelijke bijlagen of links die legitiem lijken, verleiden gebruikers ertoe ransomware te downloaden.
  • Exploitkits: Geautomatiseerde tools die bekende kwetsbaarheden in applicaties en besturingssystemen scannen en exploiteren.
  • Remote Desktop Protocol (RDP)-aanvallen: Aanvallers verkrijgen ongeautoriseerde toegang via zwakke of gecompromitteerde RDP-referenties.
  • Schadelijke websites en downloads: Downloads van besmette of kwaadaardige websites installeren ransomware, met of zonder medeweten van de gebruiker.
  • Aanvallen op de toeleveringsketen: Gecompromitteerde vertrouwde software- of serviceproviders kunnen ransomware onder klanten verspreiden.
  • Verwijderbare media: Geïnfecteerde USB-drives en externe opslagapparaten kunnen ransomware verspreiden wanneer ze zijn aangesloten op computersystemen.

Gevolgen van een ransomware-aanval

De impact van ransomware reikt veel verder dan de onmiddellijke versleuteling van bestanden. Organisaties en individuen die getroffen worden door ransomware ondervinden meerdere gevolgen die langdurige gevolgen kunnen hebben voor de bedrijfsvoering, financiën en reputatie.

Financiële gevolgen

Ransomware-aanvallen veroorzaken financiële schade die verder gaat dan bestandsversleuteling. Slachtoffers kunnen te maken krijgen met losgeldeisen variërend van honderden tot miljoenen dollars, zonder garantie op gegevensherstel, zelfs niet na betaling. Extra kosten komen voort uit de respons op incidenten, forensisch onderzoek, systeemherstel en beveiligingsverbeteringen, terwijl niet-naleving van de regelgeving kan leiden tot aanzienlijke juridische boetes en boetes voor datalekken.

Operationele gevolgen

Ransomware-aanvallen veroorzaken aanzienlijke operationele verstoringen door de toegang tot vitale bronnen te verlammen. Kritieke bedrijfsgegevens, klantinformatie en intellectueel eigendom kunnen verloren gaan of in gevaar komen, terwijl essentiële services niet meer beschikbaar zijn, wat gevolgen heeft voor klanten, partners en interne workflows. De resulterende operationele downtime overtreft vaak de losgeldkosten, omdat bedrijven weken of maanden van stilgelegde activiteiten kunnen ervaren.

Reputatieschade

Ransomware-incidenten leiden vaak tot blijvende reputatieschade, omdat datalekken het vertrouwen van klanten in het vermogen van een organisatie om gevoelige informatie te beschermen ondermijnen. Het openbaar maken van dergelijke aanvallen kan de marktpositie verzwakken, zakelijke relaties onder druk zetten en een concurrentienadeel creëren.

Het voorkomen van ransomware-aanvallen

Het voorkomen van ransomware-aanvallen vereist een meerlaagse verdedigingsstrategie die technische controles, organisatorisch beleid en gebruikersbewustzijn combineert. Het begrijpen en implementeren van deze beschermende maatregelen vermindert het risico op succesvolle ransomware-infecties.

Technische verdedigingen

  • Beveiligingsinformatie- en gebeurtenisbeheer (SIEM) en uitgebreide detectie en respons (XDR): Implementeer continue monitoring om verdachte activiteiten en afwijkend gedrag te detecteren en hierop te reageren.
  • Bewaking van de bestandsintegriteit: Houd wijzigingen in bestanden, mappen en systeemconfiguraties bij. Dit helpt u bij het identificeren van malwaregedrag binnen uw omgeving.
  • Analyse van netwerkverkeer: Controleer op ongebruikelijke data-exfiltratiepatronen of command-and-control-communicatie.
  • Regelmatige back-ups: Om herstel zonder losgeld te garanderen, moet u regelmatig geautomatiseerde back-ups maken van kritieke gegevens die offline of in onveranderlijke opslag zijn opgeslagen.
  • Patchbeheer: Houd besturingssystemen, applicaties en firmware up-to-date om bekende kwetsbaarheden te verhelpen waar ransomware misbruik van maakt.
  • Netwerksegmentatie: Isoleer kritieke systemen en beperk de zijwaartse bewegingsmogelijkheden voor aanvallers.
  • E-mailfiltering: Implementeer robuuste e-mailbeveiligingsoplossingen om phishing-pogingen en kwaadaardige bijlagen te blokkeren.
  • Toegangscontroles: Dwing het principe van de minste privileges af en implementeer sterke authenticatiemechanismen, waaronder multi-factor authenticatie.
  • Toepassing op de witte lijst: Sta alleen goedgekeurde applicaties toe om in uw omgeving uit te voeren, waardoor wordt voorkomen dat ongeautoriseerde malware wordt uitgevoerd.

