Ransomeware

Wat is ransomware?

Ransomware is malware die specifiek is ontwikkeld om data, hele systemen of netwerken te gijzelen. Met gijzelen wordt in dit geval bedoeld dat de gegevens en applicaties geblokkeerd worden voor de gebruikers en de beheerders. Het doel van de ransomware of gijzelsoftware is concreet om een losgeld te vragen. Het slachtoffer – dat kan een individu zijn maar vaak ook een organisatie – moet een bedrag betalen om weer toegang te kunnen krijgen tot de gegevens of systemen. Gebruikers krijgen een tekst in beeld dat het systeem is gehackt of gegijzeld, en de eigenaar van het systeem ontvangt instructies hoe het losgeld moet worden betaald. Om te voorkomen dat de criminelen traceerbaar zijn, gaat de betaling vaak in de vorm van bitcoins of andere crypto-currencies.

Ransomware is op dit moment de meest voorkomende en meest lucratieve vorm van cybercrime wereldwijd, zo stelt onder andere Cyber Veilig, een IT branchevereniging op het gebied van cybersecurity, in een recente whitepaper.[1]  En in haar Cybersecuritybeeld Nederland 2023 verwacht de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) dat cybercriminelen een prominent aandeel blijven vormen van verstorende cyberaanvallen in Nederland, “vooral met ransomware-aanvallen”. NCTV geeft ook aan dat bij ransomware-aanvallen enorme geldbedragen worden geëist en soms ook betaald. Het gaat daarbij niet alleen om bedrijven, ransomware-bendes richten zich steeds vaker op overheidsorganisaties en kritische infrastructuur. Alleen al het feit dat in het rapport van 68 pagina’s de term ransomware 114 keer wordt genoemd, zegt genoeg.[2]

Wat voor soorten ransomware zijn er?

Op hoofdlijnen zijn er twee soorten ransomware:

• Locker-ransomware zorgt dat gebruikers geen toegang meer krijgen tot hun gegevens en applicaties, vaak door het besturingssysteem te blokkeren. De gegevens zijn op zich nog intact, maar niet langer toegankelijk. De hacker vraagt om een betaling om het systeem te deblokkeren.
• Een zogenaamde cryptor gaat een stap verder. Met deze malware worden alle data op de geïnfecteerde systemen versleuteld met behulp van encryptie algoritmes. Deze encryptie-software is de meeste gebruikte ransomware en de hacker eist betaling om de gegevens weer te ontsleutelen.

De meest geavanceerde varianten beperken zich bovendien niet tot de direct geïnfecteerde systemen. Via bedrijfsnetwerken gijzelen ze ook gegevens die in andere systemen en in de cloud zijn opgeslagen. Bovendien wordt zulke ransomware tegenwoordig ook als ‘dienst’ aangeboden aan andere criminelen.

Wat voor schade kan een ransomware aanval brengen?

In onze gedigitaliseerde maatschappij is de schade van ransomware enorm:

• Uiteraard is er het losgeld zelf. Hierbij gaat het bij bedrijven al snel over miljoenen, maar experts beschouwen het betalen van losgeld als laatste redmiddel. Allereerst is het risico groot dat je zonder verdere maatregelen in no-time opnieuw wordt gehackt. Maar ook wordt er soms doodleuk een hoger bedrag gevraagd of blijkt men voor niets te hebben betaald omdat de decryptie software niet goed werkt.
• Financieel kan de schade enorm zijn omdat steeds meer organisaties en bedrijven feitelijk tot stilstand komen door zo’n ransomware aanval; bijna alle processen zijn vandaag de dag immers deels of volledig gedigitaliseerd.
• De impact is nog groter als jouw organisatie een dienstverlener is. Een fabriekshal die een dag niet kan draaien is al rampzalig maar de impact van een bank, gemeente of ziekenhuis is nog veel ingrijpender omdat direct de cliënten worden benadeeld. Zoiets kan zelfs tot faillissementen leiden.
• Onderschat tenslotte ook niet de impact van de reputatieschade. Zelfs al zou je de financiële impact kunnen beperken, je wilt niet het nieuws halen met een succesvolle ransomware aanval.

Hoe herken je ransomware?

Je herkent ransomware uiteraard als de malware is geactiveerd. Je kunt niet meer bij bestanden of hebt al een eis ontvangen voor het losgeld. In dat geval is de aanval al uitgevoerd en gaat het erom de schade te beperken, maatregelen te nemen en zo snel mogelijk weer ‘up en running’ te komen. Maar er zijn ook voorafgaand aan zo’n aanval soms aanwijzingen dat er iets aan de hand is met je IT omgeving. Die wijzen wellicht niet specifiek op ransomware maar het is altijd goed om zo snel mogelijk te reageren. Denk bijvoorbeeld aan:

• Slechtere systeemprestaties. Bij ransomware vallen vaak de vele geheugenactiviteiten op omdat de gijzelsoftware grote hoeveelheden bestanden aan het versleutelen is.
• In het verlengde daarvan valt vaak op dat er veel meer netwerkcommunicatie is, bijvoorbeeld om documenten te kopiëren naar een server van de aanvaller.
• Als je IT beheerders via hun task manager software en configuratietools onbekende bestanden en nieuwe processen ontdekken, kan ook dat duiden op een ransomware infectie.
• En uiteraard is het dan ook belangrijk om de waarschuwingen vanuit de beveiligingssoftware actief te volgen, met name van je antivirus- of anti-malware software. Zulke software voorkomt al veel besmettingen maar een goede follow-up is belangrijk om nieuwe pogingen te voorkomen.

