Microsoft legt uit waarom het BadRabbit niet meteen blokkeerde

[Captain Kirk]

De BadRabbit-ransomware die eind oktober allerlei bedrijven en organisaties in voornamelijk Oekraïne en Rusland infecteerde werd in eerste instantie niet door de beveiligingssoftware van Microsoft geblokkeerd omdat het bestand met de ransomware net niet verdacht genoeg was.

Dat laat Microsoft in een vandaag gepubliceerde analyse weten. BadRabbit verspreidde zich via een zogenaamde Flash Player-update die via gehackte websites aan internetgebruikers werd aangeboden. Zodra deze "update" was gedownload en geopend werd de BadRabbit-ransomware geïnstalleerd. Naast het versleutelen van bestanden en het overschrijven van het Master Boot Record (MBR) van de harde schijf probeerde de ransomware ook andere machines in het netwerk te infecteren. Hiervoor werd gebruik gemaakt van een lijst met veelvoorkomende wachtwoorden, onderschepte inloggegevens en een exploit van de NSA.

Microsoft heeft de eerste infectie met BadRabbit herleid naar een gebruiker van Windows Defender in Sint Petersburg, ook wel "patient zero" genoemd. Deze gebruiker downloadde het bestand "FlashUtil.exe". Windows Defender vond dit een verdacht bestand, maar niet verdacht genoeg om het meteen te blokkeren. Het bestand werd daarop naar de cloudscandienst van Microsoft geupload en met een zekerheidsscore van 81,6 procent als malware bestempeld.

De cloudscandienst was echter ingesteld om bestanden pas bij een zekerheidsscore van 90 procent te blokkeren. Dit om false positives te voorkomen, waarbij schone bestanden ten onrechte als malware worden beschouwd. Daardoor kon de ransomware zijn gang gaan en het systeem infecteren. Microsoft laat weten dat het de percentages continu aanpast om de juiste balans te vinden tussen het stoppen van malware en het niet blokkeren van legitieme programma's.

Verder geautomatiseerd onderzoek via machine learning naar het verdachte bestand leverde uiteindelijk een score van 90,7 procent op. Genoeg om het bestand te blokkeren, wat vervolgens bij gebruikers van Windows Defender werd gedaan. Er zaten in totaal 14 minuten tussen de infectie van patient zero en detectie door de beveiligingssoftware. In de tussentijd had de ransomware acht andere slachtoffers in Oekraïne, Rusland, Israel en Bulgarije gemaakt. Volgens Microsoft laat dit zien dat machine learning een belangrijke rol speelt bij het detecteren van malware. Daarnaast wijst de softwaregigant organisaties op de mogelijkheid om het cloudbeschermingsniveau aan te passen, zodat verdachte bestanden bij een lagere zekerheidsscore worden geblokkeerd.

 

 

bron: security.nl