Lost in the Noise

Bij de meeste aanvallen op bedrijven zijn keyloggers en spyware betrokken, maar hackers gebruiken ook steeds vaker “RAM scrapers”, een redelijke nieuwe vorm van malware ontworpen om het werkgeheugen van een systeem leeg te zuigen. Het gaat dan vooral om het geheugen van Point-of-Sale servers bij winkels, retailers en hotels, aldus Verizon in het nieuwste Data Breach Investigations Supplemental Report. In totaal passeren 15 van de meest voorkomende aanvallen de revue.

Door het toegenomen bewustzijn over beveiligingsproblemen en wettelijke regelgeving, worden veel bedrijven gedwongen om het bewaren van gegevens te beperken of te versleutelen zodra de data in ruste is of verstuurd wordt. RAM-schrapers omzeilen zulke maatregelen en kapen de gegevens in het geheugen waar het ontsleuteld wordt om te kunnen lezen en verwerken. De malware is volgens Verizon te herkennen aan onverwacht gedrag of prestaties, de aanwezigheid van grote en bijzondere bestanden, plotselinge veranderingen in de vrije harde schijfruimte en uitgeschakelde anti-virus software.

Meldplicht
Toch zitten ook malware auteurs niet stil. Tijdens een recent incident ontdekte onderzoekers een RAM-schraper die alleen naar kaartgegevens zocht, in plaats van complete geheugendumps te maken. Dit maakt zowel de operatie als het gebruik van de schijfruimte een stuk efficiënter. Verizon stelt dan ook dat niet alles te detecteren en te voorkomen is. Wel pleit het voor het vrijwillig melden van incidenten, waarbij het getroffen bedrijf dit anoniem kan doen, zonder de klanten te waarschuwen. Dit zou uiteindelijk de “community” ten goede komen, aangezien waarschijnlijk veel aanvallen nooit gerapporteerd worden.