Tips om ransomware aanvallen te voorkomen

Bij je ransomware preventie is het belangrijk om te werken aan een zogeheten in-depth beveiliging. Je deelt je netwerk bijvoorbeeld op in verschillende netwerksegmenten zodat aanvallers veel moeite moeten doen om binnen te komen. Ransomware aanvallen hebben een financieel doel. Hackers maken de rekensom wat er te verdienen is (hoe gevoelig zijn de gegevens?) en hoeveel moeite ze daarvoor moeten doen. Is die balans ongunstig dan gaan ze verder naar het volgende slachtoffer. Specifieke aandachtspunten zijn bijvoorbeeld:

• Voorkom dat hackers binnen kunnen komen via gebruikersaccounts om hun ransomware snel te verspreiden. Dat begint met een modern Identity en Access Management, op basis van een Zero Trust strategie en met geautomatiseerd rechtenbeheer. Zo voorkom je een nodeloze opstapeling van toegangsrechten.
• Ook moet je voorkomen dat gebruikers gebruikersnamen en wachtwoorden kwijtraken via phishing. Daar zijn technische hulpmiddelen voor, maar vooral actieve bewustwording van het personeel is cruciaal.
• Daarnaast moet je stevig inzetten op een goed vulnerability management, patch management en segmentering. Je zorgt dus dat nieuw kwetsbaarheden in software zo snel mogelijk worden opgelost en door segmentering voorkom je dat zwakke plekken direct je hele IT omgeving besmetten. Ook een actieve netwerkmonitoring helpt je om ‘vervuiling’ van je IT-omgeving te voorkomen en door je beheerinterfaces te ‘hardenen’ voorkom je misbruik van je beheersystemen.
• Zorg ook dat er niet zomaar software binnen je IT omgeving kan worden geïnstalleerd. Dat varieert van macro’s in je officebestanden tot en met zogenaamde shadow IT waarbij medewerkers ongecontroleerd eigen software installeren.
• Ook het filteren van het verkeer van en naar je webbrowsers is belangrijk om besmetting vanaf malafide websites te voorkomen.
• En beperk tenslotte het gebruik van USB apparaten. Er zijn volop voorbeelden van organisaties met uitstekende beveiligingssystemen, maar waar je tegelijkertijd ongecontroleerd een USB stick met malware in de eerste beste printerpoort kunt steken.

Deze tips helpen je te voorkomen dat je slachtoffer wordt van ransomware. Tegelijkertijd is het goed om na te denken wat je moet doen als je wél het slachtoffer wordt van ransomware. Zorg voor dat geval dat je vast hebt nagedacht over je back-up strategie.

Tips bij een ransomware aanval

Want bij een ransomware aanval is jouw back-up strategie cruciaal. Zeker bij een grotere aanval stel je direct je calamiteitenplan in werking, sluit je de netwerkomgeving af voor de buitenwereld en ga je met je cybersecurity experts aan de slag om de oorzaak te vinden en de problemen op te lossen. Ook is het belangrijk om aangifte te doen en – bij datalekken bijvoorbeeld – zorgen dat klanten, partners en bijvoorbeeld toezichthouders worden geïnformeerd.

Maar om zo snel mogelijk de organisatie weer draaiend te krijgen, heb je een vooral een goede roll-back nodig vanuit je back-ups. Onder andere de Nationaal Cyber Security Centrum (NCSC) geeft uitgebreide adviezen voor zo’n back-up strategie, bijvoorbeeld met de 3-2-1-1 regel.[3] Deze back-up strategie houdt in dat je altijd minimaal drie verschillende kopieën moet opslaan van je van je data en applicaties. Voor die back-ups moet je minimaal twee verschillende gegevensdragers gebruiken, waarbij er bovendien één op een andere locatie wordt opgeslagen en er ook één offline kopie beschikbaar blijft.

Meer tips om ransomware aanvallen te voorkomen?

Zoals beschreven vraagt de preventie tegen ransomware om een brede benadering, variërend van goede anti-malware tools tot de juiste back-up strategie. Eén andere beveiligingsschakel die we noemden, is een modern Identity en Access Management. Een van de simpelste manieren om ransomware te installeren en verspreiden is via reguliere gebruikersaccounts of – nog gevaarlijker – beheeraccounts. Met moderne IAM oplossingen beveilig je de toegang tot je netwerk optimaal en zorg je ook dat gebruikers nooit meer toegangsrechten krijgen dan strikt noodzakelijk. Zo voorkom je de toegang van cybercriminelen en mochten ze alsnog toegang krijgen, beperk je zoveel mogelijk de impact. Onze consultants vertellen je er graag meer over.

[1] https://cyberveilignederland.nl/upload/userfiles/files/CVNL_Ransomware_def.pdf

[2] https://www.rijksoverheid.nl/documenten/rapporten/2023/07/03/tk-bijlage-cybersecuritybeeld-nederland-2023

[3] https://www.ncsc.nl/wat-kun-je-zelf-doen/documenten/factsheets/2020/juni/30/factsheet-ransomware