De complete gids voor Ransomware

Written By: Ontrack

Date Published: 30 oktober 2023 8:31:54 EDT

De complete gids voor Ransomware

  • ransomware-1

    Wat is ransomware? De complete gids

    Ransomware is een vorm van schadelijke software die is ontworpen om de toegang tot een computersysteem te blokkeren of bij doxware om de persoonlijke gegevens van een slachtoffer online te publiceren. De aanvaller eist losgeld van het slachtoffer en belooft - niet altijd naar waarheid - de toegang tot de gegevens tegen betaling te herstellen.

    Sinds de jaren tachtig zijn er verschillende ransomware-trojans verschenen. Maar de echte kansen voor aanvallers zijn toegenomen sinds de introductie van de Bitcoin. Met deze cryptocurrency kunnen aanvallers gemakkelijk geld van hun slachtoffers ontvangen zonder via traditionele kanalen te gaan.

Ransomware aanval

Een ransomware-aanval begint wanneer schadelijke software op een apparaat wordt gedownload. Het apparaat kan een laptop, smartphone of desktop computer zijn. Het downloaden van schadelijke software is vaak een fout van gebruikers of het gevolg van slechte beveiligingsprotocollen.

In de afgelopen jaren zijn phishing-aanvallen een populaire manier geworden om ransomware te verspreiden. Bij een phishingaanval voegt een cybercrimineel een geïnfecteerd document of een geïnfecteerde URL toe aan een e-mail. Dit wordt vermomd als een legitieme e-mail, in de hoop dat de ontvanger wordt misleid om deze te openen. Eenmaal geopend, wordt de ransomware op het apparaat geïnstalleerd.

De 'Trojan Horse' is een andere populaire aanvalsstijl. Dit houdt in dat ransomware online wordt vermomd als legitieme software. Nadat de gebruiker de software heeft geïnstalleerd worden de apparaten geïnfecteerd.

Zodra ransomware een systeem heeft geïnfecteerd, neemt deze belangrijke processen op het apparaat over en zoekt deze naar bestanden om te versleutelen. De ransomware kan gegevens op het apparaat door elkaar gooien of de bestanden verwijderen die het niet kan versleutelen. Alle externe apparaten die op de hostcomputer zijn aangesloten, worden ook geïnfecteerd. Het virus stuurt ook signalen naar andere apparaten op het geïnfecteerde netwerk in een poging deze ook te infecteren

Varianten van Ransomware

Er zijn veel verschillende varianten van ransomware, en er worden voortdurend nieuwe gemaakt. Hieronder staan ​​de meest terugkerende en bekende soorten ransomware:

Anatova

In 2019 werd de ransomware Anatova voor het eerst ontdekt. Deze nieuwe ransomwarefamilie vermomt zichzelf als het icoon van een game of applicatie om de gebruiker te misleiden om het te downloaden. Dit is een uiterst geavanceerde vorm van malware. Het past zich snel aan en gebruikt ontwijkings- en verspreidingstechnieken om ontdekking te voorkomen. Dankzij het modulaire ontwerp kan het extra functionaliteiten bevatten om anti-ransomwaremethoden te dwarsbomen. Gelukkig ontdekte het McAfee Advanced Threat Research-team deze nieuwe ransomwarefamilie begin 2019 voordat het een significante bedreiging werd.

Dharma

De Dharma-ransomware, een variant van CrySiS, bestaat al sinds 2018, maar cybercriminelen blijven nieuwe varianten vrijgeven, die onmogelijk te decoderen zijn.

GandCrab

Schadelijke ransomware die AES-codering gebruikt en een bestand met de naam ‘GandCrab.exe’ op het systeem plaatst. GandCrab richt zich op consumenten en bedrijven met pc's met Microsoft Windows. Op 31 mei 2019 stuurden de cybercriminelen achter GandCrab een aankondiging waarin ze zeiden dat ze alle verdere GandCrab-ransomwareaanvallen stopten en beweerden dat ze meer dan $ 2 miljard aan losgeld hadden verdiend en van een "welverdiende pensioen" gingen genieten.

Emotet

Emotet was oorspronkelijk een vorm van malware die zich op banken richtte. De malware sloop je computer binnen en stal gevoelige privé-informatie. Emotet werd voor het eerst gesignaleerd in 2014 en heeft sindsdien verschillende versies gekend. Deze malware heeft zich geëvolueerd tot ransomware die zelfs door sommige anti-malwareproducten niet wordt gevonden. Sinds de oprichting heeft Emotet bankinloggegevens, financiële gegevens en Bitcoin-wallets gestolen van particulieren, bedrijven en overheidsinstanties in Europa en de VS.

