Ransomware-aanvallen zitten in de lift. Het begon eigenlijk met de WannaCry uitbraak van 2017. Deze grootschalige en zeer gepubliceerde aanval toonde aan dat Ransomware-aanvallen mogelijk en potentieel winstgevend waren. Sindsdien zijn tientallen Ransomware-varianten ontwikkeld en gebruikt in uiteenlopende aanvallen.
De COVID-19 pandemie heeft ook bijgedragen tot de recente toename van Ransomware. Toen organisaties snel overschakelden op werken op afstand, ontstonden er gaten in hun cyberverdediging. Cybercriminelen hebben deze kwetsbaarheden misbruikt om Ransomware te leveren, wat heeft geleid tot een sterke toename van Ransomware-aanvallen. In het derde kwartaal van 2020 zijn de Ransomware-aanvallen met 50% toegenomen ten opzichte van de eerste helft van dat jaar. Tussen 2019 en 2020 is het aantal ransomware-incidenten wereldwijd met 62% gestegen en in Noord-Amerika zelfs met 158%. Doelwitten zijn onder meer overheidsinstellingen, bedrijven en particulieren.
Op 7 mei 2021 was het misschien de meest spraakmakende aanval op de grootste exploitant van brandstofpijpleidingen in de Verenigde Staten, de Colonial Pipeline, die eindelijk de aandacht van het brede publiek trok. In dit geval leidde een incident in verband met Ransomware ertoe dat het bedrijf de helft van de brandstoftoevoer naar de oostkust moest stilleggen. De potentiële impact van dit soort aanvallen is enorm en alleen al het incident met de Colonial Pipeline vormde een bedreiging voor het hart van de infrastructuur en de handel in de VS.
In Nederland zijn bekende gevallen de aanval op de Gemeente Hof van Twente waar aanvallers de systemen in 2020 met ransomware infecteerden via een zwak wachtwoord, “Welkom2020” en vorig jaar het Nederlandse industrieconcern VDL Group dat werd getroffen door een omvangrijke cyberaanval die merkbaar was bij alle 105 bedrijven van het concern.
Wat is Ransomware?
Een basisdefinitie van Ransomware is dat aanvallers gespecialiseerde malware gebruiken om kritieke informatie te versleutelen, waardoor deze ontoegankelijk wordt voor het slachtoffer. Nadat aanvallers de gegevens van de gebruiker hebben versleuteld, hebben ze effectief alle toegang tot bestanden, toepassingen en databases afgesloten. De aanvaller eist vervolgens betaling in de vorm van losgeld om het slachtoffer toegang te geven tot zijn gegevens. Deze aanvallen zijn gevaarlijk omdat aanvallers Ransomware vaak zo ontwerpen dat het zich blijft verspreiden over de systemen van het slachtoffer, waardoor de schade escaleert terwijl ze hun opties overwegen.
Wie is een doelwit voor Ransomware?
Er zijn verschillende manieren waarop aanvallers de organisaties kiezen die ze met Ransomware aanvallen. Soms is het een kwestie van gelegenheid: aanvallers kunnen bijvoorbeeld universiteiten als doelwit kiezen omdat deze over het algemeen kleinere beveiligingsteams hebben en veel verschillende gebruikers die veel bestanden delen, waardoor het gemakkelijker is hun verdediging te doorbreken.
Aan de andere kant zijn sommige organisaties een verleidelijk doelwit omdat ze sneller losgeld lijken te willen betalen. Overheidsinstellingen of medische instellingen hebben bijvoorbeeld vaak onmiddellijke toegang tot hun bestanden nodig. Advocatenkantoren en andere organisaties met gevoelige gegevens zijn mogelijk bereid te betalen om het nieuws van een compromittering stil te houden – en deze organisaties zijn mogelijk bijzonder gevoelig voor leakware-aanvallen.
Maar denk niet dat je veilig bent als je niet in deze categorieën past: zoals we al opmerkten, verspreidt sommige Ransomware zich automatisch en lukraak over het internet.
Hoe verspreidt Ransomware zich?
Gebruikers kunnen op verschillende manieren met deze bedreiging in aanraking komen. Ransomware kan op systemen worden gedownload wanneer onwetende gebruikers kwaadaardige of gecompromitteerde websites bezoeken. Het kan ook aankomen als een payload die wordt gedropt of gedownload door andere malware. Sommige Ransomware wordt geleverd als bijlage bij spammail, gedownload van kwaadaardige pagina’s via malvertenties, of door exploitkits op kwetsbare systemen geplaatst.
