Al je vragen over ransomware worden hier beantwoord in onze ultieme gids. Ontrack is marktleider in het herstellen van data van ransomware-aanvallen.

Wat is ransomware? De complete gids

Ransomware is een vorm van schadelijke software die is ontworpen om de toegang tot een computersysteem te blokkeren of bij doxware om de persoonlijke gegevens van een slachtoffer online te publiceren. De aanvaller eist losgeld van het slachtoffer en belooft - niet altijd naar waarheid - de toegang tot de gegevens tegen betaling te herstellen.

Sinds de jaren tachtig zijn er verschillende ransomware-trojans verschenen. Maar de echte kansen voor aanvallers zijn toegenomen sinds de introductie van de Bitcoin. Met deze cryptocurrency kunnen aanvallers gemakkelijk geld van hun slachtoffers ontvangen zonder via traditionele kanalen te gaan.

Ransomware aanval

Ransomware aanval

Een ransomware-aanval begint wanneer schadelijke software op een apparaat wordt gedownload. Het apparaat kan een laptop, smartphone of desktop computer zijn. Het downloaden van schadelijke software is vaak een fout van gebruikers of het gevolg van slechte beveiligingsprotocollen.

In de afgelopen jaren zijn phishing-aanvallen een populaire manier geworden om ransomware te verspreiden. Bij een phishingaanval voegt een cybercrimineel een geïnfecteerd document of een geïnfecteerde URL toe aan een e-mail. Dit wordt vermomd als een legitieme e-mail, in de hoop dat de ontvanger wordt misleid om deze te openen. Eenmaal geopend, wordt de ransomware op het apparaat geïnstalleerd.

De 'Trojan Horse' is een andere populaire aanvalsstijl. Dit houdt in dat ransomware online wordt vermomd als legitieme software. Nadat de gebruiker de software heeft geïnstalleerd worden de apparaten geïnfecteerd.

Zodra ransomware een systeem heeft geïnfecteerd, neemt deze belangrijke processen op het apparaat over en zoekt deze naar bestanden om te versleutelen. De ransomware kan gegevens op het apparaat door elkaar gooien of de bestanden verwijderen die het niet kan versleutelen. Alle externe apparaten die op de hostcomputer zijn aangesloten, worden ook geïnfecteerd. Het virus stuurt ook signalen naar andere apparaten op het geïnfecteerde netwerk in een poging deze ook te infecteren.

Phishing en Doxware

Phishing

Het meest voorkomende bezorgsysteem voor ransomware is via phishing-spam: bijlagen die in de e-mail van een slachtoffer binnenkomen en zich voordoen als een bestand dat ze kunnen vertrouwen. Volgens onderzoek van een beveiligingssoftwarebedrijf, Trend Micro, begint 91% van de cyberaanvallen en vervolgs het datalek met een spear-phishing-e-mail.

Nadat de bijlage is gedownload en geopend, kan de malware de computer van het slachtoffer overnemen en enkele bestanden van de gebruiker versleutelen. Wanneer dit gebeurt, kunnen de bestanden alleen worden ontsleuteld via een sleutel die alleen bekend is bij de aanvaller.

Er hebben zich ook situaties voorgedaan waarin malware een bericht weergeeft waarin wordt beweerd dat de ‘Windows’ omgeving van de gebruiker is vergrendeld. De gebruiker wordt vervolgens aangemoedigd om een ​​"Microsoft" telefoonnummer te bellen en een zescijferige code in te voeren om het systeem opnieuw te activeren. Het bericht beweert dat het telefoongesprek gratis is, maar dit is niet waar. Terwijl de gebruiker met deze nep ‘Microsoft’ aan het bellen is, worden de kosten voor interlokale gesprekken in rekening gebracht.

Doxware

Een andere vorm van malware wordt leakware of doxware genoemd. Hier dreigt de aanvaller gevoelige gegevens vrij te geven op de harde schijf van het slachtoffer, tenzij er losgeld wordt betaald. Vaak richt de aanvaller zich op e-mails en Word-documenten. Er zijn ook mobiele varianten waarbij privéberichten, afbeeldingen en lijsten met contactpersonen van de telefoons van gebruikers worden vrijgegeven.