Emotet heeft kenmerken die lijken op die van computerwormen. Hackers kunnen van deze kenmerken gebruikmaken om Emotet te verspreiden naar andere computers door middel van spammails. De spammails zien er legitiem uit en zijn opgesteld in verleidelijke taal, die het slachtoffer moet foppen en overhalen om op een link te klikken.

Emotet is een van de duurste en meest destructieve vormen van malware. Volgens het Department of Homeland Security, het Amerikaanse ministerie van binnenlandse veiligheid, kost het gemiddeld meer dan $ 1 miljoen om een Emotet-aanval op te ruimen.

Ryuk

Om zo veel mogelijk geld uit een aanval te slepen, richt Ryuk zich specifiek op grote organisaties. Volgens CrowdStrike heeft Ryuk tussen augustus 2018 en januari 2019 meer dan 705,80 bitcoins opgeleverd in 52 transacties met een totale waarde van $ 3.701.893,98. Deze ransomware baarde voor het eerst opzien met een aanval op de activiteiten van Tribune Publishing tijdens de kerstperiode van 2018. Aanvankelijk dacht het bedrijf dat de aanval slechts een serverstoring was, maar al snel was duidelijk dat het de Ryuk-ransomware betrof.

Een andere term voor ransomware zoals Ryuk, die grote ondernemingen als doelwit heeft, is 'big game hunting'. Deze grootschalige aanvallen gaan gepaard met uitgebreide campagnes die specifiek worden gericht op de afzonderlijke doelwitten, waardoor de effectiviteit van de aanvallen wordt verhoogd. 'Big game hunting' vergt daarom veel meer moeite van de hacker. Deze aanvallen worden normaliter dan ook uitgevoerd in fasen. Fase één kan bijvoorbeeld een phishingaanval zijn met als doel een bedrijfsnetwerk te infecteren met malware om het systeem in kaart te brengen en cruciale doelwitten te identificeren. Fasen twee en drie zullen dan een reeks afpersings- en losgeldaanvallen/eisen zijn.

Ben ik een doelwit voor ransomware?

Geen enkele branche is veilig voor de effecten van ransomware. Helaas zijn sommige branches gevoeliger voor succesvolle aanvallen dan andere. Hiervoor zijn verschillende redenen, waaronder de technologie die ze inzetten, de beveiliging die ze hebben, identiteitsbeheer en volwassenheid van bevoegdheden, en hun algehele cyberbeveiligingsprotocollen.

Als je het nieuws leest, heb je gemerkt dat organisaties uit verschillende sectoren en industrieën het slachtoffer zijn geworden van ransomwareaanvallen. Van gezondheidszorg tot luchtvaartmaatschappijen, de aanvallers lijken geen voorkeur te hebben voor op wie ze zich richten, of toch wel?
 
Een aanvaller kiest normaal gesproken een organisatie om toe te slaan op basis van twee dingen:
  1. Kans
  2. Potentieel financieel gewin
Kans
 
Als een organisatie een klein beveiligingsteam heeft, IT-middelen mist en gebruikers heeft die veel bestanden delen, bijvoorbeeld een universiteit, dan kan een aanvaller dit als een gemakkelijk doelwit zien.
 
Potentieel financieel gewin
 
Organisaties die onmiddellijke toegang tot hun bestanden nodig hebben, bijv. Advocatenkantoren of overheidsinstanties zullen eerder geneigd zijn om snel losgeld te betalen. Organisaties met gevoelige gegevens zijn mogelijk ook bereid om te betalen om het nieuws over het datalek stil te houden.

Moet ik het losgeld betalen?

Je zou denken dat het betalen van losgeld om toegang te krijgen tot je gegevens al erg genoeg was, maar dat kan verbleken in vergelijking met de daadwerkelijke kosten van een aanval. Dit kan zijn:

  • Schade en vernietiging (of verlies) van gegevens
  • Verloren productiviteit
  • Verstoring van de normale werkzaamheden na een aanval
  • Forensisch onderzoek
  • Herstel en verwijdering van gegijzelde gegevens en systemen
  • Reputatieschade
  • Opleiding van medewerkers als directe reactie op de aanvallen

Als je met het bovenstaande rekening houdt, is het geen wonder dat de schade door ransomware naar verwachting dit jaar oploopt tot $ 11,5 miljard, met een iedere 14 seconden een aanval (vorig jaar iedere 40 seconden).