Eenmaal uitgevoerd in het systeem, kan Ransomware ofwel het computerscherm vergrendelen of, in het geval van cryptoRansomware, vooraf bepaalde bestanden versleutelen. In het eerste scenario wordt een schermvullende afbeelding of melding weergegeven op het scherm van een geïnfecteerd systeem, waardoor een slachtoffer zijn systeem niet kan gebruiken. Deze melding bevat ook instructies over hoe een gebruiker het losgeld kan betalen. In het tweede scenario verhindert Ransomware de toegang tot potentieel kritieke of waardevolle bestanden zoals documenten en spreadsheets.
Hoe werkt Ransomware?
Om succesvol te zijn, moet Ransomware toegang krijgen tot een doelsysteem, de bestanden daar versleutelen, en losgeld eisen van het slachtoffer. Hoewel de implementatiedetails verschillen van de ene Ransomware-variant tot de andere, delen ze allemaal dezelfde drie kernstappen
Stap 1. Infectie en Distributie
Ransomware, zoals elke malware, kan op een aantal verschillende manieren toegang krijgen tot de systemen van een organisatie. Echter, Ransomware exploitanten hebben de neiging de voorkeur te geven aan een paar specifieke infectie methodes. Eén daarvan is phishing emails. Een schadelijke e-mail kan een link bevatten naar een website met een schadelijke download of een bijlage met ingebouwde downloader-functionaliteit. Als de ontvanger van de e-mail in de phishing trapt, wordt de Ransomware gedownload en uitgevoerd op hun computer.
Een andere populaire besmettingsmethode voor Ransomware maakt gebruik van diensten zoals het Remote Desktop Protocol (RDP). Met RDP kan een aanvaller die de inloggegevens van een werknemer heeft gestolen of geraden, deze gegevens gebruiken om zich te authentiseren en op afstand toegang te krijgen tot een computer binnen het bedrijfsnetwerk. Met deze toegang kan de aanvaller de malware rechtstreeks downloaden en uitvoeren op de computer die hij onder controle heeft.
Anderen kunnen proberen systemen direct te infecteren, zoals WannaCry de EternalBlue-kwetsbaarheid misbruikte. De meeste Ransomware-varianten hebben meerdere infectievectoren.
Stap 2. Gegevensversleuteling
 Nadat Ransomware toegang heeft gekregen tot een systeem, kan het beginnen met het versleutelen van de bestanden. Aangezien encryptie functionaliteit is ingebouwd in een besturingssysteem, houdt dit simpelweg in dat er toegang wordt verkregen tot bestanden, dat deze worden versleuteld met een door de aanvaller gecontroleerde sleutel, en dat de originelen worden vervangen door de versleutelde versies. De meeste Ransomware varianten zijn voorzichtig in hun selectie van te versleutelen bestanden om de stabiliteit van het systeem te waarborgen. Sommige varianten zullen ook stappen ondernemen om back-up en schaduw kopieën van bestanden te verwijderen om herstel zonder de decryptie sleutel moeilijker te maken.
Stap 3. Losgeld eisen
Zodra de bestandsversleuteling voltooid is, is de ransomware bereid om een eisen te stellen. . Verschillende Ransomware varianten implementeren dit op verschillende manieren, maar het is niet ongewoon om een achtergrond van het scherm te laten veranderen in een losgeld notitie of tekstbestanden te plaatsen in elke versleutelde directory die de losgeld notitie bevat. Typisch eisen deze notities een vastgesteld bedrag aan cryptocurrency in ruil voor toegang tot de bestanden van het slachtoffer. Als het losgeld wordt betaald, verstrekt de Ransomware-exploitant een kopie van de privésleutel die wordt gebruikt om de symmetrische encryptiesleutel te beschermen of een kopie van de symmetrische encryptiesleutel zelf. Deze informatie kan worden ingevoerd in een decryptorprogramma (ook verstrekt door de cybercrimineel) dat het kan gebruiken om de versleuteling ongedaan te maken en de toegang tot de bestanden van de gebruiker te herstellen.
Losgeldprijzen variëren afhankelijk van de Ransomwarevariant en de prijs of wisselkoersen van digitale valuta. Dankzij de vermeende anonimiteit die cryptocurrencies bieden, specificeren Ransomware operators vaak losgeldbetalingen in bitcoin. Recente Ransomware-varianten hebben ook alternatieve betalingsopties vermeld, zoals iTunes- en Amazon-cadeaubonnen. Er moet echter worden opgemerkt dat het betalen van losgeld niet garandeert dat gebruikers de decoderingssleutel of ontgrendelingstool zullen krijgen die nodig is om opnieuw toegang te krijgen tot het geïnfecteerde systeem of de gegijzelde bestanden.
