123 Automatisering



Ransomware – de handleiding

Ransomware is gevaarlijk voor u en uiterst winstgevend voor hackers, en vormt op dit ogenblik het grootste veiligheidsrisico.
De afgelopen jaren is het aantal aanvallen en infectiepogingen sterk toegenomen. Daarin komt voorlopig geen verandering: elke nieuwe versie is weer krachtiger en richt weer meer schade aan.

Wat is ransomware

Ransomware is een type malware, ofwel kwaadaardige software, die een computer blokkeert of bestanden versleutelt. Pas als je losgeld (ransom) betaalt zou je de computer of de bestanden weer kunnen gebruiken. Andere termen voor ransomware zijn cryptoware of gijzelsoftware. Na betaling, zo beweren ze, krijgt u de ontcijferingssleutel waarmee u uw bestanden kunt ontsleutelen.

Ransomware bestaat al decennia, maar de afgelopen tijd wint deze chantagemethode flink aan populariteit. Hoe kun je je ertegen wapenen en wat moet je doen als je slachtoffer wordt?

Ransomware slaat op verschillende manieren toe, maar meestal wordt software geïnstalleerd die een computer blokkeert na het openen van een malafide e-mailbijlage of het bezoeken van een gekraakte website. Om de blokkade op te heffen dient losgeld (‘ransom‘) betaald te worden, doorgaans in een lastig te traceren valuta als bitcoin. Dit maakt het moeilijk om de identiteit van de criminelen – vaak lid van Russische of Oekraïense bendes – te achterhalen.

Soorten ransomware

  1. Cryptomalware (of encryptors) komt het meest voor en kan enorm veel schade aanrichten. Niet alleen heeft WannaCry zijn slachtoffers voor meer dan 50.000 dollar afgeperst, het heeft ook duizenden levens op het spel gezet bij aanvallen op ziekenhuizen overal ter wereld, waardoor het medisch personeel geen toegang meer had tot de patiëntgegevens.
  2. Lockers infecteren het besturingssysteem en sluiten u volledig buiten. U hebt dan geen toegang meer tot uw apps en bestanden.
  3. Scareware is nepsoftware (bijvoorbeeld antivirussoftware of een opschoningsprogramma) die aangeeft dat er iets aan de hand is met uw pc en geld vraagt om het probleem op te lossen. Sommige varianten vergrendelen uw computer, andere overstelpen u met irritante waarschuwingen en pop-upberichten.
  4. Doxware (of leakware) dreigt de gestolen informatie online te publiceren als u niet betaalt. Iedereen bewaart privacygevoelige bestanden op de pc (van contracten en privédocumenten tot gênante foto’s) en het is goed te begrijpen waarom deze dreiging tot paniek kan leiden.
  5. RaaS (Ransomware as a Service) is malware en wordt anoniem gehost door een hacker die een en ander in ruil voor een deel van het losgeld afhandelt: de ransomware verspreiden, betalingen ontvangen, bestanden ontsleutelen.

Wie is nu eigenlijk een doelwit voor ransomware?

Iedereen kan doelwit worden van ransomware. WannaCry maakte bijvoorbeeld gebruik van een zwakke plek in Windows om meer dan 200.000 gebruikers zoals u te infecteren, evenals 10.000 bedrijven, overheden en organisaties over de hele wereld.

Een patch of update om dit soort problemen op te lossen is voor een gewone gebruiker meestal snel en makkelijk geregeld. Voor bedrijven en organisaties ligt dat anders. Zij gebruiken vaak aangepaste software die na een update niet meer werkt en moeten de oplossingen installeren op een groot aantal apparaten, met alle vertragingen van dien. Sommige organisaties hebben er gewoon het geld niet voor. Het budget van een ziekenhuis moet levens redden, geen computers. Maar soms vallen die twee samen, als het systeem wordt overgenomen en patiëntendossiers niet meer toegankelijk zijn.

Cybercrime vormt de grootste bedreiging voor organisaties die met vertrouwelijke gegevens werken. Dat betekent echter niet dat de gewone pc-gebruiker zich veilig kan wanen. Uw familiefoto’s of privébestanden zijn voor hackers net zo waardevol.

