Wat is een ransomware aanval en hoe kunt u dit voorkomen?

Ransomware is een type kwaadaardige software (malware) dat dreigt gegevens of een computersysteem openbaar te maken of de toegang ertoe te blokkeren. Dit gebeurt meestal door ze te versleutelen, totdat het slachtoffer losgeld betaalt aan de aanvaller. In veel gevallen gaat de losgeld-eis gepaard met een deadline. Als het slachtoffer niet op tijd betaalt, zijn de gegevens voor altijd verdwenen of wordt het losgeld hoger.

Ransomware-aanvallen komen tegenwoordig maar al te vaak voor. Grote bedrijven in zowel Noord-Amerika als Europa zijn er het slachtoffer van geworden. Cybercriminelen vallen elke consument of elk bedrijf aan en de slachtoffers komen uit alle sectoren. U dient dus snel noodzakelijke maatregelen te treffen om uw netwerken te beveiligen tegen hackers.

Hoe ransomware werkt

Ransomware is een type malware dat is ontworpen om geld af te persen van zijn slachtoffers, die worden geblokkeerd of geen toegang kunnen krijgen tot gegevens op hun systemen. De twee meest voorkomende types van ransomware zijn encryptors en screen lockers. Encryptors, zoals de naam al aangeeft, versleutelen gegevens op een systeem, waardoor de inhoud onbruikbaar wordt zonder de decryptiesleutel. Screen lockers daarentegen blokkeren eenvoudigweg de toegang tot het systeem met een "lock" scherm, waarbij wordt beweerd dat het systeem is versleuteld.

Slachtoffers worden vaak op een vergrendelscherm gewaarschuwd (zowel bij encryptors als screen lockers) om een cryptocurrency, zoals Bitcoin, te kopen om het losgeld te betalen. Zodra het losgeld is betaald, ontvangen klanten de ontsleutelingssleutel en kunnen ze proberen bestanden te ontsleutelen. Ontcijfering is niet gegarandeerd, aangezien meerdere bronnen melden dat er wisselend succes is met het ontcijferen na het betalen van losgeld. Soms ontvangen slachtoffers de sleutels nooit. Sommige aanvallen installeren malware op het computersysteem, zelfs nadat het losgeld is betaald en de gegevens zijn vrijgegeven.

Oorspronkelijk was versleutelende ransomware vooral gericht op pc's van particulieren, maar nu richt deze zich steeds meer op zakelijke gebruikers, aangezien bedrijven vaak meer betalen dan particulieren om hun kritieke systemen te ontgrendelen en de dagelijkse activiteiten te hervatten.

Enterprise ransomware infecties of virussen beginnen meestal met een kwaadaardige e-mail. Een nietsvermoedende gebruiker opent een bijlage of klikt op een URL die kwaadaardig is of gecompromitteerd is.

Op dat moment wordt een ransomware-agent geïnstalleerd die begint met het versleutelen van belangrijke bestanden op de pc van het slachtoffer en eventuele bijgevoegde bestandsdelingen. Nadat de gegevens zijn versleuteld, geeft de ransomware een bericht weer op het geïnfecteerde apparaat. In het bericht wordt uitgelegd wat er is gebeurd en hoe de aanvallers kunnen worden betaald. Als de slachtoffers betalen, belooft de ransomware dat ze een code zullen krijgen om hun gegevens te ontgrendelen.

Wie loopt er risico?

Elk apparaat dat met het internet is verbonden, loopt het risico het volgende slachtoffer van ransomware te worden. Ransomware scant een lokaal apparaat en alle op het netwerk aangesloten opslag, wat betekent dat een kwetsbaar apparaat ook het lokale netwerk tot een potentieel slachtoffer maakt. Als het lokale netwerk een bedrijf is, kan de ransomware belangrijke documenten en systeembestanden versleutelen, waardoor diensten en productiviteit stil komen te liggen.

Als een apparaat verbinding maakt met het internet, moet het worden bijgewerkt met de nieuwste beveiligingspatches en moet er anti-malware zijn geïnstalleerd die ransomware detecteert en stopt. Verouderde besturingssystemen zoals Windows XP die niet langer worden onderhouden, lopen een veel groter risico.

