ICT Trends en Ontwikkelingen
Meer weten? Download het trendrapport! Download

Bent u al gegijzeld door ransomware?

Volgens het Witte Huis is er geen twijfel over mogelijk dat Noord-Korea achter de grootschalige WannaCry-besmetting van eerder dit jaar zat. Veel bedrijven wereldwijd zijn getroffen door de ransomware-aanvallen WannaCry en Petya met vele miljoenen schade als gevolg. Om niet het volgende slachtoffer te worden van een nieuwe aanval is het raadzaam uw netwerk op een juiste manier te beveiligen. Weet u hoe u uw organisatie beschermt tegen ransomware?

Losgeld

Ransomware is de nieuwste trend onder cybercriminelen. Letterlijk betekent ransomware het vrijlaten tegen betaling van losgeld; oftewel gijzeling. Bij de meest voorkomende vorm van ransomware gijzelen cybercriminelen met behulp van malware bestanden op je pc. Ze versleutelen deze bestanden en geven ze pas weer vrij als je ervoor betaalt. Daarnaast komt het ook voor dat cybercriminelen je desktop gijzelen. In dat geval is je pc volledig uitgeschakeld tot je een bedrag betaalt. De meeste ransomware varianten vragen om met bitcoins te betalen en bieden meteen een kans om deze in te kopen.

In veel gevallen verschijnt er na een ransomware aanval een scherm met een bericht dat zogenaamd verstuurd is vanuit de Politie, Interpol, Europol of een andere veiligheidsinstantie. Hierin staat dat u zich schuldig hebt gemaakt aan een misdrijf en spoedig moet betalen. Het bericht is natuurlijk niet afkomstig van de politie, maar van cybercriminelen en het is nog maar de vraag of u na betaling weer kunt beschikken over uw bestanden of desktop.

politie-nederland-ransomware-virus

Figuur 1. Ransomware in Nederland (www.pcrisk.nl).

Hoe werkt ransomware precies?

Een ransomware aanval begint altijd met een malifide email (phishing) of een besmette advertentie (malvertising) met link op het internet. Deze phishing mails zijn allemaal verstuurd door zogenaamde Botnets. Dit zijn zelfstandig opererende softwarerobots, geïnstalleerd op de pc van waaruit deze emails of andere vormen van spam automatisch worden verstuurd.

Nadat een gebruiker al dan niet perongeluk heeft geklikt op één van deze besmette links, verspreidt zich een Exploit kit op je pc. Exploit kits zijn geautomatiseerde toolkits speciaal ontworpen om de webbrowser van een potentieel slachtoffer te doorgronden, op zoek naar een zwakke plek. Exploit kits buiten deze zwakke plek vervolgens uit door een malifide payload naar de pc te sturen. Exploit kits zitten vaak gewoon verstopt achter legitieme websites of ze kopen advertentieruimte in. De meest bekende Exploit kit is Angler (in 2015 door Cisco uitgeschakeld), met bijna 800.000 slachtoffers. Slachtoffers die zich nietsvermoedend met één klik in de nesten hebben gewerkt.

Schermafbeelding 2016-07-29 om 16.34.20

Figuur 2. De grote toename aan ransomware varianten door de jaren heen.

Encryptie en decryptie

De malafide payload die door een exploit kit naar pc’s worden verstuurd wordt, versleutelen bestanden of zelfs je hele desktop. Deze versleuteling noemen we ook wel encryptie. Om weer toegang te krijgen tot deze bestanden (decryptie) heb je een ‘sleutel’ nodig. Deze sleutel bestaat uit een public en private key. De public key is voor iedereen zichtbaar. De private key, waarmee je de bestanden kunt ontcijferen, is echter alleen in handen van cybercrimenelen. En zij beloven deze private key alleen prijs te geven als je eerst een bepaald bedrag losgeld (meestal in de vorm van bitcoins) overmaakt.

