De ransomware-aanval van afgelopen dinsdag mag vooral bekendstaan om z'n grootte, maar er is een tweede aspect dat 'm onderscheidt van andere aanvallen: de nieuwe manier waarop sommige slachtoffers zijn geïnfecteerd.Meestal wordt ransomware verspreid via e-mails, of schimmige advertenties op websites. In dit geval raakten sommige slachtoffers besmet door een besmette software-update van een Oekraïens financieel softwarebedrijf, volgens onderzoekers en de politie. Deze nieuwe uitbraak laat niet alleen een nieuwe benadering zien, maar laat ook de macht zien die software-updates kunnen hebben over de veiligheid van een systeem.
Advertentie
In een dinsdag gepubliceerde blogpost zei Microsoft bewijs te hebben dat "een paar actieve ransomware-infecties oorspronkelijk afkomstig waren van het legitieme updateproces van MEDoc." MEDoc is een bedrijf dat accountingsoftware levert, om bijvoorbeeld je belastingaangifte te versimpelen.De Oekraïense politie en onderzoekers van de cybersecurityfirma's Kaspersky en AlienVault zeiden min of meer hetzelfde. Hackers hebben waarschijnlijk ingebroken in de systemen van MEDoc, om vervolgens ransomware aan een software-update te koppelen, waarna het bij nietsvermoedende klanten van MEDoc terecht kwam.Het bedrijf zelf ontkent op Facebook dat het de bron van de infecties is: "Zulke conclusies zijn duidelijk fout, omdat de ontwikkelaar MEDoc als verantwoorde verkoper van software de veiligheid en correctheid van zijn eigen code goed in de gate houdt," bleek uit een Google-vertaling van de post. MEDoc ging niet direct in op verder verzoek voor commentaar.Maar waar een normaal updatebestand iets van 300 bytes groot is, was het besmette bestand 300 KB groot, volgens de Oekraïense politie. Microsoft zei dat het de software-updater van MEDoc een kwaadwillende aanval uit had zien voeren op dinsdag, rond 10:30 GMT. De update creëerde vervolgens een nieuw bestand, Rundll32.exe, en startte de rest van het ransomwareproces. Het verspreidde zich door netwerken met behulp van andere technieken, zoals het stelen van inloggegevens en door gebruik te maken van de NSA-achterdeuren EternalBlue en EternalRomance, en gooide daarna computers op slot, volgens de blog van Microsoft.Gebruikers van MEDoc hadden, met andere woorden, onbewust malware gedownload zonder op een link te klikken of een kwaadaardige site te bezoeken, vanwege een systeem dat is ontworpen om legitieme software te verspreiden. Wanneer een applicatie, stuk software of besturingssysteem zichzelf een update geeft, zijn gebruikers meestal overgeleverd aan de genade van degene die de update bestuurt en waar ze die update voor gebruiken.Het is net als wanneer de app van Twitter met een nieuwe interface komt die je niet leuk vindt of wanneer Windows een update afdwingt. Wat nu lijkt te zijn gebeurd, is dat hackers de controle over het updatemechanisme overnamen en vervolgens gebruikten om malware te verspreiden. Er zijn natuurlijk manieren om dat tegen te gaan. Misschien vereist het proces straks wel cryptografische ondertekening, waarmee je de kans vergroot dat alleen legitieme software geïnstalleerd kan worden. Of dat succesvol is, hangt ook van de specificaties van de aanval af, maar op zich is dit een interessante manier om bij systemen in te breken.Als mensen hun systemen niet leren patchen, of netwerken op een fatsoenlijke manier inrichten, of überhaupt iets leren van deze laatste golf aan ransomware, dan zien ze misschien in ieder geval in hoe machtig maar ook kwetsbaar de distributie van software kan zijn.