Wanneer je met cybercriminelexperts spreekt, raden de meeste je aan om het losgeld niet te betalen, aangezien het financieren van ransomwareaanvallers alleen maar helpt om het probleem in stand te houden.
 
Hoewel veel organisaties tegen dit advies ingaan door de kosten van de versleutelde gegevens af te wegen tegen het gevraagde losgeld. Vorig jaar betaalde 45% van de met ransomware getroffen bedrijven in de VS hun aanvallers. Maar waarom?!
 
Hoewel het weigeren om ransomware te betalen wordt aanbevolen door de meeste bedrijven, is weigeren te betalen misschien niet het beste geval voor het bedrijf zelf. Vooral als de kans bestaat dat het bedrijf permanent de toegang tot vitale gegevens verliest, boetes van toezichthouders oploopt of helemaal failliet gaat. De keuze tussen het betalen van een relatief bescheiden losgeld bedrag en aan het werk blijven of weigeren te betalen om andere bedrijven te helpen, is voor de meesten een no brainer.
 
In sommige gevallen van ransomware wordt het gevraagde losgeld vaak vastgesteld op een punt dat het de moeite waard is voor de aanvaller, maar zo laag dat het vaak goedkoper is dan een slachtoffer dat betaalt om zijn verloren gegevens te reconstrueren. Er worden soms ook kortingen aangeboden als het slachtoffer binnen een bepaald tijdsbestek betaalt, bijv. 3 dagen.
 
Met dat in gedachten bouwen sommige bedrijven eigenlijk reserves van Bitcoin op, speciaal voor losgeldbetalingen. Dit is vooral het geval in het VK, waar organisaties eerder geneigd lijken om losgeld te betalen. Volgens Gotham Sharma, algemeen directeur bij Exeltek Consulting Group, geeft ongeveer een derde van de middelgrote Britse bedrijven aan dat ze Bitcoin bij de hand hebben om te reageren op noodsituaties met ransomware wanneer andere opties niet onmiddellijk kunnen worden uitgeput.
 

Wat te doen als je wordt aangevallen door ransomware

 
Als je merkt dat je besmet bent door ransomware, moet je eerst uitzoeken wat voor soort ransomware het is. Als je niet voorbij een ransomware-notitie op je scherm kunt komen, ben je waarschijnlijk geïnfecteerd door ransomware met schermvergrendeling. Als je door je apps kunt bladeren, maar je bestanden, films enz. niet kunt openen, ben je getroffen door versleutelde ransomware - de ergste van de twee. Als je door je systeem kunt navigeren en al je bestanden kunt lezen, dan heb je waarschijnlijk te maken met iemand die je probeert bang te maken om te betalen (geen echte ransomware).
 
Hier is een goed blog die gedetailleerd ingaat op wat je moet doen als u wordt geraakt door zowel schermvergrendeling als versleutelde ransomware.
 

img_600x600_computer-technician
Zelfs met de beste voorzorgsmaatregelen en beleidsmaatregelen, kun je nog steeds last hebben van een aanval. In het geval dat je gegevens worden gegijzeld door Ransomware, wordt het volgende aanbevolen:
  1. Blijf kalm. Overhaaste beslissingen kunnen verder gegevensverlies veroorzaken. Als je bijvoorbeeld een infectie ontdekt en plotseling de stroom naar een server uitschakelt, in plaats van deze op de juiste manier uit te schakelen, kun je naast de geïnfecteerde gegevens ook andere gegevens verliezen.
  2. Betaal nooit het losgeld omdat aanvallers je gegevens mogelijk niet ontgrendelen. Er zijn veel gevallen van slachtoffers die het gevraagde losgeld betalen en hun gegevens niet terugkrijgen. In plaats van dit risico te lopen, zouden bedrijven moeten samenwerken met experts op het gebied van data recovery die mogelijk weer toegang kunnen krijgen tot gegevens (door reverse-engineering toe te passen op de malware).
  3. Controleer je meest recente set back-ups. Als ze in tact en up-to-date zijn, wordt het gegevensherstel gemakkelijker, door de back-up op een ander systeem te herstellen.
  4. Neem contact op met een expert om herstelopties te bekijken. Een deskundige gegevensherstelspecialist zal je scenario onderzoeken om te zien of er al een oplossing bestaat; zo niet, dan zouden ze er op tijd één moeten kunnen ontwikkelen.

