Wat is ransomware?

Ransomware is een subset van malwareKlik op het woord voor de betekenis waarbij de gegevens op de computer van het slachtoffer worden vergrendeld – meestal door middel van encryptie – en betaling wordt geëist voordat de vrijgekochte gegevens worden ontcijferd en de toegang wordt teruggegeven aan het slachtoffer. Het motief voor ransomware-aanvallen is meestal financieel en, in tegenstelling tot andere soorten aanvallen, wordt het slachtoffer meestal op de hoogte gebracht van een exploit en krijgt het instructies voor het herstellen van de aanval. Er wordt vaak een betaling geëist in een virtuele valuta, zoals bitcoin, zodat de identiteit van de cybercrimineel niet bekend is.

Ransomware-malware kan worden verspreid via schadelijke e-mailbijlagen, geïnfecteerde software-apps, geïnfecteerde externe opslagapparaten en gecompromitteerde websites. Aanvallen hebben ook gebruik gemaakt van remote desktop protocol en andere benaderingen die niet afhankelijk zijn van enige vorm van gebruikersinteractie.

Hoe ransomware-aanvallen werken

Ransomwarekits op het deep web hebben cybercriminelen in staat gesteld om softwaretools aan te schaffen en te gebruiken om ransomware met specifieke eigenschappen te maken. Ze kunnen deze malware vervolgens genereren voor hun eigen distributie, met losgeld dat aan hun bitcoin-accounts wordt betaald. Het is nu zelfs mogelijk voor mensen met weinig of geen technische achtergrond om goedkope ransomware as a service (RaaS) te bestellen en met minimale inspanning aanvallen te lanceren. In een RaaS-scenario incasseert de provider de ransombetalingen en neemt hij een percentage vooraleer de opbrengst aan de gebruiker van de dienst te verdelen.

Soorten ransomware

Screen lockers en encryptie ransomware zijn de twee belangrijkste soorten ransomware. Als je het verschil tussen deze twee weet, weet je beter wat je moet doen in het geval van een infectie.

Screen lockers vergrendelen gebruikers volledig uit hun computer totdat er een betaling is gedaan. Screen lockers ontzeggen een gebruiker de toegang tot het toegebrachte systeem en de bestanden; de gegevens zijn echter niet versleuteld. In Windows-systemen blokkeert een screen locker ook de toegang tot systeemonderdelen zoals Windows Taakbeheer en de Register-Editor. Het scherm is vergrendeld totdat de betaling is gedaan. Meestal krijgt het slachtoffer instructies voor de betaling. Screen lockers proberen de gebruiker ook te misleiden om te betalen door zich voor te doen als een officiële overheidsorganisatie.

Encryptie ransomware is een van de meest effectieve vormen van ransomware vandaag de dag. Een aanvaller krijgt toegang tot de gegevens van het slachtoffer en versleutelt deze, waarbij hij om betaling vraagt om de bestanden te ontgrendelen. Aanvallers gebruiken complexe versleutelingsalgoritmen om alle gegevens die op het apparaat zijn opgeslagen te versleutelen. Op het toegebrachte systeem wordt meestal een notitie achtergelaten met informatie over hoe de versleutelde gegevens na betaling kunnen worden opgehaald. Vergeleken met screen lockers brengt encryptie ransomware de gegevens van het slachtoffer directer in gevaar en is er geen garantie dat de gegevens na onderhandeling terugkeren naar het slachtoffer.

In beide gevallen kan het slachtoffer een pop-upbericht of een losgeldbrief per e-mail ontvangen waarin wordt gewaarschuwd dat als het gevraagde bedrag niet voor een bepaalde datum wordt betaald, de privé-sleutel, die nodig is om het apparaat te ontgrendelen of de bestanden te ontcijferen, zal worden vernietigd.

Ransomware-doelen

Ransomware targets kunnen variëren van één individu, een klein tot middelgroot bedrijf, een organisatie op ondernemingsniveau of een hele stad. In 2018 bijvoorbeeld, gebruikte het SamSam ransomware-virus een brute-force aanvalKlik op het woord voor de betekenis om zwakke wachtwoorden te raden die belangrijke infrastructuur in de stad Atlanta bewaakten. Toepassingen die de bewoners gebruikten om rekeningen te betalen en toegang te krijgen tot informatie over de rechtbank werden afgesloten, waardoor er grote verschuivingen in de infrastructuur van de stad ontstonden. Het resultaat was onnoemelijk veel gecompromitteerde gegevens en miljoenen dollars aan herstelkosten.

De Universiteit van Maastricht was eerder dit jaar slachtoffer geworden van een grote ransomware-aanval. Windows-computers waren niet meer toegankelijk en sommige websites van de universiteit waren uit de lucht. Ook e-mailen gaf problemen. Het ging om een aanval met de zogenoemde Clop-ransomware. Uiteindelijk heeft de universiteit een paar ton aan losgeld betaald om weer toegang te krijgen tot de verschillende systemen.