Organisatorische praktijken

  • Beveiligingsbewustzijnstraining: Informeer werknemers over phishing-tactieken, social engineering en veilige computerpraktijken.
  • Plannen van respons op incidenten: Ontwikkel en test regelmatig uitgebreide incidentresponsprocedures voor ransomwarescenario’s.
  • Beveiligingsaudits: Voer regelmatig kwetsbaarheidsbeoordelingen en penetratietests uit om zwakke punten in de beveiliging te identificeren.
  • Risicobeheer van leveranciers: Beoordeel en monitor de beveiligingspositie van externe dienstverleners.

Wat Wazuh biedt voor bescherming tegen ransomware

Wazuh is een gratis en open source beveiligingsplatform dat uitgebreide mogelijkheden biedt voor het detecteren, voorkomen en reageren op ransomwarebedreigingen. Het is een verenigd XDR-platform (Extended Detection and Response) en SIEM-platform (Security Information and Event Management). Wazuh helpt organisaties veerkracht op te bouwen tegen ransomware-aanvallen via de kant-en-klare mogelijkheden en integratie met andere beveiligingsplatforms.

Bedreigingsdetectie en -preventie

Wazuh maakt gebruik van meerdere detectiemechanismen om ransomware-activiteiten te identificeren. Deze omvatten:

  • Malwaredetectie: Wazuh integreert met bedreigingsinformatiefeeds en maakt gebruik van op handtekeningen en anomalie gebaseerde detectiemethoden om bekende ransomwarevarianten te identificeren.
  • Detectie van kwetsbaarheden: Deze Wazuh-functie scant systemen op bekende kwetsbaarheden waar ransomware vaak misbruik van maakt, waardoor proactieve patches mogelijk zijn en de kans op succesvolle compromissen wordt verkleind.
  • Analyse van loggegevens: Deze Wazuh-mogelijkheid analyseert beveiligingsgebeurtenissen verzameld van gebruikerseindpunten, servers, cloudworkloads en netwerkapparaten om ransomware-indicatoren te detecteren.
  • Beveiligingsconfiguratiebewaking (SCA): De Wazuh SCA evalueert systeemconfiguraties aan de hand van best practices op het gebied van beveiliging en compliance-frameworks.
  • Bewaking van de bestandsintegriteit (FIM): Deze Wazuh-functie bewaakt kritieke bestanden en mappen en detecteert ongeoorloofde wijzigingen die kunnen duiden op ransomware-encryptieactiviteit.
  • Toezicht op naleving van de regelgeving: Deze Wazuh-mogelijkheid helpt organisaties bij het handhaven van beveiligingsnormen en wettelijke nalevingsvereisten die ransomware-aanvallen afschrikken.

Mogelijkheden voor respons op incidenten

  • Actieve reactie: De Wazuh Active Response-mogelijkheid voert automatisch vooraf gedefinieerde acties uit wanneer bedreigingen worden gedetecteerd, zoals het isoleren van geïnfecteerde systemen, het blokkeren van kwaadaardige processen of het in quarantaine plaatsen van bestanden.
  • Integratie met externe oplossingen: Wazuh kan worden geïntegreerd met andere beveiligingstools en -platforms om de beveiligingspositie van organisaties te verbeteren.

Gebruiksgevallen

In de volgende paragrafen worden enkele gebruiksvoorbeelden getoond van Wazuh-detectie en -reactie op ransomware.

DOGE Big Balls-ransomware detecteren en erop reageren met Wazuh

De DOGE Big Balls-ransomware, een aangepaste versie van de FOG-ransomware, combineert technische exploits met psychologische manipulatie gericht op bedrijfsomgevingen. Deze malwarevariant levert zijn lading via phishingcampagnes of niet-gepatchte kwetsbaarheden. Vervolgens voert het privilege-escalatie, verkenning, bestandsversleuteling en het maken van notities uit op het eindpunt van het slachtoffer.

Detectie

Wazuh detecteert de DOGE Big Balls-ransomware met behulp van regels voor bedreigingsdetectie en een Wazuh Custom Database (CBD)-lijst die overeenkomt met het specifieke patroon.