Hoe je een ransomware-aanval kunt voorkomen

Ransomware varianten zijn gericht op verschillende zakelijke branches. De hoogste risicodoelstellingen zijn de gezondheidszorg, financiële instellingen en overheidsinstanties. Degenen die risico lopen, moeten voorzorgsmaatregelen nemen om hun risico te verminderen en de effecten van een aanval te verminderen.

 
Een van de belangrijkste plannen die je organisatie zou moeten hebben, is een Disaster Recovery Plan. Als je er geen hebt, is de kans groot dat de gevolgen ernstig zijn. Volgens de National Archives and Records Administration vraagt ​​93% van de bedrijven die te maken hebben met gegevensverlies en downtime gedurende tien of meer dagen binnen 12 maanden een faillissement aan.
 
Een noodherstelplan beschrijft een verscheidenheid aan scenario's om het werk snel te hervatten na een ramp, d.w.z. een ransomwareaanval. Het is een belangrijk onderdeel van het bedrijfscontinuïteitsplan van een organisatie en moet voldoende IT-herstel en preventie van gegevensverlies mogelijk maken. Een noodherstelplan beschrijft een verscheidenheid aan scenario's om het werk snel te hervatten na een ramp, d.w.z. een ransomwareaanval. Een disaster recovery plan, een belangrijk onderdeel van het bedrijfscontinuïteitsplan van een organisatie, moet toezien op een spoedig herstel en maakt preventie van gegevensverlies mogelijk.
 
Lees meer over wat op te nemen in je disaster recovery plan en het belang ervan in één van onze artikelen.

manbymonitor

Andere aanbevelingen zijn:

  1. Zorg ervoor dat je up-to-date back-ups hebt - op deze manier is het herstellen van je bestanden vanaf een back-up de snelste manier om weer toegang te krijgen tot je gegevens als er iets gebeurt.
  2. Wees voorbereid door regelmatig back-ups te testen. Organisaties moeten bekend zijn met wat er in back-uparchieven wordt opgeslagen en ervoor zorgen dat de meest kritieke gegevens toegankelijk zijn als ransomware zich richt op back-ups.
  3. Implementeer beveiligingsbeleid. Gebruik de nieuwste antivirus- en antimalwaresoftware en controleer consequent om infecties te voorkomen.
  4. Ontwikkel IT-beleid dat infecties op andere netwerkbronnen beperkt. Bedrijven moeten voorzorgsmaatregelen nemen, dus als een apparaat geïnfecteerd raakt met ransomware, ervoor zorgen dat het niet doordringt tot het hele netwerk.
  5. Geef gebruikerstrainingen, zodat alle medewerkers een mogelijke aanval kunnen herkennen. Zorg ervoor dat medewerkers op de hoogte zijn van best practices om te voorkomen dat ze per ongeluk ransomware downloaden of het netwerk openstellen voor buitenstaanders.
  6. Zorg ervoor dat je content scant en filtert op je mailservers. Scan elke inkomende e-mail op bekende bedreigingen en blokkeer alle soorten bijlagen die een bedreiging kunnen vormen.
  7. Download onze beste tips om ransomware te voorkomen.
  8. Bekijk ons ​​ransomware-webinar.

Hoe Ontrack organisaties heeft geholpen die door ransomware zijn getroffen

Bij Ontrack volgen we constant 271 verschillende soorten ransomware. Ransomware verandert en ontwikkelt zich voortdurend, dus we willen ervoor zorgen dat we de laatste veranderingen en vorderingen in de gaten houden en bestuderen. Door ransomware en zijn steeds veranderende vormen te bestuderen, is de kans groter dat we gegevens kunnen herstellen die verloren zijn gegaan als gevolg van een aanval.

We hebben momenteel coderingsmogelijkheden voor 138 soorten ransomware. Nog maar een paar jaar geleden waren dat er nog maar zes, dus we hebben een lange weg afgelegd!
 
Als het om ontoegankelijke data gaat, kun je altijd het beste contact opnemen met een expert. Als je merkt dat je wordt aangevallen door ransomware, neem dan contact op met een expert zoals Ontrack die de mogelijkheid heeft om je te helpen toegang te krijgen tot je gegevens.
 
Hieronder staan enkele voorbeelden van succesvolle gevallen van data recovery met ransomware die we hebben voltooid.

 

Abonneren

KLDiscovery Ontrack B.V., De Brand 22, 3823 LJ Amersfoort, Nederland (Bekijk alle locaties)