Hoe vermijd je ransomware vandaag de dag?

dinsdag 4 februari 2020 door Michael Nuncic

Hoe vermijd je ransomware vandaag de dag?

Volgens het nieuwste rapport met bedreigingen van McAfee zijn het aantal aanvallen met ransomware in het eerste kwartaal van 2019 met 118% toegenomen. Er was niet alleen een aanzienlijke toename van het aantal incidenten, er waren geheel nieuwe soorten ransomware die dit jaar het licht zagen en cybercriminelen gebruikten innovatievere technieken om problemen te veroorzaken.

Nieuwe soorten ransomware

Cybercriminelen blijven nieuwe en innovatieve manieren bedenken om bedrijven aan te vallen door virussen te verspreiden. Spear phishing tactieken blijven een populaire keuze onder tal van hackers. Desalniettemin merkten de onderzoekers van McAfee op dat bij steeds meer aanvallen toegang wordt verkregen tot een bedrijf met open en zichtbare remote access points, zoals RDP (remote desktop protocol) en VNC (virtual network computing). Hackers krijgen vaak toegang tot deze inloggegevens doordat bedrijven RDP-clientpoorten naar internet open laten staan. Blokken IP-adressen scannen op open RDP-poorten is erg eenvoudig. Aanvallers zullen vervolgens proberen de combinatie van inlognaam en wachtwoord voor de remote desktop te forceren door alle mogelijke combinaties uit te proberen. Hackers kunnen ook RDP-inloggegevens bemachtigen op de zwarte markt of door wachtwoordlekken.

Anatova

Een van de grootste ontdekkingen in 2019 was de ransomware Anatova. Deze nieuwe soort ransomware vermomt zich als het pictogram van een game of app om de gebruiker ertoe te verleiden deze te downloaden. Het is een uiterst geavanceerde vorm van malware die zich snel aanpast en technieken voor ontwijking en verspreiding gebruikt om ontdekking te voorkomen. Vanwege het modulaire ontwerp kan deze malware geprogrammeerd worden met extra functies die bedoeld zijn om anti-ransomwaremethoden te dwarsbomen. Gelukkig heeft het McAfee Advanced Threat Research-team deze nieuwe soort ransomware begin 2019 ontdekt, voordat deze malware een grote bedreiging werd.

Dharma

De ransomware Dharma is een variant van CrySiS en bestaat al sinds 2018, maar cybercriminelen blijven met nieuwe varianten komen die onmogelijk te ontsleutelen zijn.

GandCrab

Deze schadelijke ransomware gebruikt AES-versleuteling en plaatst een bestand met de naam 'GandCrab.exe' op het systeem. GandCrab richt zich op consumenten en bedrijven met pc's waarop Microsoft Windows draait. Op 31 mei 2019 stuurden de cybercriminelen achter GandCrab een aankondiging de wereld in waarin ze zeiden dat ze alle verdere GandCrab-ransomwareaanvallen stopzetten. Ze beweerden bovendien dat ze $2 miljard aan losgeld hadden verdiend en dat ze nu van hun 'welverdiend pensioen' gingen genieten.

Ryuk

Om zo veel mogelijk geld uit een aanval te slepen, richt Ryuk zich specifiek op grote organisaties. Volgens CrowdStrike heeft Ryuk tussen augustus 2018 en januari 2019 meer dan 705,80 bitcoins opgeleverd in 52 transacties met een totale waarde van $ 3.701.893,98. Deze ransomware baarde voor het eerst opzien met een aanval op de activiteiten van Tribune Publishing tijdens de kerstperiode van 2018. Aanvankelijk dacht het bedrijf dat de aanval slechts een serverstoring was, maar al snel was duidelijk dat het de Ryuk-ransomware betrof.

Een andere term voor ransomware zoals Ryuk, die grote ondernemingen als doelwit heeft, is 'big game hunting'. Deze grootschalige aanvallen gaan gepaard met uitgebreide campagnes die specifiek worden gericht op de afzonderlijke doelwitten, waardoor de effectiviteit van de aanvallen wordt verhoogd. 'Big game hunting' vergt daarom veel meer moeite van de hacker. Deze aanvallen worden normaliter dan ook uitgevoerd in fasen. Fase één kan bijvoorbeeld een phishingaanval zijn met als doel een bedrijfsnetwerk te infecteren met malware om het systeem in kaart te brengen en cruciale doelwitten te identificeren. Fasen twee en drie zullen dan een reeks afpersings- en losgeldaanvallen/eisen zijn.

