Gastexpert: hoe zal Mirai in 2017 van zich laten horen

zo, 29/01/2017 - 08:09

Door: Redactie WINMAG Pro

De wereld maakte voor het eerst kennis met Mirai in oktober 2016. Een door deze malware gevormde botnet liet toen een spoor van vernieling achter en zorgde ervoor dat prominente internetdiensten als Twitter, Netflix en Amazon werden platgelegd.

In de pers werd onder meer gerept van een ‘digitale atoomaanval’ en een ‘zombie apocalypse’. Sinds die tijd hebben beveiligingsbedrijven melding gemaakt van een forse toename van het aantal geïnfecteerde apparaten. De Mirai-malware werd daarnaast in verband gebracht met aanvallen op routers van klanten van Deutsche Telekom, TalkTalk en Post Office Broadband. Waarschijnlijk is dat nog maar het topje van de ijsberg.

De toekomst

Het Japanse woord Mirai is letterlijk te vertalen als ‘de toekomst’. Het is dus heel goed mogelijk dat de makers grootse ambities hebben. De broncode die gebruikt werd voor het opzetten van het Mirai-botnet is inmiddels openbaar gemaakt. De lat voor het lanceren van grootschalige DDoS-aanvallen is daarmee een stuk lager gelegd, hoewel er nog altijd een zekere mate van technische kennis is vereist om een botnet te beheren en op te zetten. Mirai zou op deze manier kunnen dienen als katalysator voor cybercriminelen die DDoS-aanvallen uitvoeren, zoals hactivisten, digitale afpersers en politiek gemotiveerde hackers.

De geschiedenis toont echter aan dat niet alle malware-varianten die op basis van gepubliceerde broncode worden ontwikkeld, even succesvol zijn. Een goed voorbeeld vond plaats in 2015, toen de broncode voor de ransomware-variant ‘hidden tear’ ter lering en vermaak op internet werd gepubliceerd. Hoewel deze code in diverse nieuwe malware-varianten gebruikt werd, gingen veel daarvan gebukt onder serieuze problemen. Denk maar een aan ‘Cryptear’, een variant die in januari 2016 werd ontdekt en vrijwel onbruikbaar was. Dit als gevolg van het gebruik van een encryptieroutine die beveiligingsanalisten makkelijk wisten te neutraliseren.

Alle ingrediënten liggen klaar voor nieuwe malware

De publicatie van een broncode biedt echter een kijkje onder de motorkap van functionerende malware. Dit maakt het mogelijk om onderdelen daarvan te wijzigen of te verbeteren en nieuwe varianten te creëren. In combinatie met de juiste middelen en vaardigheden zou dit de aanzet kunnen geven tot de opkomst van een handvol nieuwe malware-varianten. Een goed voorbeeld hiervan is het gebruik van de gelekte broncode van de banking trojan Gozi, voor de ontwikkeling van de banking trojan GozNym. De makers combineerden de web inject-module van Gozi met die van het Trojaanse paard Nymaim. Sinds april 2016 is er naar verluid vier miljoen dollar buitgemaakt met GozNym.

Eén van de redenen die Mirai zo schadelijk maakt, is het vermogen om botnets te creëren op basis van minder voor de hand liggende apparaten. Denk hierbij aan systemen voor de automatische herkenning van kentekenplaten, tv-boxen, modems voor mobiele apparatuur en routers voor thuisnetwerken. Veel van deze apparaten zijn inherent onveilig en het is moeilijk om ze achteraf te voorzien van adequate beveiligingsmechanismen. Bovendien kunnen ze relatief eenvoudig worden gehackt door de standaardwachtwoorden van de fabrikant te achterhalen. Dat is precies wat Mirai zo gevaarlijk maakt. Tot overmaat van ramp beschikken veel criminele bendes over de middelen, mankracht en motivatie die nodig zijn om hun ‘product’ verder te ontwikkelen en op de markt te brengen.

Afpersing op basis van crowdfunding

Sinds de aanval door het Mirai-botnet ontstaan steeds meer nieuwe criminele businessmodellen. Op 22 november 2016 werd Squarespace, een Amerikaanse aanbieder van webhosting- en building, getroffen door twee DDoS-aanvallen. Hun klanten hadden daar negen uur lang onder te lijden, want de aanvallen legden diverse kleine webwinkels plat die van deze dienst afhankelijk waren. Via Twitter-accounts werd anoniem op de verklaringen van Squarespace gereageerd. Er werd beweerd dat de aanvallen waren uitgevoerd door een bekende cybercrimineel genaamd ‘vimproducts’ die DDoS-diensten had aangeboden via de AlphaBay Dark Web marktplaats. De aanvallen zouden zijn uitgevoerd om klanten van Squarespace af te persen voor 2.000 dollar. In een bericht op Pastebin beschreef de auteur dit als ‘afpersing door middel van crowdsourcing’.

Hoewel er geen bewijs is dat er losgeld werd betaald, is het een zorgwekkende ontwikkeling dat cybercriminelen hun pijlen nu ook op de klanten van bedrijven richten. Het vereist weinig fantasie om te bedenken waar dit zoal toe kan leiden. Zo zijn prominente game-netwerken in het verleden regelmatig het doelwit geweest van DDoS-aanvallen en het is heel goed mogelijk dat gamers nu het doelwit worden. Zo zou aan hen gevraagd kunnen worden om losgeld op te hoesten om te voorkomen dat hun spel wordt onderbroken.

Voorbereidingen treffen voor wat in 2017 gaat komen

Vergelijkbare scenario’s kunnen zich in 2017 voordoen nu cybercriminelen de beschikking hebben over een krachtig nieuw wapeninstrument, dat ze nog maar net beginnen te begrijpen. Bedrijven zouden zichzelf moeten afvragen hoe goed zij zijn voorbereid op DDoS-aanvallen via botnets als Mirai. Daarnaast zouden organisaties rekening moeten houden met het feit dat hun klanten het slachtoffer van aanvallen kunnen worden. Hoe zouden ze hen informeren als het daarvan komt? Het is natuurlijk mogelijk dat de bedreiging die van Mirai uitgaat langzaam maar zeker afneemt en dat nieuwe varianten onvoldoende effectief zijn. Toch wijst niets erop dat DDoS-aanvallen uit het arsenaal van cybercriminelen en hacktivisten zullen verdwijnen. Het is daarom van levensbelang voor bedrijven om zorgt te dragen voor een goed doortimmerd beveiligingsbeleid en adequate bescherming.