Gevaren van ransomware: waarom encryptie echt niet uw enige probleem is

Jelle Wieringa

21-05-2020

Gevaren van ransomware: waarom encryptie echt niet uw enige probleem is

Traditioneel was ransomware een Trojaans paard; een malwareprogramma dat bij het vinden van een nieuwe hostcomputer eenvoudig te werk kon gaan, alle gegevens versleutelde die het kon vinden en de gebruiker een bericht op het scherm stuurde om losgeld te betalen met behulp van een niet-traceerbare cryptocurrency. Dat was erg genoeg. Vandaag de dag is ransomware nog veel kwaadaardiger geworden en alleen een goede back-up is niet voldoende.

Analyse vóór exploitatie

Waar vroeger een enkele computer versleuteld werd en om losgeld werd gevraagd, zijn ransomware-criminelen een stuk bedachtzamer geworden en nemen ze nu de tijd om meer potentiële schade te veroorzaken en de kans op uitbetaling te vergroten. Tegenwoordig breekt de ransomware in of wordt per ongeluk geïnstalleerd. Vervolgens ‘belt hij naar huis’ en vertelt zijn baasje (de cybercrimineel) dat hij toegang heeft verkregen tot een nieuwe omgeving.

Vervolgens maakt de aanvaller, wanneer hij dat zelf wil (variërend van minuten tot vele maanden later) gebruik van de initiële root-toegang om de aangetaste organisatie verder te verkennen. De meeste ransomware-criminelen gebruiken tal van andere tools om in te breken op andere computers in hetzelfde netwerk en om bepaalde soorten gegevens te vinden.

Terwijl ze rondkijken, e-mails lezen en verzamelingen aan data vinden, zoeken ze twee dingen: (1) welke gegevens en computerbronnen de organisatie de meeste schade zouden kunnen toebrengen wanneer ze plotseling versleuteld zouden worden en (2) hoe ze een back-up kunnen maken van die gegevens en wat ze kunnen doen om dat proces te verstoren. Van ransomware-criminelen is algemeen bekend dat ze online back-ups verwijderen of coderen. Als u uw back-up online kunt vinden, dan kunnen zij dat ook.

Meer dan de helft tot driekwart van de slachtoffers betaalt losgeld

Criminelen zijn zelfs slim genoeg om erachter te komen hoeveel dagen ze aan ‘back-upcorruptie’ moeten doen om ervoor te zorgen dat het bedrijf geen kans krijgt om de gegevens zelf en dus zonder de ransomware-decoderingssleutel te herstellen. Veel organisaties denken dat ze beschermd zijn als ze sommige back-ups offline of offsite opslaan. Dit is niet altijd het geval als de crimieel die back-up kan beschadigen of versleutelen terwijl deze nog online is. Veel ransomware-slachtoffers dachten dat ze goede, solide back-ups hadden die aanvallers niet konden manipuleren, maar ze kwamen bedrogen uit.

Tegenwoordig doen ransomware-criminelen een grondige analyse zodat hun slachtoffers maximale schade hebben en operationele risico’s lopen. En ze worden er behoorlijk goed in. Waar enkele jaren geleden nog minder dan een kwart van de slachtoffers het losgeld betaalde, is dat tegenwoordig meer dan de helft tot driekwart van de slachtoffers. Sommige bedrijven die zich richten op het helpen herstellen van de activiteiten van ransomware-slachtoffers zeggen dat het nog maar zelden voorkomt dat een slachtoffer geen losgeld betaalt. Zelfs veel van de ransomware-herstelbedrijven die dachten groot succes te hebben bij het herstellen van de gegevens van een slachtoffer zonder de ransomware-decryptiesleutel te bezitten, bleken later in het geheim de ransomware-crimineel te betalen om de decryptiesleutel te ontvangen. Met andere woorden: ze logen gewoon tegen hun klant over hoe de gegevens waren hersteld.

Het is niet langer "Betaal nooit losgeld, het moedigt hen alleen aan!", maar "Betaal het losgeld, want dan ben je weken eerder up- en running en verlies je minder geld."

Stelen van bedrijfskritische data

Vroeger had ransomware minder kans van slagen als het beoogde bedrijf een echt goed en uitvoerig getest back-up- en herstelprogramma had. Het netwerk werd afgesloten, de verspreiding van schade gestopt en de getroffen systemen werden hersteld. Het bedrijf kon verder en de crimineel kwam van een koude kermis thuis.

Maar een paar jaar geleden begonnen de ransomware-criminelen met het ‘afsluiten van een aanvullende verzekering’. Ze stalen de meest bedrijfskritische data voordat ze deze versleutelden. En vervolgens dreigden ze die data openbaar te maken als ze niet werden betaald. Daar zit je dan met die geweldige databack-up. Geen enkel bedrijf wil dat zijn persoonlijke en vertrouwelijke gegevens, en intellectuele eigendom aan de rest van de wereld worden vrijgegeven.

Sony Pictures was in 2014 een van de eerste grote bedrijven waarvan interne e-mails en gegevens openbaar werden gemaakt. Denk aan e-mails van topmanagers waarin vertrouwelijke informatie werd gedeeld. Dat dergelijke informatie openbaar werd gemaakt, heeft zakelijke consequenties gehad die het bedrijf vandaag de dag nog steeds voelt. Iets om over na te denken dus. Wordt binnen uw organisatie ook op een manier over klanten en verkooptactieken gesproken waarvan u niet wil dat de klant of het grote publiek dit onder ogen krijgt? En heeft uw bedrijf intellectueel eigendom of bepaalde plannen waarvan het liever niet wil dat de concurrentie het ter ore komt?

