Ransomware anno 2019

Ransomware! Het woord gonst al een aantal jaar rond in securityland. Helaas is het niet bij een hype gebleven maar is het nog steeds één van de grotere cyberdreigingen. Het jaar 2019 is nog maar net begonnen en ransomware is alweer volop in het nieuws. Bij Pinewood heeft ransomware ook de volledige aandacht. In dit artikel leggen we uit wat ransomware anno 2019 precies is en nog belangrijker: wat je er het beste tegen kan doen!

Gijzelsoftware
Als je het woord ransomware ontleedt, houd je twee onderdelen over: ‘ware’ verwijst naar het feit dat het een stuk computercode betreft. Het is in feite malafide software (malware), die kennen we al veel langer in de vorm van een virus of een worm. Het eerste gedeelte ‘ransom’ maakt het verschil. De malafide software kiest er niet voor om simpelweg schade aan te richten, in plaats daarvan wordt de data op het geraakte device versleuteld en dus gegijzeld. Tegen betaling kun je je data terugkrijgen.
Computercriminelen kunnen al heel lang met een worm of virus veel schade aanrichten, maar daar werden ze zelf niet per se beter van. Door de komst van steeds betere encryptietechnieken en processors én door de komst van lastig te traceren valuta zoals Bitcoin hebben criminelen de tooling in handen om met succes ransomware te gaan schrijven. Grote uitbraken die we kennen zijn "Wannacry" en "Notpetya" in 2017. Salliant detail is dat bij de eerste aanval dankzij gebrekkige code aan de kant van de aanvallers deze door cyberonderzoekers per ongeluk, maar wel eenvoudig onklaar was aangemaakt.

Deze gemakzuchtige aanpak lijkt inmiddels verleden tijd. De ransomware-varianten van tegenwoordig maken weinig fouten en er is bewust over nagedacht. McAfee liet begin dit jaar in een artikel over de Anatova-ransomware zien welke ‘features’ de ransomware tegenwoordig standaard heeft. Zo kiest de ransomware ervoor om sommige landen expliciet niet aan te vallen om computers daarbij te beschermen (in dit geval de voormalige Sovjet-Unie landen en nog een handvol andere). Anatova laat daarbij heel doelbewust kritische bestanden voor de werking van de PC ongemoeid. Het versleuteld alleen bestanden kleiner dan 1 MB, voor een zo snel mogelijk resultaat. Dit alles gebeurt volledig geautomatiseerd, op het moment dat het slachtoffer onbewust de applicatie met daarin de ransomware opent. Deze is vermomd als legitieme software, verspreid via bijvoorbeeld torrents.

Behalve de geautomatiseerde ransomware is er een nog gevaarlijkere categorie. Sinds 2018 gaat de SamSam-ransomware rond. Deze ransomware probeert net zoals Wannacry en Notpetya binnen te dringen binnen het netwerk via bestaande kwetsbaarheden binnen de IT-infrastructuur. De aanvallers nemen vervolgens de tijd om de infrastructuur te verkennen en de kroonjuwelen (belangrijkste data), zoals de back-ups te vinden. Vervolgens versleutelen ze specifiek die vitale bestanden. De prijs die ze vervolgens aan bedrijven vragen is eveneens uitgedacht: bij een kleine MKB-organisatie zullen ze minder geld vragen voor het ontsleutelen van de bestanden dan een grote multinational.

Zijdelings maken criminelen inmiddels ook gebruik van de ontstane angst voor ransomware, zonder daadwerkelijk ransomware te gebruiken. In 2018 zijn er meerdere campagnes geweest die ook wel "sextortion" worden genoemd. In een e-mail worden slachtoffers gewaarschuwd: de hacker heeft op de webcam mee gekeken en oneerbare opnames gemaakt toen pornografische websites werden bezocht. Om te voorkomen dat de filmpjes naar contacten worden doorgestuurd moet het slachtoffer betalen. Er zijn nooit opnames gemaakt, maar het slachtoffer denkt dat hij gegijzeld wordt en daarom zal deze alsnog betalen.

Reële risico's en maatregelen
Dat het een risico blijft, bewijst een ander nieuwsartikel: Een Belgische bakkerijspecialist heeft enkele tienduizenden euro's betaald aan aanvallers om zijn back-ups zo snel mogelijk terug te krijgen. De aanvallers gingen slim te werk. Door alle gegevens behalve de back-ups te verwijderen. De back-ups werden versleuteld. Hiermee hadden de aanvallers goud in handen, want de slachttoffers waren verplicht te betalen. Het verhaal biedt een aantal interessante inzichten over de effecten en en maatregelen van ransomware in 2019.

Het is een mooie wake-up call in het kader van awareness: Dit zou iedereen kunnen overkomen. De oorzaak wordt in eerste instantie toegeschreven aan een menselijke fout, en die komen helaas overal voor. Zo concluderen wij, maar wat kunnen we hiervan leren?

De toegevoegde waarde van crisismanagement wordt zichtbaar in dit complete verhaal: Management heeft de leiding gepakt ten opzichte van de IT-beheerders én er was direct een communicatiestructuur opgezet om medewerkers op de hoogte te houden van de stand van zaken. Het snelle schakelen binnen de organisatie zorgde ervoor dat binnen iets meer dan een dag de back-ups weer terug waren en de schade voor het platliggen van de IT-systemen beperkt bleef.

Crisisplan en preventieve maatregelen
Een menselijke fout bij het inrichten van de IT-infrastructuur kan desastreuze gevolgen hebben, tegelijkertijd zijn er een aantal preventieve maatregelen te benoemen om die gevolgen te beperken:

  • Het offline bewaren van de back-ups had voorkomen dat hackers deze op afstand konden versleutelen. Meer monitoring op essentiële elementen als de firewall is in dit geval een belangrijke maatregel.
  • Het is daarnaast aan te raden om te zorgen voor segmentatie binnen je netwerk, waardoor hackers bij het binnendringen beperkt zijn tot slechts een deel van het netwerk.
  • Zoals uit het nieuwsartikel blijkt, moet er preventief nagedacht worden over crisismanagement, als het misgaat moet duidelijk zijn wie de leiding heeft, beslissingen neemt en hoe de communicatie verloopt.

Pinewood geeft in de ‘Pinewood Protection Guide’ een uitgebreide uiteenzetting van stappen die genomen kunnen worden bij het voorkomen van ransomware binnen de IT-infrastructuur. Het is belangrijk deze maatregelen in kaart te hebben, want zoals uit bovenstaande voorbeelden blijkt: Voorkomen is een stuk goedkoper dan genezen.

U kunt de Pinewood Protection Guide opvragen via onderstaand formulier of via info@pinewood.nl.

Neem contact met mij op!

Wet - en regelgeving

Vanaf 25 mei 2018  wordt de wet Algemene Verordening Gegevensbescherming (AVG) beter bekend als GDPR van kracht....

Phishing

Uw medewerkers bewust maken van de gevaren van het internet is een continu proces.Wist u dat 5% van uw medewerkers op...

ISO27001

Steeds meer organisaties hebben te maken met complexe IT-vraagstukken. Maar wat betekent dit op het gebied van...

DDoS

Een DoS- of DDoS-aanval is er op gericht een dienstverlening (service) te verstoren, waardoor de continuïteit van uw...

Ransomware anno 2019

Ransomware! Het woord gonst al een aantal jaar rond in securityland. Helaas is het niet bij een hype gebleven maar is...