Het is bekend dat Doxware effectiever is dan ransomware - wat betreft het verkrijgen van het geld van het slachtoffer. Met ransomware kun je aparte back-ups maken van gegevens die niet langer toegankelijk zijn, maar met doxware kun je, als een aanvaller eenmaal informatie heeft die het slachtoffer niet openbaar wil maken, weinig anders doen dan betalen.

Varianten van Ransomware

Er zijn veel verschillende varianten van ransomware, en er worden voortdurend nieuwe gemaakt. Hieronder staan ​​de meest terugkerende en bekende soorten ransomware:

Anatova

In 2019 werd de ransomware Anatova voor het eerst ontdekt. Deze nieuwe ransomwarefamilie vermomt zichzelf als het icoon van een game of applicatie om de gebruiker te misleiden om het te downloaden. Dit is een uiterst geavanceerde vorm van malware. Het past zich snel aan en gebruikt ontwijkings- en verspreidingstechnieken om ontdekking te voorkomen. Dankzij het modulaire ontwerp kan het extra functionaliteiten bevatten om anti-ransomwaremethoden te dwarsbomen. Gelukkig ontdekte het McAfee Advanced Threat Research-team deze nieuwe ransomwarefamilie begin 2019 voordat het een significante bedreiging werd.

Dharma

De Dharma-ransomware, een variant van CrySiS, bestaat al sinds 2018, maar cybercriminelen blijven nieuwe varianten vrijgeven, die onmogelijk te decoderen zijn.

GandCrab

Schadelijke ransomware die AES-codering gebruikt en een bestand met de naam ‘GandCrab.exe’ op het systeem plaatst. GandCrab richt zich op consumenten en bedrijven met pc's met Microsoft Windows. Op 31 mei 2019 stuurden de cybercriminelen achter GandCrab een aankondiging waarin ze zeiden dat ze alle verdere GandCrab-ransomwareaanvallen stopten en beweerden dat ze meer dan $ 2 miljard aan losgeld hadden verdiend en van een "welverdiende pensioen" gingen genieten.

Emotet

Emotet was oorspronkelijk een vorm van malware die zich op banken richtte. De malware sloop je computer binnen en stal gevoelige privé-informatie. Emotet werd voor het eerst gesignaleerd in 2014 en heeft sindsdien verschillende versies gekend. Deze malware heeft zich geëvolueerd tot ransomware die zelfs door sommige anti-malwareproducten niet wordt gevonden. Sinds de oprichting heeft Emotet bankinloggegevens, financiële gegevens en Bitcoin-wallets gestolen van particulieren, bedrijven en overheidsinstanties in Europa en de VS.

Emotet heeft kenmerken die lijken op die van computerwormen. Hackers kunnen van deze kenmerken gebruikmaken om Emotet te verspreiden naar andere computers door middel van spammails. De spammails zien er legitiem uit en zijn opgesteld in verleidelijke taal, die het slachtoffer moet foppen en overhalen om op een link te klikken.

Emotet is een van de duurste en meest destructieve vormen van malware. Volgens het Department of Homeland Security, het Amerikaanse ministerie van binnenlandse veiligheid, kost het gemiddeld meer dan $ 1 miljoen om een Emotet-aanval op te ruimen.

Ryuk

Om zo veel mogelijk geld uit een aanval te slepen, richt Ryuk zich specifiek op grote organisaties. Volgens CrowdStrike heeft Ryuk tussen augustus 2018 en januari 2019 meer dan 705,80 bitcoins opgeleverd in 52 transacties met een totale waarde van $ 3.701.893,98. Deze ransomware baarde voor het eerst opzien met een aanval op de activiteiten van Tribune Publishing tijdens de kerstperiode van 2018. Aanvankelijk dacht het bedrijf dat de aanval slechts een serverstoring was, maar al snel was duidelijk dat het de Ryuk-ransomware betrof.