  • CBD-lijst met DOGE Big Balls-verkenningsopdrachten. 
net  config Workstation:
systeminfo:
hostname:
net  users:
ipconfig  /all:
route  print:
arp  -A:
netstat  -ano:
netsh firewall show state:
netsh firewall show config:
schtasks  /query /fo LIST /v:
tasklist  /SVC:
net  start:
DRIVERQUERY:

<group name="doge_big_ball,ransomware,">

  <rule id="100020" level="10">
    <if_sid>61613</if_sid>
    <field name="win.eventdata.image" type="pcre2">(?i)(C-Z):.*\\.*.exe</field>
    <field name="win.eventdata.targetFilename" type="pcre2">(?i)(C-Z):.*.\\DbgLog.sys</field>
    <description>A log file $(win.eventdata.targetFilename) was created to log the output of the reconnaissance activities of the DOGE Big Balls ransomware. Suspicious activity detected.</description>
    <mitre>
      <id>T1486</id>
    </mitre>
  </rule>

  <rule id="100021" level="8" timeframe="300" frequency="2">  
    <if_sid>61603</if_sid>  
    <list field="win.eventdata.commandLine" lookup="match_key">etc/lists/doge-big-balls-ransomware</list>  
    <description>The command $(win.eventdata.commandLine) is executed for reconnaissance activities. Suspicious activity detected.</description>  
    <options>no_full_log</options>  
  </rule>

<!-- Ransom note file creation -->
  <rule id="100022" level="15" timeframe="300" frequency="2">
    <if_sid>61613</if_sid>
    <field name="win.eventdata.image" type="pcre2">(?i)(C-Z):.*\\.*.exe</field>
    <field name="win.eventdata.targetFilename" type="pcre2">(?i)(C-Z):.*.\\readme.txt</field>
    <description>DOGE Big Balls ransom note $(win.eventdata.targetFilename) has been created in multiple directories. Possible DOGE Big Balls ransomware detected.</description>
    <mitre>
      <id>T1486</id>
    </mitre>
  </rule>

  
  <rule id="100023" level="15" timeframe="300" frequency="2" ignore="100">
    <if_matched_sid>100020</if_matched_sid>
    <if_sid>100021</if_sid>
    <description>Possible DOGE Big Balls ransomware detected.</description>
    <mitre>
      <id>T1486</id>
    </mitre>
  </rule> 

</group>

Deze regels markeren de uitvoering van bekende verkenningsopdrachten en detecteren wanneer er meerdere losgeldbriefjes in mappen verschijnen. Dit zijn DOGE Big Balls ransomware IOC’s die bestandsversleuteling en andere ransomware-activiteiten aangeven.

Geautomatiseerde reactie

Wazuh maakt detectie en verwijdering van ransomware mogelijk met behulp van de File Integrity Monitoring (FIM)-functie en integratie met YARA. In dit gebruiksscenario bewaakt Wazuh de map Downloads in realtime. Wanneer een nieuw of gewijzigd bestand verschijnt, activeert dit de actieve responsmogelijkheid om een ​​YARA-scan uit te voeren. Als een bestand overeenkomt met bekende handtekeningen van de YARA-ransomware, zoals DOGE Big Balls, verwijdert het aangepaste active response-script het automatisch en registreert het de actie. Aangepaste decoders en regels op de Wazuh-server paren deze logboeken om waarschuwingen te genereren die laten zien of het bestand is gedetecteerd en met succes is verwijderd.

Gunra-ransomware detecteren met Wazuh

De Gunra-ransomware wordt doorgaans door particuliere cybercriminelen gebruikt om geld van zijn slachtoffers af te persen. Het maakt gebruik van een dubbel-afpersingsmodel dat bestanden versleutelt en gegevens exfiltreert voor publicatie als het slachtoffer er niet in slaagt het losgeld te betalen. De Gunra-ransomware verspreidt zich via Windows-systemen door bestanden te coderen, de .ENCRT-extensie toe te voegen en losgeldbriefjes met de naam R3ADM3.txt achter te laten. Het verwijdert schaduwkopieën, schakelt back-up- en antivirusservices uit om herstel te blokkeren en gebruikt Tor-netwerken om de operators ervan te verbergen. Deze acties maken het herstellen van gegevens moeilijk en helpen de aanvallers de anonimiteit te behouden tijdens onderhandelingen over losgeld.

Detectie

De volgende Wazuh-regels waarschuwen wanneer er losgeldbriefjes met de naam R3ADM3.txt verschijnen, er met systeemcomponenten zoals VSS of amsi.dll wordt geknoeid, of wanneer verdachte modules zoals urlmon.dll worden geladen voor netwerkactiviteit. De regels volgen ook pogingen om schaduwkopieën te verwijderen of back-up- en beheerdersfuncties uit te schakelen, wat duidt op gedrag dat typisch is voor ransomware die zich voorbereidt op bestandsversleuteling.