Openbare instellingen zijn bijzonder kwetsbaar voor ransomware omdat ze de cybersecurityKlik op het woord voor de betekenis missen om zich adequaat te verdedigen tegen ransomware. Hetzelfde geldt voor kleine tot middelgrote bedrijven. Naast matige cybersecurity hebben openbare instellingen onvervangbare gegevens die hen kunnen verlammen als ze niet beschikbaar zijn. Dit maakt ze meer kans om te betalen.

Ransomware statistieken

Een van de manieren waarop ransomware-zwendel tot een dergelijke schadelijke omvang kan uitgroeien, is door een gebrek aan rapportage. In 2018 heeft safeatlast.co, een website die consumenten beoordelingen, beoordelingen en statistieken over verschillende beveiligingssystemen biedt, ontdekt dat minder dan een kwart van de kleine tot middelgrote bedrijven hun ransomware-aanvallen rapporteren. Dit is waarschijnlijk omdat de kans klein is dat ze hun geld terugkrijgen.

Het gebrek aan rapportage betekent echter niet dat ransomware-aanvallen ongewoon zijn, vooral bij kleine bedrijven. Symantec schatte dat kleinere organisaties (1-250 werknemers) het hoogste percentage kwaadaardige e-mailberichten hebben, met 1 op de 323 kwaadaardige e-mailberichten.

Ransomwarestatistieken wijzen er over het algemeen op dat ransomware potentieel de grootste zorg is voor bedrijven, omdat ze vaak toeslaan, de capaciteit hebben om enorme sommen geld vast te leggen en zich zeer snel kunnen verspreiden en ontwikkelen buiten de standaard verdediging om. Bovendien zijn de losgelden zelf moeilijk te traceren, aangezien ongeveer 95% van alle winst wordt uitgewisseld met behulp van een cryptocurrency platform volgens safeatlast.co.

Effecten van ransomware op bedrijven

De impact van een ransomware-aanval op een bedrijf kan verwoestend zijn. Volgens safeatlast.co heeft Ransomware het afgelopen jaar bedrijven meer dan 8 miljard dollar gekost, en meer dan de helft van alle malware-aanvallen waren ransomware-aanvallen. Enkele effecten zijn onder andere:

  • Downtime als gevolg van een gecompromitteerde infrastructuur
  • Verloren productiviteit als gevolg van downtime
  • Kostbare herstelinspanningen die mogelijk opwegen tegen het losgeld zelf
  • Schade op lange termijn aan zowel de gegevens als de gegevensinfrastructuur
  • Schade aan de voormalige reputatie van een bedrijf als veilig zijnde
  • Verlies van klanten, en in het ergste geval, het potentieel voor persoonlijke schade als het bedrijf handelt in openbare diensten zoals de gezondheidszorg

Voorkomen van een ransomware-aanval

Om zich te beschermen tegen ransomwarebedreigingen en andere vormen van cyberextorsie, dringen deskundigen er bij gebruikers op aan om regelmatig back-ups te maken van computerapparatuur en software, waaronder antivirussoftware, bij te werken. Eindgebruikers moeten voorzichtig zijn met het klikken van links in e-mails van vreemden of het openen van e-mailbijlagen. Slachtoffers moeten alles doen wat ze kunnen om te voorkomen dat ze losgeld betalen.

Hoewel ransomware-aanvallen bijna onmogelijk te stoppen zijn, kunnen individuen en organisaties belangrijke maatregelen voor gegevensbescherming nemen om ervoor te zorgen dat de schade minimaal is en het herstel zo snel mogelijk plaatsvindt. De strategieën omvatten:

  • het compartimenteren van authenticatiesystemen en -domeinen;
  • het bijhouden van actuele opslagmomentopnamen buiten de primaire opslagpool; en
  • het afdwingen van harde grenzen aan wie toegang heeft tot gegevens en wanneer toegang is toegestaan.

Hoe verwijder u ransomware

Er is geen garantie dat slachtoffers een ransomware-aanval kunnen stoppen en hun gegevens kunnen terugkrijgen; er zijn echter methoden die in sommige gevallen kunnen werken. Zo kunnen slachtoffers bijvoorbeeld hun systeem in veilige modus stoppen en herstarten, een antimalwareprogramma installeren, de computer scannen en deze in een eerdere, niet-besmette staat terugzetten.

Slachtoffers kunnen hun systeem ook herstellen vanaf een back-up die op een aparte schijf is opgeslagen. Als het slachtoffer zich in de cloud bevindt, kan het zijn schijf opnieuw formatteren en herstellen vanaf een eerdere back-up.

Windows gebruikers kunnen specifiek gebruik maken van Systeemherstel, een functie die Windows apparaten (samen met systeembestanden) terugrolt naar een bepaald gemarkeerd punt in de tijd — in dit geval, voordat de computer werd geïnfecteerd. Om dit te laten werken, moet Systeemherstel vooraf worden ingeschakeld, zodat het een plaats in de tijd kan markeren waar de computer naar terug kan keren. Windows schakelt systeemherstel standaard in.