Een andere term voor ransomware zoals Ryuk, die grote ondernemingen als doelwit heeft, is 'big game hunting'. Deze grootschalige aanvallen gaan gepaard met uitgebreide campagnes die specifiek worden gericht op de afzonderlijke doelwitten, waardoor de effectiviteit van de aanvallen wordt verhoogd. 'Big game hunting' vergt daarom veel meer moeite van de hacker. Deze aanvallen worden normaliter dan ook uitgevoerd in fasen. Fase één kan bijvoorbeeld een phishingaanval zijn met als doel een bedrijfsnetwerk te infecteren met malware om het systeem in kaart te brengen en cruciale doelwitten te identificeren. Fasen twee en drie zullen dan een reeks afpersings- en losgeldaanvallen/eisen zijn.

Ben ik een doelwit voor ransomware?

Geen enkele branche is veilig voor de effecten van ransomware. Helaas zijn sommige branches gevoeliger voor succesvolle aanvallen dan andere. Hiervoor zijn verschillende redenen, waaronder de technologie die ze inzetten, de beveiliging die ze hebben, identiteitsbeheer en volwassenheid van bevoegdheden, en hun algehele cyberbeveiligingsprotocollen.

Als je het nieuws leest, heb je gemerkt dat organisaties uit verschillende sectoren en industrieën het slachtoffer zijn geworden van ransomwareaanvallen. Van gezondheidszorg tot luchtvaartmaatschappijen, de aanvallers lijken geen voorkeur te hebben voor op wie ze zich richten, of toch wel?

Een aanvaller kiest normaal gesproken een organisatie om toe te slaan op basis van twee dingen:

  1. Kans
  2. Potentieel financieel gewin

Kans

Als een organisatie een klein beveiligingsteam heeft, IT-middelen mist en gebruikers heeft die veel bestanden delen, bijvoorbeeld een universiteit, dan kan een aanvaller dit als een gemakkelijk doelwit zien.

Potentieel financieel gewin

Organisaties die onmiddellijke toegang tot hun bestanden nodig hebben, bijv. Advocatenkantoren of overheidsinstanties zullen eerder geneigd zijn om snel losgeld te betalen. Organisaties met gevoelige gegevens zijn mogelijk ook bereid om te betalen om het nieuws over het datalek stil te houden.

Moet ik het losgeld betalen?

Je zou denken dat het betalen van losgeld om toegang te krijgen tot je gegevens al erg genoeg was, maar dat kan verbleken in vergelijking met de daadwerkelijke kosten van een aanval. Dit kan zijn:

  • Schade en vernietiging (of verlies) van gegevens
  • Verloren productiviteit
  • Verstoring van de normale werkzaamheden na een aanval
  • Forensisch onderzoek
  • Herstel en verwijdering van gegijzelde gegevens en systemen
  • Reputatieschade

  • Opleiding van medewerkers als directe reactie op de aanvallen

Als je met het bovenstaande rekening houdt, is het geen wonder dat de schade door ransomware naar verwachting dit jaar oploopt tot $ 11,5 miljard, met een iedere 14 seconden een aanval (vorig jaar iedere 40 seconden).

Wanneer je met cybercriminelexperts spreekt, raden de meeste je aan om het losgeld niet te betalen, aangezien het financieren van ransomwareaanvallers alleen maar helpt om het probleem in stand te houden.

Hoewel veel organisaties tegen dit advies ingaan door de kosten van de versleutelde gegevens af te wegen tegen het gevraagde losgeld. Vorig jaar betaalde 45% van de met ransomware getroffen bedrijven in de VS hun aanvallers. Maar waarom?!

Hoewel het weigeren om ransomware te betalen wordt aanbevolen door de meeste bedrijven, is weigeren te betalen misschien niet het beste geval voor het bedrijf zelf. Vooral als de kans bestaat dat het bedrijf permanent de toegang tot vitale gegevens verliest, boetes van toezichthouders oploopt of helemaal failliet gaat. De keuze tussen het betalen van een relatief bescheiden losgeld bedrag en aan het werk blijven of weigeren te betalen om andere bedrijven te helpen, is voor de meesten een no brainer.

