CCleaner-malware toont trend van supply-chain-attacks aan

CCleaner bevatte ruim een maand lang een backdoor, waardoor miljoenen gebruikers zijn geïnfecteerd door een virus met nog onbekende werking. De CCleaner-malware is één van de grootschaligste supply chain-aanvallen die er tot nu toe bekend zijn.

Allereerst: wat is er precies gebeurd? Er blijkt een backdoor te zitten in CCleaner, een populair programma om onnodige rotzooi op een pc op te ruimen en zo meer ruimte op de schijf vrij te maken. CCleaner is gebouwd door softwarebouwer Piriform, dat in juli werd overgenomen door beveiligingsbedrijf Avast. Overigens wil Avast wel even duidelijk hebben dat de inbraak al gebeurde vóór de overname.

Ontdekking

De backdoor werd ontdekt door de Talos-securitygroep van Cisco. Avast heeft zelf in een verklaring bevestigd dat er een lek in de software zat.

Slachtoffers

Iedereen die de 32-bit-versie van CCleaner heeft gedownload tussen 15 augustus en 15 september is waarschijnlijk slachtoffer van de backdoor. Gebruikers die het programma vóór die tijd hebben gedownload (of daarna) zijn veilig. Ook is er inmiddels een update uitgebracht die de backdoor verwijdert.

Volgens Avast zijn 2,27 miljoen gebruikers wereldwijd getroffen. Dat zijn er bijzonder veel, maar eigenlijk ook relatief weinig als je bedenkt hoe vaak CCleaner wordt gedownloaden: 5 miljoen keer per week.

Weinig slachtoffers

Een belangrijke reden voor het relatief lage aantal slachtoffers is het feit dat de backdoor alleen in de 32-bit-versie van de software zit, en dat computers tegenwoordig voornamelijk 64-bit-chips draaien.

Een andere reden is dat CCleaner juist niet aan auto-updates doet. Dat is een aparte beslissing voor dergelijke unieke software, maar in dit geval heeft het juist veel gebruikers gered.

Onduidelijk effect

Opvallend aan de aanval is dat niet bekend is wat de malware precies doet. Beveiligingsonderzoekers zijn nog steeds op zoek naar de werking van de malware, maar weten nog niet of het gaat om malware die gegevens steelt of wacht om op een later moment te slaan.

Petya

Dat laatste is niet ondenkbaar. Op eenzelfde manier werd in juni van dit jaar de Petya-ransomware verspreid. Dat gebeurde doordat aanvallers (waarschijnlijk uit Rusland) een softwarebedrijf uit Oekraïne wisten te infecteren dat boekhoudprogramma's maakte. Via een update van dat programma werd de Petya-ransomware verspreid naar computers van bedrijven die daar gebruik van maakten.

De ransomware werd weken voor de versleuteling toesloeg verspreid, maar verborg zich lange tijd op de systemen tot het tijd was om toe te slaan.

De Petya-ransomware werd vorig jaar ook via een supply-chain-aanval verspreid

-

Ransomware?

Het zou kunnen dat ook deze malware eigenlijk ransomware is die over een tijdje ineens actief zou worden, mogelijk nadat nog meer gebruikers CCleaner hadden gedownloaden zodat de malware maximaal effect zou hebben. De schade was dan groot geweest: uit onderzoek blijkt dat veel slachtoffers bereid zijn te betalen om hun bestanden terug te krijgen.

Het blijft de vraag of de backdoor in CCleaner echt ransomware bevatte. Gezien de huidige trend van cybercriminaliteit lijkt dat logisch, maar het blijft speculatie.

Nieuwe trend

Volgens sommige beveiligingsonderzoekers is het een nieuwe trend om malware te verspreiden via bestaande applicaties. Dat is een effectieve manier om slachtoffers te treffen, want het is lastig je daartegen te wapenen. Zulke 'supply-chain-attacks' kunnen in de toekomst best eens wat schade gaan veroorzaken.

Het is niet de eerste keer dat dat gebeurt. Al lang geleden was te zien hoe sommige gratis programma's bundels aanboden met bijvoorbeeld toolbars erin, en later met steeds malafidere software.

Precedent

Maar zogenaamde supply chain attacks zoals deze aanval op CCleaner zijn al veel ouder. Ze komen sporadisch voor; nog vorige maand ontdekte Kaspersky een backdoor in een ander softwarepakket.

Gevaarlijk

Die werkwijze levert een groot gevaar op. Jarenlang zijn computergebruikers gewaarschuwd voor makkelijk te voorkomen gevaren: Klik niet op links die je niet vertrouwt, open geen bijlages die je niet verwacht, en hou je software up-to-date. Als je dat beveiligingsmodel volgt ben je als gebruik goed beschermd tegen het overgrote merendeel van de digitale aanvallen.

Wie is te vertrouwen?

Maar als hackers gebruik maken van de supply chain van bekende bedrijven verandert die houding. Dan volstaat het niet meer om een bedrijf simpelweg te vertrouwen. Dan is patchen niet de oplossing, maar juist de aanvalsvector. Zelfs legitieme bedrijven zoals Avast kunnen dan slachtoffer worden van cybercrime en op die manier gebruikers infecteren.

Wat is er dan nog wél te vertrouwen? Die apps in de Play, App, en Windows Store? Programma's met een legitieme signature?

Lastig te voorkomen

Het lijkt op dit moment lastig om je te wapenen tegen dergelijke aanvallen. Een goede virusscanner kan wel helpen, want die houdt verdacht gedrag op een pc tegen. Stel dat een nog onbekende of onontdekte vorm van ransomware ineens wil toeslaan kan goede antivirussoftware dat patroon herkennen en de versleuteling tegenhouden. Ook helpt het herstelpunten van je pc te maken, zodat je na de ontdekking altijd terug kunt naar een eerdere versie van je besturingssysteem.

Wie CCleaner in ieder geval heeft gedownload in de gerwraakte periode hoeft dat laatste gelukkig nu niet te doen. De laatste update van het programma haalt de backdoor weg. Daarvoor moet je wel handmatig updaten. Want ja, geen auto-update he...

Deel dit artikel
Voeg toe aan favorieten
ID.nl logo

ID.nl, onderdeel van Reshift BV, is in 2022 gestart en uitgegroeid tot de meest toonaangevende en complete consumentensite van Nederland. Het doel van ID.nl is om de consument te helpen met alle technologie die hoort bij het dagelijks leven: van smart-health-meters tot e-bikes, van warmtepompen tot zonnepanelen - en alles daar tussenin!

Duidelijk, betrouwbaar en onafhankelijk: ID.nl maakt moeilijke dingen makkelijk.

Contact

ID.nl

Nijverheidsweg 18

2031 CP Haarlem

info@id.nl

Telefoon: 023-5430000