Emotet

Emotet was oorspronkelijk een vorm van malware die zich op banken richtte. De malware sloop je computer binnen en stal gevoelige privé-informatie. Emotet werd voor het eerst gesignaleerd in 2014 en heeft sindsdien verschillende versies gekend. Deze malware heeft zich geëvolueerd tot ransomware die zelfs door sommige anti-malwareproducten niet wordt gevonden. Sinds de oprichting heeft Emotet bankinloggegevens, financiële gegevens en Bitcoin-wallets gestolen van particulieren, bedrijven en overheidsinstanties in Europa en de VS.

Emotet heeft kenmerken die lijken op die van computerwormen. Hackers kunnen van deze kenmerken gebruikmaken om Emotet te verspreiden naar andere computers door middel van spammails. De spammails zien er legitiem uit en zijn opgesteld in verleidelijke taal, die het slachtoffer moet foppen en overhalen om op een link te klikken.

Emotet is een van de duurste en meest destructieve vormen van malware. Volgens het Department of Homeland Security, het Amerikaanse ministerie van binnenlandse veiligheid, kost het gemiddeld meer dan $ 1 miljoen om een Emotet-aanval op te ruimen.

Zo voorkom je ransomware

Er zijn veel zaken om rekening mee te houden in de strijd tegen ransomware. Aangezien er tegenwoordig zo veel verschillende soorten malware zijn, moet je de volgende drie belangrijke tips in het achterhoofd houden en altijd opvolgen.

1. Er gaat niets boven e-mailbeveiliging

Volgens McAfee zijn spammails nog steeds een van de belangrijkste manieren waarop ransomwarevirussen binnendringen, met name bij doelgerichte aanvallen. Daarom is het beveiligen van deze belangrijkste bron van kwetsbaarheden essentieel voor iedereen die een netwerk beheert of verbinding maakt met internet.

De meeste mensen activeren een ransomwareaanval door wat eruit ziet als een normale e-mail te openen. De e-mail bevat echter het virus in de vorm van een document, foto, video of ander type bestand. De meeste hackers hebben tegenwoordig niet veel kennis nodig om een stukje malware in een bestand in te voegen. Er zijn talloze artikelen en YouTube-tutorials met stapsgewijze instructies over hoe dit werkt.

Nu je dit weet, moet je altijd voorkomen dat je een e-mail opent van een onbekende afzender. Ontvang je een e-mail van een onbekende bron, neem dan onmiddellijk contact op met het IT-team of de data security expert van je bedrijf.

Onthoud: de IT-systemen en gegevens van je bedrijf veilig houden is altijd de juiste beslissing.

2. Maak je netwerk en IT-omgeving veilig

Ransomware die een enkele computer infecteert, is ongetwijfeld een serieus probleem. Maar wanneer ransomware zich over het hele netwerk verspreidt, kan dit niet alleen de IT-afdeling nachtmerries bezorgen, maar zelfs het hele bedrijf in gevaar brengen. Bedrijven die dit nog niet hebben gedaan, zouden moeten overwegen om software voor gegevensbeveiliging te implementeren die alle inkomende e-mails controleert voordat de beoogde ontvanger ze ontvangt. Een dergelijke oplossing zal het risico dat een virus zich binnen een bedrijfsnetwerk verspreidt, drastisch verminderen. Bovendien moeten IT-beheerders en managers overwegen om netwerkbeveiligingssoftware te implementeren, die het netwerk en de bestanden daarop automatisch controleert op bedreigingen. De oplossing waarschuwt beheerders ook als een ransomwareaanval probeert grote hoeveelheden bestanden te versleutelen via het netwerk. Wat je zeker niet mag vergeten is dat je altijd je software en besturingssystemen moet bijwerken met de nieuwste patches, zodra deze beschikbaar zijn. Zoals al zo vaak is opgemerkt, boeken hackers alleen succes met hun aanvallen als het slachtoffer gaten in zijn gegevensbeveiligingsbeleid heeft.