In sommige gevallen van ransomware wordt het gevraagde losgeld vaak vastgesteld op een punt dat het de moeite waard is voor de aanvaller, maar zo laag dat het vaak goedkoper is dan een slachtoffer dat betaalt om zijn verloren gegevens te reconstrueren. Er worden soms ook kortingen aangeboden als het slachtoffer binnen een bepaald tijdsbestek betaalt, bijv. 3 dagen.

Met dat in gedachten bouwen sommige bedrijven eigenlijk reserves van Bitcoin op, speciaal voor losgeldbetalingen. Dit is vooral het geval in het VK, waar organisaties eerder geneigd lijken om losgeld te betalen. Volgens Gotham Sharma, algemeen directeur bij Exeltek Consulting Group, geeft ongeveer een derde van de middelgrote Britse bedrijven aan dat ze Bitcoin bij de hand hebben om te reageren op noodsituaties met ransomware wanneer andere opties niet onmiddellijk kunnen worden uitgeput.

Wat te doen als je wordt aangevallen door ransomware

Als je merkt dat je besmet bent door ransomware, moet je eerst uitzoeken wat voor soort ransomware het is. Als je niet voorbij een ransomware-notitie op je scherm kunt komen, ben je waarschijnlijk geïnfecteerd door ransomware met schermvergrendeling. Als je door je apps kunt bladeren, maar je bestanden, films enz. niet kunt openen, ben je getroffen door versleutelde ransomware - de ergste van de twee. Als je door je systeem kunt navigeren en al je bestanden kunt lezen, dan heb je waarschijnlijk te maken met iemand die je probeert bang te maken om te betalen (geen echte ransomware).

Hier is een goed blog die gedetailleerd ingaat op wat je moet doen als u wordt geraakt door zowel schermvergrendeling als versleutelde ransomware.

 

Zelfs met de beste voorzorgsmaatregelen en beleidsmaatregelen, kun je nog steeds last hebben van een aanval. In het geval dat je gegevens worden gegijzeld door Ransomware, wordt het volgende aanbevolen:

  1. Blijf kalm. Overhaaste beslissingen kunnen verder gegevensverlies veroorzaken. Als je bijvoorbeeld een infectie ontdekt en plotseling de stroom naar een server uitschakelt, in plaats van deze op de juiste manier uit te schakelen, kun je naast de geïnfecteerde gegevens ook andere gegevens verliezen.
  2. Betaal nooit het losgeld omdat aanvallers je gegevens mogelijk niet ontgrendelen. Er zijn veel gevallen van slachtoffers die het gevraagde losgeld betalen en hun gegevens niet terugkrijgen. In plaats van dit risico te lopen, zouden bedrijven moeten samenwerken met experts op het gebied van data recovery die mogelijk weer toegang kunnen krijgen tot gegevens (door reverse-engineering toe te passen op de malware).
  3. Controleer je meest recente set back-ups. Als ze in tact en up-to-date zijn, wordt het gegevensherstel gemakkelijker, door de back-up op een ander systeem te herstellen.
  4. Neem contact op met een expert om herstelopties te bekijken. Een deskundige gegevensherstelspecialist zal je scenario onderzoeken om te zien of er al een oplossing bestaat; zo niet, dan zouden ze er op tijd één moeten kunnen ontwikkelen.
Ransomware technicus

Hoe je een ransomware-aanval kunt voorkomen

Ransomware varianten zijn gericht op verschillende zakelijke branches. De hoogste risicodoelstellingen zijn de gezondheidszorg, financiële instellingen en overheidsinstanties. Degenen die risico lopen, moeten voorzorgsmaatregelen nemen om hun risico te verminderen en de effecten van een aanval te verminderen.