Ransomware voor het stelen van gegevens is zelfs zo gewoon geworden dat het een eigen subklasse heeft die bekend staat als ‘data-theft ransomware’. Verschillende soorten ransomware en cybercriminelen concentreren zich er nu op.

Gelekte wachtwoorden van externe sites en services?

Brian Krebs haalt een goed voorbeeld aan van een bedrijf dat het slachtoffer werd van ransomware dat, hoewel het in eerste instantie dacht redelijk bovenop de aanval te zitten, toch een aantal nadelige gevolgen op de lange termijn ondervond.

Want nadat het bedrijf door proactief handelen de ransomware ontdekte, de verbinding met het internet had verbroken, zijn netwerkwachtwoorden had veranderd en geïnfecteerde computers had opgeschoond, bleek dat de criminelen andere aanmeldingsgegevens hadden gestolen van externe sites en services en deze waren gaan gebruiken tegen het bedrijf en zijn andere zakelijke relaties. Dit betekent dat u vanaf nu niet alleen de traditionele computer- en netwerkwachtwoorden moet wijzigen, maar ieder wachtwoord dat binnen uw bedrijf wordt gebruikt.

Phishing-e-mails naar klanten en relaties

Ransomware-criminelen verzamelen ook uw contactlijsten en lezen e-mails om erachter te komen wat ze met die informatie kunnen om de relatie die u met uw uw klanten of zakelijke partners heeft te beschadigen. Bijvoorbeeld door middel van spear phishing-e-mails die vanaf uw eigen computer worden verstuurd.

Vaak zijn het maar kleine afwijkingen in e-mails die u eerder zelf heeft verzonden. Misschien vragen ze de ontvanger om een betaling naar een nieuwe bankrekening te sturen, een nieuwe factuur te betalen, in te schrijven voor een nieuwsbrief of vragen ze de gebruiker om een nieuw document te bekijken. Hoe dan ook, zelfs als u de ransomware opruimt en uitroeit, kunnen de criminelen uw organisatie en haar goede wil gebruiken om naar verdere slachtoffers te speuren.

Kortom, ransomware-criminelen zijn wakker geworden: de toegang die ze zichzelf hebben verschaft tot een organisatie kan zoveel meer brengen dan dan alleen het versleutelen van gegevens en het verstoren van operationele processen. Wanneer ze zich binnen uw bedrijf bevinden, kunnen ze bijna alles doen wat ze willen, slechts beperkt door de hardware, software, sites, services en verbindingen waarvan uw bedrijf gebruik maakt.

Het echte probleem?

Het echte probleem is niet de ransomware en wat het doet als het eenmaal in uw organisatie zit, maar hoe het binnenkwam. Ransomware is een symptoom van een groter probleem. Het kwam in uw organisatie terecht door social engineering, phishing, niet-gepatchte software, een verkeerde configuratie, een wachtwoordaanval of een andere hoofdoorzaak, en omzeilde daarmee uw anti-malwaredetectiesoftware en elke andere vorm van verdediging die u heeft ingesteld.

Elke malware of aanval van een crimineel die door uw bestaande verdediging heen komt, duidt op een zwakke verdedigingslinie. Want ondanks dat elke ransomware-aanval ter wereld gestopt kan worden, zegt dat nog niks over de veiligheid. Wanneer criminelen en malware uw organisatie kunnen binnendringen heeft u een probleem. Het maakt dan niet uit of of het nu maar voor een paar seconden is of voor enkele maanden. Criminelen en malware kunnen alles doen wat ze willen in uw omgeving.

Wat kunt u ertegen doen?

Als u een aanval niet kunt voorkomen, is snelle, vroege detectie nodig, gevolgd door een snelle reactie op incidenten om schade te minimaliseren. Sommige organisaties die getroffen zijn door ransomware maken de fout om onmiddellijk al hun systemen te legen. Het is echter aan te raden om dit niet doen, omdat geïnfecteerde systemen namelijk nog door experts onderzocht kunnen worden om te achterhalen welk type ransomware het betreft. Dit draagt bij aan het kunnen ontcijferen van de geïnfecteerde bestanden.

Om aanvallen te voorkomen, is het aan te raden de best mogelijke technische controles en security awareness-trainingen te implementeren. Technische controles omvatten elk stuk software, hardware en service dat u implementeert om uw organisatie te beschermen tegen cyberdreigingen. Denk aan toegangscontroles, authenticatie, endpoint security, event-monitoring en back-ups.

Hoe goed deze technische controles ook zijn, vergeet uw eindgebruikers niet. U moet hen een degelijke training geven in beveiligingsbewustzijn om mogelijke bedreigingen te herkennen en correct te behandelen.

De beste training voor beveiligingsbewustzijn vindt plaats door alle werknemers te trainen in het hebben van een gezonde scepsis en het vermogen om potentieel schadelijke bedreigingen op te sporen en af te handelen. U kunt dit het beste doen door hen regelmatig te trainen (ook al is het maar vijf minuten per maand) en regelmatig gesimuleerde phishing-campagnes te sturen (minstens één keer per maand).

Door beide trainingstools te gebruiken voor het leren herkennen van de meest waarschijnlijke aanvallen, garandeert u het beste niveau van beveiligingsbewustzijn. Train en test uw medewerkers voordat criminelen dat doen.

Door: Jelle Wieringa (foto), Security Awareness Advocate bij KnowBe4

Terug naar nieuws overzicht
Security