Mobiele ransomware

Mobiele ransomware is malware die de gegevens van een slachtoffer gegijzeld houdt, waardoor mobiele apparaten worden getroffen – meestal smartphones. Mobiele ransomware werkt op dezelfde manier als andere soorten ransomware, waarbij een gebruiker de toegang tot de gegevens op zijn apparaat wordt geblokkeerd door een aanvaller totdat deze een betaling aan de aanvaller doet. Zodra de malware op het geïnfecteerde apparaat is gedownload, verschijnt er een bericht waarin om betaling wordt gevraagd voordat het apparaat wordt ontgrendeld. Als het losgeld is betaald, wordt een code verzonden om het apparaat te ontgrendelen of de gegevens te ontcijferen.

Gewoonlijk verbergt mobiele ransomware zich als een legitieme app in een app store van een derde partij. Hackers kiezen vaak populaire apps om te imiteren, wachtend op een nietsvermoedende gebruiker om deze te downloaden, en daarmee de malware. Smartphonegebruikers kunnen ook geïnfecteerd raken met mobiele ransomware door websites te bezoeken of door op een link te klikken die in een e-mail of sms-bericht verschijnt.

Tips om geen slachtoffer te worden van mobiele ransomware zijn onder andere:

  • Download geen apps met behulp van app stores van derden (blijf bij de Apple App Store en Google Play Store).
  • Houd mobiele apparaten en mobiele apps up-to-date.
  • Geef geen beheerdersrechten aan applicaties tenzij deze absoluut betrouwbaar zijn.
  • Klik niet op links die verschijnen in spam e-mails of in sms-berichten van onbekende bronnen.
  • Gebruikers van mobiele apparaten moeten ook een back-up maken van hun gegevens op een andere locatie als hun apparaat is geïnfecteerd. In het ergste geval zou dit er op zijn minst voor zorgen dat de gegevens op het apparaat niet permanent verloren gaan.

Toekomstige trends van ransomware

De belangrijkste trend die de komende jaren van ransomware te verwachten is, is een toename van de aanvallen op nutsbedrijven en de openbare infrastructuur, omdat zij kritieke instellingen zijn die toegang hebben tot grote sommen geld, en zij vaak gebruik maken van oude of verouderde cybersecurity technologie. Naarmate de ransomware-technologie zich verder ontwikkelt, kan de technologische marge tussen aanvallers en publieke doelwitten nog groter worden. Binnen deze beoogde publieke sectoren, met name de gezondheidszorg, kunnen aanvallen de komende jaren duurder uitvallen dan voorheen.

Voorspellingen wijzen ook op een groeiende focus op kleine bedrijven die verouderde beveiligingssoftware gebruiken. Naarmate het aantal zakelijke apparaten in IoTKlik op het woord voor de betekenis groeit, kunnen kleine bedrijven niet langer denken dat ze te klein zijn om in aanmerking te komen voor een significante aanval. De aanvalsvector groeit exponentieel en hun beveiligingsmethoden zijn dat niet. Om dezelfde reden wordt voorspeld dat apparaten voor thuisgebruik steeds vaker het doelwit zullen zijn.

Het toegenomen gebruik van mobiele apparaten intensiveert ook het gebruik van social engineering-aanvallen die de deur openen voor een ransomware-aanval. Social engineeringKlik op het woord voor de betekenis aanvalsmethoden zoals phishingKlik op het woord voor de betekenis, bait, quid pro quo, pretexting en piggybacking, prooi op het manipuleren van de menselijke psychologie.

Een IBM-onderzoek beweert dat gebruikers drie keer meer kans hebben om te reageren op een phishingaanval op een mobiel apparaat dan op een desktop, mede omdat gebruikers hier waarschijnlijk het bericht het eerst zien.

Verizon publiceerde ook onderzoek waarin staat dat het succes van social engineering op mobiele apparaten waarschijnlijk is omdat kleinere schermen de hoeveelheid gedetailleerde informatie die wordt weergegeven beperken. Mobiele apparaten compenseren dit met kleinere meldingen en één-tik-opties voor het reageren op berichten en open links, wat het reageren efficiënter maakt, maar versnelt ook het proces van het ten prooi vallen van een phishingaanval.

Een andere trend is het steeds vaker stelen of delen van code. Zo bleken twee grote ransomware-campagnes (Ryuk en Hermes) zeer vergelijkbare code te hebben. Onderzoekers gingen er eerst van uit dat beide ransomware-varianten afkomstig waren van dezelfde groep ransomware-acteurs, maar vonden later dat een groot deel van de code van Ryuk eenvoudigweg werd gekopieerd van Hermes. In feite was Ryuk afkomstig van een aparte, ongerelateerde groep van dreigingsactoren uit een ander land.

Ten slotte kan de uiteindelijke kwantumtransformatie op de lange termijn veel oudere versleutelingsmethoden op basis van klassieke computers nutteloos maken, waardoor de deur wordt opengezet voor een groot aantal cyberdreigingen, waaronder ransomware.