Hoewel deze drie kernstappen in alle Ransomware varianten voorkomen, kunnen verschillende Ransomware varianten verschillende implementaties of extra stappen bevatten. Zo voeren Ransomware-varianten zoals Maze een scan uit van bestanden, registerinformatie en gegevensdiefstal voordat de gegevens worden versleuteld, en scant de WannaCry-Ransomware naar andere kwetsbare apparaten om te infecteren en te versleutelen.
Hoe voorkom je ransomeware?
In de huidige computeromgevingen beschouwen sommigen experts de cyberaanvallen als onvermijdelijk. Gelukkig zijn er een paar standaard stappen die gebruikers kunnen zetten om zichzelf enigszins te beschermen tegen netwerken infiltratie en, als dat niet lukt, om de ergste gevolgen te beperken.
Maak een back-up van uw gegevens
De meeste Ransomware-aanvallen maken organisaties kwetsbaar door hun gegevens ontoegankelijk te maken. Routinematige back-ups naar externe locaties kunnen de invloed van aanvallers en de potentiële schade aan de belangen van een organisatie aanzienlijk beperken, omdat de externe back-ups nog steeds toegankelijk zijn in het geval van een inbreuk.
Investeer in robuuste bescherming tegen Ransomware
Traditionele virusscanners en malwaredetectie zijn niet altijd toereikend om ransomware-aanvallen te voorkomen. Om het veranderende landschap en de steeds geavanceerdere aanvallen op kwetsbaarheden van ‘day zero’ te bestrijden, is een predictieve ransomwarebescherming nodig die in staat is alle eindpunten in het netwerk te beschermen.
Netwerksegmentatie en firewalls
Als Ransomware het netwerk infecteert, is het van het grootste belang om de verspreiding te beperken en de schade te isoleren. Netwerksegmentatie en robuuste firewallregels zorgen ervoor dat gegevens die door een Ransomware-aanval zijn versleuteld, beperkt blijven tot slechts een subset van het netwerk.
Training
Opleiding en bewustmaking van gebruikers blijven de hoeksteen van cyberbeveiliging. Training van werknemers over de betekenis van Ransomware, het vermijden van het openen van e-mails van onbekende afzenders en het nooit klikken op e-mailkoppelingen kunnen een lange weg afleggen naar het voorkomen van Ransomware-aanvallen.
Hoe u voor te bereiden op Ransomware-aanvallen?
De eerste stap in de voorbereiding op Ransomware-aanvallen is het opstellen van een rampenplan voor acties als een aanval plaatsvindt. Uit een onderzoek van Cybereason is gebleken dat weekenden en feestdagen de belangrijkste doelwitten zijn voor het lanceren van Ransomware-aanvallen op bedrijven. Alarmerend is dat 36% van de respondenten in het onderzoek verklaarde dat er geen specifiek rampenplan was opgesteld om te reageren op een Ransomware-aanval. Uit het onderzoek bleek ook dat 24% van deze organisaties zelfs na een aanval nog steeds niet over een noodplan beschikt. Tot 49% van deze organisaties concludeerde dat de aanval succesvol was vanwege een inadequate planning en het ontbreken van de juiste beveiligingsoplossingen.
Traditionele antivirusoplossingen op basis van handtekeningen zijn niet effectief tegen Ransomware-aanvallen omdat ze vaak gebruikmaken van nieuwe, polymorfe of herverpakte malwarestammen. Tot 46% van de ondervraagde organisaties gaf aan dat ze nog steeds vertrouwen op deze traditionele methoden. Het opzetten van endpoint detection and response (EDR)-systemen kan het aanvalsoppervlak van kritieke systemen aanzienlijk vergroten en de ergste gevolgen van Ransomware-aanvallen helpen voorkomen.
Wat te doen als u slachtoffer bent van een Ransomware aanval?
Het verwijderen van Ransomware omvat een reeks strategische stappen, waarvan de eerste het isoleren van het probleem omvat. De volgende stap bestaat uit het verwijderen van de geïnfecteerde systemen van het netwerk en het uitschakelen van alle verbindingen of interfaces naar de gegevens. Vervolgens moeten beveiligingsteams de bron van de infectie identificeren en vinden om deze uit te schakelen. Vervolgens moeten operators de integriteit van back-ups controleren om de potentiële schade van het niet betalen van het losgeld te beoordelen.
De overheid raadt organisaties aan geen losgeld te betalen of in zee te gaan met de cybercriminelen die verantwoordelijk zijn voor de aanval. Dat is waar het hebben van routinematige, veilige en geïsoleerde opslagback-ups een enorm verschil kan maken bij het beperken van de gevolgen van een Ransomware-aanval.
Meer weten?
Door gebruik te maken van onze SolidSupport dienst bent u verzekerd van professionele hulp, in geval van hard- of softwarestoringen in uw apparatuur.
