Beheer

Security
Norsk Hydro

Klassieke software heerst (ook malware)

Als het werkt, moet je het niet fixen? Dit geldt ook voor malware.

© Norsk Hydro
28 augustus 2019

Oudere software gaat niet dood, zeker niet als het zijn kerntaak nog prima vervult. Achterhaalde interfaces, ouderwetse functionaliteit of andere tekortkomingen zijn dan vaak muizenissen. Het gaat om de effectiviteit, die vaak bij beproefde middelen immers bewezen is. Deze praktijkwijsheid is niet alleen van toepassing op reguliere programmatuur, maar ook op kwaadaardige software. Zie maar de huidige toppositie van de ransomware WannaCry, die alweer 2 jaar oud is en dus 'antiek' in malwaretermen.

Malware kent gerichte ontwikkeling en snelle evolutie. Maar vaak behouden 'de klassiekers' toch hun waarde. Van alle ransomwarevarianten die in de eerste helft van dit jaar zijn ontdekt bij slachtoffers blijkt het beruchte WannaCry het meest voor te komen. Het is inmiddels alweer ruim twee jaar geleden dat die ransomware toesloeg. Wereldwijd zijn toen vele bedrijven en organisaties geconfronteerd met gijzeling van hun kostbare data. Meer dan 200.000 Windows-computers in zo'n 150 landen zijn geïnfecteerd. In 2017.

10 keer zoveel

Maar WannaCry is niet beperkt tot 2017. Terwijl deze ransomware inmiddels allang bekend is, en infectie erdoor dus valt te voorkomen, is het anno nu nog de meest ingezette gijzelingsmalware. WannaCry heeft in de eerste zes maanden van 2019 ongeveer 10 keer zoveel machines geraakt dan alle andere ransomwarevarianten bij elkaar opgeteld. Dit blijkt uit metingen door securityleverancier Trend Micro die de stand van zaken uiteenzet in een nieuw halfjaarrapport.

Toegegeven: het gaat hierbij om gedetecteerde ranswomare. Bij detectie van malware speelt altijd de vraag of en hoeveel malware er op dit moment nog 'onder de radar' zit, en dus niet wordt gezien door securitysoftware en beveiligingsonderzoekers. Alleen is dit bij ransomware niet bepaald het geval, want op gegeven moment merkt een slachtoffer dat zijn of haar data gegijzeld is. Óf doordat die data niet langer toegankelijk is, óf doordat simpelweg de ransomware de losgeldeis voorschotelt.

Aanhoudend gebruik

Het aanhoudende 'succes' van WannaCry is zelf een voorbeeld van het feit dat klassieke software heerst. En het is mogelijk door het feit dat oudere software in gebruik is en blijft. Want Microsoft heeft toen in 2017 patches uitgebracht voor de SMB-kwetsbaarheid in Windows (client- én serveruitvoeringen) waardoor die ransomware zijn slag kan slaan. En kan blijven slaan.

Uit de 2019-telemetrie van Trend Micro komt naar voren dat de meeste infecties zijn bij enterprise-systemen met Windows in sectoren als overheid, onderwijs, gezondheidszorg, financiën, energie (zowel energieleveranciers als ook olie- en gaswinning) en fabricage (manufacturing). Consumentencomputers worden veel minder geraakt door WannaCry. De enterprise-computers die kwetsbaar zijn - en dus gepakt worden - zijn bedrijfskritiek voor de gebruikende organisaties en draaien dus klassieke software.

Betalen = belonen

Zou iemand bij die organisaties een risico-analyse en kostenafweging hebben gemaakt van patchen of upgraden versus losgeld? Het lijkt er in ieder geval op dat cybercriminelen zulke TCO- en ROI-berekeningen wel hebben gemaakt. En misschien is ransomware riskeren - en bij infectie dan afpersers betalen - wel een zakelijk zinnig besluit. Alleen staat betalen gelijk aan belonen, voor gebruik van klassieke ransomware.

Reactie toevoegen