Wat is een rootkit en hoe bescherm je je ertegen?

Een rootkit is een soort van computervirus of malware. Het is een verzameling kwaadaardige software die is ontworpen om hackers toegang tot en controle over je apparaat te geven. De meeste rootkits tasten software en besturingssystemen aan, maar sommige rootkits kunnen ook de hardware op je computer infecteren.

Rootkits zijn moeilijk te detecteren omdat ze gebruik maken van sluwe technieken om detectie te vermijden. Ze kunnen zich bijvoorbeeld in de kernel of core van je apparaat verstoppen, die het hele systeem bestuurt, of zich voordoen als andere software. Zo kunnen ze antivirusprogramma’s om de tuin leiden. Rootkits kunnen ook tegelijkertijd met je besturingssysteem opstarten en de communicatie ervan onderscheppen.

Rootkits zijn gevaarlijk, omdat ze specifiek zijn ontworpen om je systeem te infiltreren, gegevens te stelen, losgeld te eisen of andere beschadigende activiteiten uit te voeren. Behalve je laptop of desktop kan een rootkit bovendien ook IoT (Internet der Dingen)-apparaten infecteren.

In 2021 werd de Necurs rootkit op meer dan 80.000 systemen aangetroffen, waaronder duizenden computers in Nederland. Necurs is een zogenaamde Kernel mode-rootkit die bekend staat vanwege de technische complexiteit van de malware.

Een rootkit kan je systeem op de volgende manieren binnendringen:

• Een rootkit kan meeliften op software die je online downloadt. De rootkit kan in de software worden gestopt door een hacker, een derde partij of soms zelfs door de ontwikkelaars van de software.
• Door je inloggegevens via social engineering te stelen.
• Een rootkit kan via gecompromitteerde websites je systeem binnendringen. Als je een dergelijke website bezoekt kan er automatisch een script uitgevoerd worden waardoor de rootkit gedownload wordt.

Dit zijn een aantal veelvoorkomende rootkits:

Dit is een van de ingewikkeldste rootkits om te detecteren. Hackers stoppen deze code in de kern van je besturingssysteem. Het kernel niveau is als het ware het controlecentrum van je apparaat, wat betekent dat deze rootkit je hele systeem kan overnemen.

Dit type rootkit opereert op het applicatieniveau van de computer. Het neemt processen over, manipuleert software en brengt je gegevens in gevaar. Het is makkelijker te detecteren omdat het op softwareniveau opereert.

Bootkits infecteren de opstartsecties van je harde schijf. Ze worden geladen voordat je besturingssysteem of antivirussoftware wordt opgestart.

Deze rootkits hebben toegang tot je firmware-software die met routers en andere apparatuur op je systeem aangesloten is. Firmware is aan hardware gekoppeld en kan als besturingssysteem van sommige apparaten fungeren. Als gevolg hiervan kunnen cybercrimenelen je apparaat hacken en er volledige controle over krijgen.

Deze rootkits kunnen je besturingssysteem in een virtuele machine activeren. Hierdoor kan de rootkit de hardware-signalen van je oorspronkelijke besturingssysteem onderscheppen en je apparaat overnemen.

Het detecteren van een rootkit op je systeem is niet altijd even makkelijk, omdat dit type malware speciaal is ontworpen om verborgen te blijven.

Het is ten eerste belangrijk om op de volgende signalen te letten:

• Blauw scherm. Als er opeens een blauw scherm met witte tekst verschijnt of je veel Windows foutmeldingen ziet waardoor je je apparaat opnieuw op moet starten, kan dit op de aanwezigheid van een rootkit wijzen.
• Traag systeem. Is je computer opeens een stuk trager? Problemen met het geheugen kan een teken van infectie zijn.
• Ongewoon gedrag in de browser. Denk bijvoorbeeld aan omleidingen (redirects) terwijl je aan het surfen bent, of bladwijzers die niet herkend worden.
• Antivirus automatisch uitgeschakeld. Een andere indicatie van een rootkit op je systeem is dat je antivirus of antimalwaresoftware automatisch uitgeschakeld wordt.

Een rootkitscan is de beste manier om een rootkit op je apparaat op te sporen. De meeste antivirusprogramma’s kunnen een rootkitscan uitvoeren. Als je vermoedt dat je systeem met een rootkit is geïnfecteerd, kun je je computer het best uitschakelen en de scan vanaf een schoon systeem uitvoeren.

Gelukkig komen rootkits tegenwoordig veel minder vaak voor dan vroeger, omdat computer steeds beter beveiligd zijn. Als je toch geïnfecteerd raakt, kan het verwijderingsproces ingewikkeld zijn. Je kan de volgende opties proberen:

• Gebruik gerenommeerde antivirussoftware of een rootkitscanner. Probeer eventueel meerdere programma’s, omdat één misschien niet genoeg is om de rootkit te verwijderen.
• Installeer je besturingssysteem opnieuw. Afhankelijk van het type rootkit, kan dit het geïnfecteerde apparaat mogelijk schoonmaken.
• In het geval van een firmware rootkit of bootkit is software van derden niet altijd effectief. In dit geval moet je een back-up van je gegevens maken, je systeem wissen en alles opnieuw installeren om er vanaf te komen.

De beste bescherming tegen alle soorten malware is preventie. Doe het volgende om de kans op een rootkit- of malware-infectie te minimaliseren.

• Voer tenminste één keer per maand een rootkitscan uit met veilige en betrouwbare software.
• Download nooit software of media van onbetrouwbare websites.
• Download geen bijlagen die je niet herkent en klik niet op verdachte links.
• Gebruik geen USB-apparaten die je niet vertrouwt. (Dit was bijvoorbeeld de manier waarop Stuxnet zich in een gesloten systeem kon verspreiden).
• Beantwoord geen phishingmails en geef geen informatie aan oplichters (of aan iemand die je niet volledig vertrouwt).
• Zorg dat je besturingssysteem en beveiligingssoftware altijd up-to-date zijn.
• Gebruik Threat Protection van NordVPN. Deze functie blokkeert niet alleen schadelijke websites, advertenties en pop-ups, maar scant ook de bestanden die je download op malware en blokkeert ze voordat ze je apparaat kunnen infecteren.