De impact van een ransomware aanval op uw bedrijf

Een bedrijf dat het slachtoffer wordt van ransomware kan duizenden euro's verliezen aan productiviteit en gegevensverlies. Aanvallers die toegang hebben tot gegevens zullen slachtoffers chanteren om het losgeld te betalen door te dreigen gegevens vrij te geven en het datalek openbaar te maken, dus organisaties die niet snel genoeg betalen kunnen te maken krijgen met bijkomende neveneffecten zoals merkschade en rechtszaken.

Ransomware stopt de productiviteit, dus de eerste stap is beheersing. Na de insluiting kan de organisatie ofwel back-ups herstellen of het losgeld betalen. Wetshandhavingsinstanties worden betrokken bij onderzoeken, maar het opsporen van auteurs van ransomware vergt onderzoekstijd die het herstel alleen maar vertraagt. Analyse van de achterliggende oorzaak identificeert de kwetsbaarheid, maar vertragingen in het herstel hebben gevolgen voor de productiviteit en de bedrijfsinkomsten.

Hoe kunt u een ransomware aanval voorkomen?

Preventie van ransomware-aanvallen omvat doorgaans het opzetten en testen van back-ups en het toepassen van ransomware-bescherming in beveiligingstools. Beveiligingstools zoals gateways voor e-mailbescherming vormen de eerste verdedigingslinie, terwijl endpoints een secundaire verdediging vormen. Intrusion Detection Systems (IDS'en) worden soms gebruikt om ransomware command-and-control te detecteren om te waarschuwen tegen een ransomware-systeem dat een beroep doet op een controleserver. Gebruikerstraining is belangrijk, maar gebruikerstraining is slechts één van de verschillende verdedigingslagen tegen ransomware, en komt pas in beeld na de levering van ransomware via een e-mail.

Welke stappen moet u ondernemen als uw bedrijf een ransomware aanval krijgt?

De payload van ransomware is onmiddellijk. De malware toont een bericht aan de gebruiker met instructies voor betaling en informatie over wat er met de bestanden is gebeurd. Het is belangrijk voor beheerders om snel te reageren omdat sommige ransomware zich probeert te verspreiden naar andere locaties op het netwerk en kritieke bestanden vindt in aanvullende scans. U kunt een paar basisstappen nemen om goed te reageren op ransomware, maar merk op dat de tussenkomst van een expert meestal vereist is voor analyse van de hoofdoorzaak, opschoning en onderzoek.

• Bepaal welke systemen zijn aangetast. U moet systemen isoleren zodat ze de rest van de omgeving niet kunnen beïnvloeden. Deze stap maakt deel uit van het inperken van de schade aan de omgeving.
• Koppel systemen los en schakel ze zo nodig uit. Ransomware verspreidt zich snel via het netwerk, dus alle systemen moeten worden afgesloten door de netwerktoegang uit te schakelen of door ze uit te schakelen.
• Stel prioriteiten bij het herstel van systemen, zodat de meest kritieke systemen sneller kunnen worden hersteld. Ons advies is om de prioriteit te baseren op de productiviteit en de impact op de inkomsten.
• Verwijder de bedreiging uit het netwerk. Aanvallers kunnen backdoors gebruiken, dus de uitroeiing moet worden gedaan door een vertrouwde deskundige. De expert moet toegang hebben tot logboeken, zodat een analyse van de hoofdoorzaak de kwetsbaarheid en alle getroffen systemen kan identificeren. 
• Laat een professional de omgeving controleren op mogelijke beveiligingsupgrades. Het komt vaak voor dat een slachtoffer van ransomware een doelwit is voor een tweede aanval. Als de kwetsbaarheid niet wordt gevonden, kan deze opnieuw worden uitgebuit.

Hoe kan Secity uw bedrijf helpen om een ransomware aanval tegen te gaan?

Het team van Secity heeft al jarenlange ervaring in de IT-beveiliging. Het team zet zich iedere dag in om informatiestructuren te beveiligen en bescherming te bieden tegen hackers. Secity is daarom dé partner die u kan helpen bij het beschermen van uw bedrijf tegen ransomware aanvallen. Neem vandaag nog contact op met één van onze security experts om de mogelijkheden te bespreken.