Hoe Sophos ransomware in de kiem smoort

Sophos

Sophos @ Belgium Tech Show

Ransomware groeit in sneltempo uit tot één van de populairste tools van cybercriminelen. Nieuwe technieken moeten de malware beter bestrijden.

Heel wat mensen worden tegenwoordig geconfronteerd met ransomware. De malware die je computer gijzelt is erg lucratief voor cybercriminelen en securityspecialisten hebben er nog niet altijd een pasklaar antwoord op.

“Hoe leuk zou het zijn dat je de ransomware die de dag van vandaag bestaat, zou kunnen tegenhouden zonder dat je moet wachten op nieuwe definities, zodat zelfs Patient Zero kan worden beschermd? En hoe interessant zou het zijn om te weten waar infecties vandaan komen?”, opent Lars Putteneers, Sales Engineer bij Sophos zijn pitch op het podium van onze Belgian Tech Show. Die vragen wil Sophos beantwoorden met zijn nieuwe technologie Intercept X.

Elk jaar komen er meer dan 100 miljoen unieke malwares bij, ofwel zo’n 400.000 per dag. Vaak gaat het slechts om een kleine aanpassing van een bestaande malware, maar dat is voldoende om antivirussoftware om de tuin te leiden. Dagelijks vullen securityspecialisten hun databanken aan met duizenden nieuwe samples, maar het blijft dweilen met de kraan open. “Met definities alleen kan je al die malware niet meer tegenhouden”, stelt Putteneers. “Je hebt extra bescherming nodig.”

Met Intercept X wil Sophos de malware stoppen voor die op je systeem wordt uigevoerd. “Er zijn een twintigtal verschillende technieken die altijd gebruikt worden om een exploit op een systeem te zetten en een zwakheid uit te buiten”, legt Putteneers uit. Intercept X herkent en blokkeert die technieken. Zo kan malware waar nog geen definitie van bekend is toch worden tegengehouden en wordt ook Patient Zero beschermd. Er bestaat echter ook legitieme software die beroep doet op deze technieken, zoals onder meer Cisco WebEx en Spotify. “Daarom werken we met een whitelist,” verduidelijkt Putteneers. “De eindgebruiker kan zelf applicaties whitelisten en die worden dan eerst door Sophos gecontroleerd.”

Ransomware

Om ransomware te bestrijden, gaat Intercept X de bestandstoegang monitoren. “Wanneer een proces of applicatie write access vraagt naar een document gaan we vanuit een eigen ontwikkelde applicatie een just-in-time back-up maken,” vertelt Putteneers. Sophos heeft hiervoor een eigen applicatie ontwikkeld omdat alternatieven zoals de schaduwkopieën van Windows of back-ups van Veeam reeds bekend zijn bij de malwaremakers en gewoon mee worden geëncrypteerd.

Wanneer het document weer wordt weggeschreven, controleert Intercept X of het nog steeds een gewoon document is. Zo ja, dan wordt de back-up verwijderd en kan het document zijn verdere leven leiden. Blijkt het document geen gewoon document meer te zijn en  is het onleesbaar voor de originele applicatie, dan wordt het verder opgevolgd. Het achterliggende proces wordt afgestopt en de originele bestanden worden teruggezet uit de back-up.

Aanvullend

Intercept X werd ontwikkeld om exploits en cryptolockers te bestrijden, maar niet om virussen (executables die de gebruiker zelf moet uitvoeren) te detecteren. Je hebt daarnaast dus nog altijd een degelijke antivirus nodig. De software is gebaseerd op Hitman Pro, dat sinds enige tijd in handen is van Sophos en onder die naam nog altijd gratis aan consumenten wordt verdeeld. 

Intercept X is specifiek gericht op bedrijven. Naast het tegenhouden van exploits voert de software ook een zogenaamde root-cause analysis uit. Die analyse gaat op zoek naar de manier waarop de exploit is binnengekomen in het bedrijfsnetwerk, bijvoorbeeld via een website of e-mail, en welke gebruiker verantwoordelijk is.

Bekijk hier de video van Sophos’ pitch van Intercept X op de Belgian Tech Show:

Bron: www.zdnet.be

 

België krijgt nieuw meldpunt voor phishingmails

België: krijgt meldpunt phishingmails

België: krijgt meldpunt phishingmails

Ecops, het voormalige meldpunt voor criminaliteit op het net, krijgt volgende maand een opvolger. Voor het nieuwe portaal werkt de politie samen met de FOD Economie.

België krijgt nieuw meldpunt voor phishingmails

Kwam je tussen 2007 en 17 juli 2015 criminaliteit tegen op het internet, dan was er één adres: het E-cops-portaal van de federale politie. Voor alles van phishingmails tot meldingen over kindermisbruik op het net kon je daar terecht. “Het portaal ontving echter te veel klachten over te veel niet noodzakelijk relevante zaken”, zegt Peter De Waele,  woordvoerder van de Federale politie op het Radio 1 programma Hautekiet.

Daarom zag de politie zich genoodzaakt het portaal te sluiten, al werd daar niet al te veel ruchtbaarheid aan gegeven. Sterker nog, op andere websites van de Belgische politie wordt er nog steeds naar het portaal gelinkt.

Opvolger

Op acht februari verschijnt er een opvolger van E-cops. Het nieuwe portaal staat momenteel in de stijgers, en is een samenwerking tussen de federale politie en de FOD Economie. Het meldpunt zal zich richten op phishing. Denk daarbij specifiek aan een e-mails waarin je gevraagd wordt geld over te schrijven voor redenen aller hande, zoals de mails die zogezegd van Saturn of Microsoft komen.

Door zoveel mogelijk meldingen op een centraal punt te verzamelen is het eenvoudiger om actie te ondernemen, klinkt het. De Pauw benadrukt echter dat we geen mirakels moeten verwachten van het meldpunt. “Bedrieglijke telefoontjes kunnen we in samenwerking met de andere Europese lidstaten heel snel blokkeren, maar phishing-e-mails tegenhouden is veel moeilijker, niet in het minst opdat ze meestal van ver buiten de unie verzonden worden”, vertrouwt ze Hautekiet nog toe.

Geen terugbetaling

Wie zich liet rollen door een phishingmail moet bovendien niet hopen dat de FOD Economie vanaf volgende maand zijn of haar geld zal terugvinden. Dat geld maak je in de regel zelf over via diensten zoals PaySafe of Western Union. De ontvanger is daarbij niet gekend, wat terugvorderen praktisch onmogelijk maakt. Kom je vanaf begin februari een phishingmail tegen, dan bestaat er wel terug een centrale plaats waar de nodige info vergaard wordt.

De Waele en De Pauw hameren er nog op dat gezond verstand de eerste en beste verdediging is. Zo circuleert en momenteel een e-mail die van de politie zelf lijkt te komen. Er staat in dat je een boete moet betalen omdat je 128 km/u hebt gereden in de bebouwde kom, waar zogezegd slechts 100 km/u is toegestaan. De pientere automobilist merkt al dat hier niets van klopt.

De politie maar bijvoorbeeld ook financiële instellingen zullen je nooit om geld vragen via een mail, zoals ook de mensen achter de app voor het berekenen van boetes Overtreding.be duidelijk maken. Kies er in het geval van de minste twijfel nooit voor om toch geld over te maken. Contacteer desnoods de instelling vanwaar de mail zogezegd komt, en vraag wat er van aan is.

Bron:   www.zdnet.be
  • Weekdeals (728x90)