Een van de belangrijkste plannen die je organisatie zou moeten hebben, is een Disaster Recovery Plan. Als je er geen hebt, is de kans groot dat de gevolgen ernstig zijn. Volgens de National Archives and Records Administration vraagt ​​93% van de bedrijven die te maken hebben met gegevensverlies en downtime gedurende tien of meer dagen binnen 12 maanden een faillissement aan.

Een noodherstelplan beschrijft een verscheidenheid aan scenario's om het werk snel te hervatten na een ramp, d.w.z. een ransomwareaanval. Het is een belangrijk onderdeel van het bedrijfscontinuïteitsplan van een organisatie en moet voldoende IT-herstel en preventie van gegevensverlies mogelijk maken. Een noodherstelplan beschrijft een verscheidenheid aan scenario's om het werk snel te hervatten na een ramp, d.w.z. een ransomwareaanval. Een disaster recovery plan, een belangrijk onderdeel van het bedrijfscontinuïteitsplan van een organisatie, moet toezien op een spoedig herstel en maakt preventie van gegevensverlies mogelijk.

Lees meer over wat op te nemen in je disaster recovery plan en het belang ervan in één van onze artikelen.
data-management-problem

 

Andere aanbevelingen zijn:

  1. Zorg ervoor dat je up-to-date back-ups hebt - op deze manier is het herstellen van je bestanden vanaf een back-up de snelste manier om weer toegang te krijgen tot je gegevens als er iets gebeurt.
  2. Wees voorbereid door regelmatig back-ups te testen. Organisaties moeten bekend zijn met wat er in back-uparchieven wordt opgeslagen en ervoor zorgen dat de meest kritieke gegevens toegankelijk zijn als ransomware zich richt op back-ups.
  3. Implementeer beveiligingsbeleid. Gebruik de nieuwste antivirus- en antimalwaresoftware en controleer consequent om infecties te voorkomen.
  4. Ontwikkel IT-beleid dat infecties op andere netwerkbronnen beperkt. Bedrijven moeten voorzorgsmaatregelen nemen, dus als een apparaat geïnfecteerd raakt met ransomware, ervoor zorgen dat het niet doordringt tot het hele netwerk.
  5. Geef gebruikerstrainingen, zodat alle medewerkers een mogelijke aanval kunnen herkennen. Zorg ervoor dat medewerkers op de hoogte zijn van best practices om te voorkomen dat ze per ongeluk ransomware downloaden of het netwerk openstellen voor buitenstaanders.
  6. Zorg ervoor dat je content scant en filtert op je mailservers. Scan elke inkomende e-mail op bekende bedreigingen en blokkeer alle soorten bijlagen die een bedreiging kunnen vormen.
  7. Bekijk ons ​​ransomware-webinar.

Hoe Ontrack organisaties heeft geholpen die door ransomware zijn getroffen

Bij Ontrack volgen we constant 271 verschillende soorten ransomware. Ransomware verandert en ontwikkelt zich voortdurend, dus we willen ervoor zorgen dat we de laatste veranderingen en vorderingen in de gaten houden en bestuderen. Door ransomware en zijn steeds veranderende vormen te bestuderen, is de kans groter dat we gegevens kunnen herstellen die verloren zijn gegaan als gevolg van een aanval.

We hebben momenteel coderingsmogelijkheden voor 138 soorten ransomware. Nog maar een paar jaar geleden waren dat er nog maar zes, dus we hebben een lange weg afgelegd!

Als het om ontoegankelijke data gaat, kun je altijd het beste contact opnemen met een expert. Als je merkt dat je wordt aangevallen door ransomware, neem dan contact op met een expert zoals Ontrack die de mogelijkheid heeft om je te helpen toegang te krijgen tot je gegevens.

Hieronder staan enkele voorbeelden van succesvolle gevallen van data recovery met ransomware die we hebben voltooid.

 

icon

Begin direct met het herstellen van uw gegevens!

Neem direct contact op met ons team van experts. Ontrack data recovery is geschikt voor iedereen - van de grootste bedrijven en overheidsinstellingen tot de consument die digitale foto's kwijt is geraakt.

0800 4 200 008 Neem contact op