<group name="gunra,ransomware,">

  <!--Ransom note file creation-->
  <rule frequency="2" id="100601" ignore="100" level="15" timeframe="100">
    <if_sid>61613</if_sid>
    <field name="win.eventdata.Image" type="pcre2">(^")+.exe</field>
    <field name="win.eventdata.targetFilename" type="pcre2">(^")*R3ADM3.txt</field>
    <description>Possible Gunra ransomware activity detected: Multiple ransom notes dropped in $(win.eventdata.targetFilename)</description>
    <mitre>
      <id>T1543.003</id>
      <id>T1486</id> 
    </mitre>
  </rule>

  <!--Antimalware Scan Interface Access Modification-->
  <rule id="100602" level="7">
    <if_sid>61609</if_sid>
    <field name="win.eventdata.Image" type="pcre2">C:\\Windows\\System32\\VSSVC.exe</field>
    <field name="win.eventdata.ImageLoaded" type="pcre2">C:\\Windows\\System32\\amsi.dll</field>
    <description>Possible ransomware activity detected: Suspicious Volume Shadow copy Service (VSS) loaded amsi.dll for tampering and evasion attempt.</description>
    <mitre>
      <id>T1562</id>
      <id>T1562.001</id>
    </mitre>
  </rule>

  <rule id="100603" level="7">
    <if_sid>61609</if_sid>
    <field name="win.eventdata.Image" type="pcre2">(C:\\Windows\\SystemApps\\Microsoft.Windows.AppRep.ChxApp_cw5n1h2txyewy\\CHXSmartScreen.exe)</field>
    <field name="win.eventdata.ImageLoaded" type="pcre2">C:\\Windows\\System32\\urlmon.dll</field>
    <description>Possible ransomware activity detected: Urlmon.dll was loaded, indicating network reconnaissance.</description>
    <mitre>
      <id>T1562.001</id>
    </mitre>
  </rule>

  <!--Volume Shadow copy Service (VSS) deletion-->
  <rule id="100604" level="7">
    <if_sid>60103</if_sid>
    <field name="win.eventdata.targetUserName" type="pcre2">Backup Operators</field>
    <field name="win.eventdata.targetSid" type="pcre2">S-1-5-32-551</field>
    <field name="win.eventdata.callerProcessName" type="pcre2">C:\\Windows\\System32\\VSSVC.exe</field>
    <description>Possible Gunra ransomware activity detected: Volume Shadow copy Service (VSS) deletion attempts, gearing up to disable backups.</description>
    <mitre>
      <id>T1562</id>
      <id>T1562.002</id>
    </mitre>
  </rule>

  <rule id="100605" level="7">
    <if_sid>60103</if_sid>
    <field name="win.eventdata.targetUserName" type="pcre2">Administrators</field>
    <field name="win.eventdata.targetSid" type="pcre2">S-1-5-32-544</field>
    <field name="win.eventdata.callerProcessName" type="pcre2">C:\\Windows\\System32\\VSSVC.exe</field>
    <description>Possible Gunra ransomware activity detected: Volume Shadow copy Service (VSS) deletion shadow attempts, gearing to disable local admin accounts</description>
    <mitre>
      <id>T1562</id>
      <id>T1562.002</id>
    </mitre>
  </rule>

</group>

Geautomatiseerde reactie

Wazuh voert geautomatiseerde reacties uit op schadelijke bestandsactiviteiten van de Gunra-ransomware met behulp van de FIM-mogelijkheden en integratie met VirusTotal. In dit gebruiksscenario bewaakt de Wazuh File Integrity Monitoring (FIM) -module de map Downloads in realtime en activeert scans wanneer bestanden worden toegevoegd of gewijzigd. Een aangepast uitvoerbaar actief antwoord verwijdert vervolgens veilig elk bestand dat VirusTotal als een bedreiging markeert.

Bescherming tegen ransomware op Windows met Wazuh

Wazuh biedt bescherming tegen ransomware en bestandsherstel op bewaakte Windows-eindpunten met behulp van de opdrachtmodule en de Windows Volume Shadow Copy Service (VSS). Dankzij deze integratie kunnen beheerders automatisch momentopnamen maken van bewaakte eindpunten om bestanden te herstellen naar een staat voordat ze door malware worden versleuteld.

De volgende afbeelding toont succesvolle Wazuh Active Response-waarschuwingen voor bestandsherstel.

Conclusie

Ransomware-aanvallen veroorzaken aanzienlijke financiële, operationele en reputatieschade. Ze vereisen een meerlaagse verdediging die vroege detectie combineert met incidentrespons. Organisaties die in deze praktijken investeren, zijn beter toegerust om dergelijke aanvallen te weerstaan ​​en ervan te herstellen.

Wazuh biedt mogelijkheden die vroege detectie en snelle reactie mogelijk maken om ransomware-aanvallen te beperken. Het biedt kant-en-klare mogelijkheden voor detectie van kwetsbaarheden, monitoring van bestandsintegriteit, analyse van loggegevens en geautomatiseerde reacties om door ransomware veroorzaakt gegevensverlies en downtime te voorkomen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Xiaomi 17 Ultra kan de grootste camerasensor ooit in een telefoon hebben

OpenAI tekent een deal van $38 miljard met Amazon om de groei van AI te stimuleren

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]