3. Maak je medewerkers bewust

Zelfs ervaren computergebruikers raken in paniek wanneer ze zich realiseren dat ze geconfronteerd worden met een ransomwareaanval. Het is daarom belangrijk dat elke medewerker in een bedrijf precies weet wat hij of zij moet doen als zich een ransomwareaanval voordoet, zelfs managers op hoog niveau en IT-directeuren.

Het volstaat niet om een ransomwareaanval af te doen met een paar regels in een bedrijfscontinuïteitsplan voor hoger management of IT-experts. In elk kantoor moeten nauwkeurige tips te zien zijn over wat je moet doen bij een aanval en deze tips moeten goed begrepen worden. Deze tips kunnen eenvoudig, maar toch doeltreffend zijn, bijvoorbeeld:

  • Verbreek de verbinding met internet en het interne netwerk
  • Probeer het apparaat op de juiste manier uit te schakelen of bel onmiddellijk IT-beveiliging/IT-beheer

Zowel medewerkers die zich bezighouden met IT-beveiliging als medewerkers voor IT-beheer moeten zichzelf voortdurend op de hoogte brengen van de nieuwste ontwikkelingen op het gebied van cyberbeveiliging en hacking. Het nieuwste blognieuws lezen of op de hoogte blijven van nieuwe ontwikkelingen in deze wereld en van beveiligingslekken in netwerken of softwareoplossingen is voor deze werknemers daarom absoluut onontbeerlijk.

Wat moet je doen als je het slachtoffer bent van ransomware?

Als ransomware om wat voor reden dan ook door je verdedigingslinie weet te dringen, moet je het volgende doen:

  • Betaal nooit losgeld! Het betalen van de criminelen is geen garantie dat je je gegevens terugkrijgt. In veel gevallen (zeker als het een 'ranscam' betreft of wiper malware, die alle gegevens wist) krijg je je gegevens sowieso niet terug. Aan het einde van het verhaal heb je nog steeds geen gegevens, maar wel veel minder geld!
  • Probeer de gegevens niet zelf te ontsleutelen. Sommige computerspecialisten hebben misschien de mogelijkheden om verloren gegevens te herstellen, maar dit is riskant. Als er iets misgaat, kun je je gegevens voor altijd vernietigen.

Gegevensherstel na ransomware

Vanuit het perspectief van een specialist op het gebied van data recovery is elk ransomwaregeval anders. Er is niet alleen een groot verschil in hoe ransomwarevarianten de gegevens versleutelen en zich over het netwerk verspreiden, maar ook in hoe ze zich richten op verschillende gebieden van gegevensopslagsystemen.

Sommige systemen en gegevensstructuren zijn uitdagender en kosten meer tijd om te herstellen dan andere. Omdat elk geval anders is, is het verstandig om contact op te nemen met een specialist en te vragen of deze jouw specifieke soort ransomware eerder heeft gezien. De specialist kan je vertellen of het de moeite waard is om een gegevensdrager op te sturen om te proberen de informatie daarop te herstellen. De specialist kan je ook vertellen of ze al met vergelijkbare gevallen succes hebben gehad.

De aanvallen van de afgelopen jaren tonen aan dat ransomware een serieuze bedreiging blijft voor zowel particulieren als bedrijven. Het loont daarom om je procedures voor gegevensbeveiliging, netwerkbeleid, gebruikerstraining en back-ups te herzien.

Vanuit een back-upperspectief raden we aan dat je back-ups van gegevens die onmisbaar zijn voor je bedrijf, opslaat op externe opslagapparaten die je niet op je netwerk aansluit, zoals tapes. Je moet je back-ups ook regelmatig testen op volledigheid en functionaliteit.

Als je back-ups niet werken of worden getroffen door ransomware, kun je het beste contact opnemen met een professionele aanbieder van diensten voor data recovery. Deze kan proberen je informatie van de problematische back-upmedia te herstellen of kan proberen de ransomware zelf te omzeilen om zo bij de gegevens te komen.