TeslaCrypt

Ransomware variant TeslaCrypt (versie 3.0.1; eind 2015) was de eerste die erin slaagde min of meer onkraakbaar te worden. Cisco’s beveiligingsintelligentie team Talos beschrijft in een blog op een technische manier hoe TeslaCrypt 3.0.1 gebruik maakt van een sterk verbeterde encryptie-methode. Uiteindelijk gaf TeslaCrypt zelf de private key vrij, waarmee alle gegijzelde bestanden konden worden teruggehaald. Waarom ze dat hebben gedaan is nog steeds niet duidelijk. Waarschijnlijk vonden de cybercriminelen achter TeslaCrypt dat er genoeg slachtoffers waren gevallen.

Cisco-infographic_Ransomware-1

Figuur 3. IT managers zien ransomware als een zeer serieuze bedreiging (cijfers: Webroot).

Wees alert en maak back-ups!

Hoe groter en succesvoller cybercriminelen Ransomware activiteiten kunnen ontplooien, hoe groter ook de kans dat uw pc wordt gegijzeld. Om uw pc en bedrijfsdata zo goed mogelijk te beschermen, is het belangrijk dat u zich bewust bent van het feit dat een ransomware aanval ook u kan besmetten. Wees dus alert en laat uw personeel een security awareness training volgen. Daarnaast kunt u zelf de volgende belangrijke voorzorgsmaatregelen treffen:

  • Regelmatig (offline) back-ups maken.
  • Firewall aanzetten op endpoints.
  • Regelmatig je software updates uitvoeren.
  • Raadt uw medewerkers ten strengste af om dataverkeer op een openbaar wifi netwerk te genereren.
  • Gebruik Windows System Restore om je systeem terug te zetten in known-clean status als je bent geïnfecteerd met Ransomware.
  • Ransomware arriveert vaak op je pc in een .EXE Zet een .EXE-filter aan in je mailbox en zorg dat je verborgen file-extenties altijd zichtbaar zijn.

Geïntegreerde Security Aanpak

Behalve deze voorzorgsmaatregelen biedt een geïntegreerde security aanpak van Cisco uitkomst. Cisco is erin geslaagd om veel vormen van ransomware een halt toe te roepen met een effectieve combinatie van een Next-Generation Firewall, OpenDNS Umbrella, Advanced Malware Protection for Endpoints (AMP) en Cognitive Threat Analytics (CTA, zie figuur 3).

Met name de combinatie van Cisco’s OpenDNS Umbrella en AMP for Endpoints is belangrijke ontdekking. Veel ransomware vertrouwt namelijk op DNS voor de encryptie van bestanden. Dankzij AMP voor endpoints heeft u controle vóór, tijdens en na een ransomware aanval.

Schermafbeelding 2016-07-28 om 15.39.53

Figuur 4. Cisco beschermt uw data door bescherming te bieden in elk stadium van een ransomware aanval.

Wel of niet betalen?

In de praktijk is gebleken dat cybercriminelen in veel gevallen de gestolen data gewoon vrijgeven na betaling. Dit komt omdat ransomware voor cybercriminelen ook een vorm van ‘business’ is en ze gebaat zijn bij een zekere vorm van betrouwbaarheid en een ‘goed’ imago. Dit zorgt er nu eenmaal voor dat slachtoffers sneller tot betaling van de payload overgaan. Ze weten immers dat ze dan een kans hebben de data terug te krijgen.

En dat is meteen het lastige. Van alle hoeken wordt u aanbevolen niet in te gaan op de betalingsregeling. Maar wat zijn die bestanden voor u waard? Met de nodige security awareness, de juiste voorzorgsmaatregelen en een geïntegreerde security aanpak van Cisco hoeft u die lastige keuze niet te maken.

Meer trends op het gebied van Cybersecurity? Download het trendrapport.

  • Wij verwerken uw gegevens conform het privacy beleid van TDConnect.

Lees ook

Reacties (0)

Gelieve in te loggen

Je moet inloggen om een reactie te kunnen plaatsen.