Hoe ransomware uw pc infecteert

“Ransomware is een vorm van malware. Malware gebruiken hackers om computersystemen te verstoren, gevoelige informatie te verzamelen, of om toegang te krijgen tot private computersystemen.
Ransomware is er specifiek op gericht om je computer te vergrendelen, om te voorkomen dat je er toegang tot hebt. Totdat het losgeld, meestal in de vorm van bitcoins, is betaald. Een ransomware-aanval begint
bijvoorbeeld bij een poging om via phishing-mails, in het systeem van het bedrijf te komen.”

  • Social engineering – een mooi woord voor trucs om mensen ertoe te bewegen malware te downloaden via een valse bijlage of koppeling. De schadelijke bestanden zien er vaak uit als gewone documenten (bestellingen, ontvangstbewijzen, rekeningen, berichten) en lijken te zijn gestuurd door een bedrijf of organisatie met een goede reputatie. Zodra u er een op uw pc downloadt en opent, zijn de poppetjes aan het dansen! U bent geïnfecteerd.
  • Malvertising  betaalde advertenties die ransomware, spyware, virussen en andere narigheid afleveren met één klik op de knop. Jawel, hackers kopen zelfs advertentieruimte op populaire websites (onder andere op sociale medianetwerken of YouTube) om uw gegevens in handen te krijgen.
  • Exploitkits – deze kant-en-klare programmacode zit netjes verpakt in een hacking tool, klaar voor gebruik. U hebt het vast al geraden: deze kits zijn eropuit zwakke plekken en beveiligingslekken in verouderde software uit te buiten.
  • Drive-by downloads – gevaarlijke bestanden waar u niet om hebt gevraagd. Er zijn schadelijke websites die misbruik maken van verouderde browsers of apps en in stilte op de achtergrond malware downloaden terwijl u een onschuldig uitziende website of video bekijkt.

Hoe u weet of u geïnfecteerd bent

Het kan beginnen met een onschuldig uitziend e-mailbericht, zogenaamd verstuurd door een bonafide bron, waarin u wordt gevraagd een factuur of een ander belangrijk document te downloaden. Hackers maskeren de werkelijke bestandsextensie zodat slachtoffers denken dat het om een pdf-, doc- of Excel-bestand gaat. In werkelijkheid is het een uitvoerbaar bestand dat op de achtergrond wordt uitgevoerd wanneer u erop klikt.

Een poosje gebeurt er niets bijzonders. U hebt nog steeds toegang tot uw bestanden en voor zover u weet werkt alles prima. Maar de malware maakt heimelijk contact met de server van de hacker en genereert een stel sleutels: een openbare sleutel waarmee uw bestanden worden versleuteld en een verborgen sleutel op de server van de hacker die wordt gebruikt om ze te ontsleutelen.

Wanneer de ransomware eenmaal op uw vaste schijf terechtkomt, hebt u niet veel tijd om uw gegevens op te slaan. Vanaf dat moment is uw bijdrage niet langer nodig. De ransomware wordt uitgevoerd en uw bestanden worden versleuteld. U merkt het pas wanneer het kwaad is geschied.

Op uw scherm verschijnt een losgeldbericht waarin wordt aangegeven hoeveel u moet betalen en hoe u het geld kunt overmaken. Wanneer de klok eenmaal tikt, hebt u gewoonlijk 72 uur de tijd om het losgeld te betalen en de prijs gaat omhoog als u de deadline niet haalt.

Intussen kunt u de versleutelde bestanden niet openen en als u dat probeert, verschijnt er een foutmelding met de mededeling dat het bestand niet kan worden geladen, dan wel beschadigd of niet geldig is.

De gevolgen van een aanval

Datalek
Op het moment dat je met ransomware te maken hebt, is er ook sprake van een datalek. In dat geval ben je voor de wet verplicht om dit te melden. Als je deze melding doet, moet je ook aangeven wat de schade is, welke data in potentie op straat ligt. Dat is bijzonder moeilijk. Het kan zijn dat de data enkel versleuteld is en de hacker hier verder niets mee heeft gedaan.

Imagoschade
“Wanneer de gelekte data informatie bevat over personen, moeten deze mensen op de hoogte worden gebracht. Imagoschade is hierdoor een voor de hand liggend gevolg”.

Financiële schade
“Wat je niet wilt is betalen aan deze criminelen. Je wilt liever niet een dergelijke organisatie financieren. Maar omdat de impact groot kan zijn, is het vaak in het bedrijfsbelang om dit toch te doen, zoals in het geval van Universiteit Maastricht. Anders konden salarissen niet worden betaald en konden er geen tentamens worden afgenomen”. “Naast de kosten die een organisatie betaalt voor de sleutel, heb je ook te maken met kosten voor het digitale recherchewerk en strikte maatregelen om dit in het vervolg te voorkomen.”

Niet operationeel
“Het kan ook zijn dat je als organisatie door deze gebeurtenis een paar weken niet operationeel kunt zijn. De data die versleuteld is, kan ook een belangrijke database treffen waardoor bedrijfsapplicaties niet meer werken en je bijvoorbeeld geen orders meer kunt doorvoeren”.

 

De oplossing: krachtige security, bewustwording en back-up

Naast het vermijden van verdachte websites, koppelingen, spam en e-mailbijlagen, zijn er in principe drie maatregelen die u kunt nemen om ervoor te zorgen dat u bij een ransomwareaanval geen bestanden kwijtraakt.

1. Maak back-ups van belangrijke bestanden

Op een externe schijf. Of in de Cloud. Of beide. Met zoveel gratis services voor opslag in de Cloud is er werkelijk geen reden om het niet te doen. Dropbox, Google Drive, Mega… kies er een uit en zorg ervoor dat u alle belangrijke documenten en foto’s veilig hebt opgeslagen. Voor extra veiligheid kunt u een service kiezen met versiebeheer. Als er dan iets akeligs gebeurt met uw account, kunt u makkelijk een eerdere versie van een en ander terugzetten.

2. Maak gebruik van een Next Gen antivirussoftware

Antivirussoftware biedt essentiële bescherming tegen alles wat het op uw computer heeft gemunt. De nieuwe oplossing van Sentinel One  bijvoorbeeld: een nieuwe generatie beveiligingssoftware die een hoger beveiligingsniveau realiseert en waarvan de gebruiker minder last heeft. SentinelOne Endpoint Protection combineert bescherming, detectie en herstel in een geïntegreerd platform.
Het Endpoint securitysplatform van SentinelOne is een alles-in-één Endpoint security oplossing die bescherming biedt tegen alle bekende en onbekende aanvallen. De kracht van deze innovatieve oplossing is dat er afwijkend gedrag wordt geïdentificeerd en dit vervolgens realtime wordt aangepakt.

3. Houd uw besturingssysteem up-to-date:

Beveiligingsupdates zijn van het allergrootste belang voor de veiligheid van uw computer. Verouderde software maakt u kwetsbaarder voor allerlei soorten malware, waaronder ransomware.

4. Maak gebruik van een Managed Firewall

Een managed firewall is een belangrijk onderdeel van te nemen maatregelen tegen ransomware.
Onze Fortinet firewalls zijn standaard voorzien van een uitstekende beveiliging module. De Fortinet Firewall is een schild voor verbindingen die niet geautoriseerd zijn voor jouw netwerk.
Dit geldt voor zowel binnenkomend als uitgaand verkeer. De Fortigate houdt het verkeer tegen een aantal criteria en beslist dan of het op het netwerk geoorloofd is.

5. Investeer in systeembeheer door een betrouwbare ICT partner

Werkplekken en het netwerk worden dagelijks gebruikt en moeten daarom ook onderhouden en gemonitord worden. Gebruikers van die werkplekken moeten met ICT vraagstukken of problemen ergens terecht kunnen en snel geholpen worden.
Bij 123AUTOMATISERING snappen we dat als geen ander. Al sinds 1997 zijn we actief in het beheren van netwerken en werkplekken zowel op locatie als op afstand.

6. Bewustwording – de menselijke Firewall

Het laatste punt maar zeker niet de minste. Bewustwording : het is ontzettend belangrijk dat er interne bewustwording is van de gevaren.
Zodat medewerkers bij iets verdachts dit melden aan de servicedesk.

Medewerkers zijn zich vaak niet bewust van de belangrijke rol die zij vervullen binnen de informatiebeveiliging van hun organisatie. Door het creëren van bewustwording (security awareness) onder uw medewerkers zijn zij het eerste wapen in de strijd tegen cybersecurity. Betrek cybersecurity ook op de thuissituatie, want ook daar moeten medewerkers bewust zijn van de risico’s.

Losgeld betalen of niet?

Het antwoord hierop is heel duidelijk.: NEE.

Investeer beter vooraf in beveiligingsoplossingen zoals een NEXT Gen Antivirus oplossing, back-up en een goede managed Firewall.