Infectie en verspreidingsvectoren
Ransomware is een type malware dat wordt gebruikt om belangrijke computerbestanden of gevoelige data te versleutelen tegen losgeld. Infecties ontstaan wanneer ransomware-malware wordt gedownload en geïnstalleerd op apparaten in het netwerk van een organisatie.
Ransomware kan op verschillende manieren toegang krijgen tot het doelsysteem. De meest gebruikelijke manier is via phishing-e-mails die een link bevatten naar een gecompromitteerde website of een bijlage met malware erin verwerkt. Wanneer de gebruiker op de link of de bijlage klikt, wordt de malware gedownload en uitgevoerd op het computersysteem.
Lees meer over vier gebieden die vaak kwetsbaar zijn voor ransomware. >>
Remote Desktop Protocol (RDP) is een andere veel voorkomende aanvalsvector voor ransomware, omdat het gemakkelijk te gebruiken is en een aanvaller toegang op hoog niveau kan geven. In 2020 was RDP de initiële aanvalsvector in de helft van alle gerapporteerde ransomwaregevallen.
Gecompromitteerde RDP-toegang kan worden gekocht op het dark web, en het vinden van een blootgestelde RDP-verbinding is slechts een kwestie van het maken van een script dat scant naar de standaard poort. Hackers hebben vaak toegang tot dezelfde tools als beveiligingsprofessionals en kunnen het hele internet in minder dan een minuut scannen op een open poort.
Andere distributievectoren, zoals de WannaCry-ransomware, proberen systemen rechtstreeks te infecteren. WannaCry infecteert computers met het Microsoft Windows-besturingssysteem, waarbij bestanden op de harde schijf van de computer worden versleuteld. Het eist dan een losgeldbetaling in Bitcoin. WannaCry, voor het eerst uitgebracht in 2017, is nog steeds actief en heeft meer dan 100.000 organisaties over de hele wereld getroffen.
Bekijk het on-demand webinar om de anatomie van een ransomware-aanval te zien en hoe u een beschermingsstrategie kunt opzetten die elke fase aanpakt.
Encryptie
Zodra ransomware op het doelsysteem is geïnstalleerd, ligt het op de loer, verzamelt in stilte data en infecteert zo veel mogelijk systemen. Vervolgens steelt en/of versleutelt het systeembestanden met de meest waardevolle en gevoelige data van het bedrijf. Ransomware kan soms back-ups vernietigen of data stelen als onderdeel van de aanval, maar het primaire doel is meestal om zoveel mogelijk bestanden of systemen te versleutelen om de organisatie onbruikbaar te maken.
Ransomware is er in verschillende soorten en varianten, waaronder crypto, lockers, afpersing, en ransomware-as-a-service (RaaS).
Cryptoransomware versleutelt bestanden, waardoor de inhoud vervormd en onleesbaar wordt. Er is een decoderingssleutel nodig om de bestanden terug te zetten in een leesbaar formaat. Cybercriminelen vragen vervolgens losgeld en beloven data te ontsleutelen of de decoderingssleutel vrij te geven als aan de eisen is voldaan.
Lockerransomware versleutelt geen bestanden, maar sluit het slachtoffer volledig uit van zijn systeem of apparaat. Cybercriminelen eisen dan losgeld om het apparaat te ontgrendelen. In het algemeen is het mogelijk een poging tot cryptoaanval te herstellen of te voorkomen als er een goede back-up beschikbaar is. Maar een lockerransomware-aanval is moeilijker en duurder om van te herstellen. Zelfs als er een back-up van de data is, moet het apparaat volledig worden vervangen.
Het hoofddoel van een ransomware-aanval is geld af te persen. Maar organisaties kunnen weigeren te betalen, vooral wanneer zij over een goed back-up- en herstelsysteem beschikken. Daarom zijn aanvallers de laatste jaren een nieuwe techniek gaan gebruiken, dubbele afpersing genaamd, waarbij data zowel worden versleuteld als geëxtraheerd. Als het bedrijf weigert te betalen, dreigen de hackers de informatie online te lekken of aan de hoogste bieder te verkopen.
En het wordt nog erger. Zo verwoestend als dubbele extortionate ransomware klinkt, zo waarschuwen beveiligingsexperts voor een grotere bedreiging: driedubbele extortionate ransomware. Aanvallers eisen geld van getroffen derden, naast het extraheren van data en het eisen van losgeld van het oorspronkelijke doelwit.
Ten slotte maakt ransomware-as-a-service (RaaS) gebruik van het standaard software-as-a-service (SaaS)-model. Het is een abonnementsdienst die abonnees toegang geeft tot vooraf ontwikkelde ransomware-tools om ransomware-aanvallen uit te voeren. Abonnees worden affiliates genoemd en verdienen een percentage van elke losgeldbetaling.
Losgeldbrieven en -eisen
Zodra ransomware met succes is geïmplementeerd op het doelnetwerk, worden er losgeldeisen gesteld. Hackers waarschuwen het slachtoffer dat er een aanval heeft plaatsgevonden en geven de details van het losgeld dat nodig is om de aanval ongedaan te maken. Losgeldeisen worden op computerschermen getoond of in een briefje achtergelaten in de map met de versleutelde bestanden.
Verzoeken om losgeld bevatten meestal details over het losgeldbedrag, de vereiste betalingswijze en de uiterste betaaldatum, alsmede de belofte om de versleutelde bestanden weer toegankelijk te maken zodra het losgeld is betaald. Indien exfiltratie van data heeft plaatsgevonden, kan de hacker er ook mee instemmen geen bijkomende data vrij te geven en bewijs te leveren dat de data zijn vernietigd. Betaling wordt meestal gevraagd in cryptocurrency (bv. Bitcoin of Monero).
Maar zelfs als er losgeld wordt betaald, is er geen garantie dat de aanvaller data zal herstellen of beloftes zal nakomen. Zij kunnen een kopie van gestolen data bewaren om deze later te gebruiken. Het is mogelijk dat decryptiesleutels niet volledig werken, waardoor sommige data versleuteld blijven, of dat ze aanvullende, onopgemerkte malware bevatten die de aanvaller in de toekomst kan gebruiken.
De onderhandeling: Betalen of niet?
De beslissing om al dan niet losgeld te betalen kan ingewikkeld zijn en van verschillende factoren afhangen:
- Hoe groot is de impact van de inbreuk op de bedrijfsactiviteiten?
- Zullen werknemers zonder werk komen te zitten? Hoeveel, en voor hoelang?
- Hoe groot is het risico van blootstelling aan data?
Voor een nadere kijk op de voor- en nadelen van betalen en niet betalen, lees het blogbericht U bent getroffen door ransomware. Wat nu?
Als uw back-up- en herstelsysteem niet is aangetast door de ransomware, kunt u misschien voorkomen dat u het losgeld moet betalen (afhankelijk van het type ransomware dat u treft). Maar als het betalen van het losgeld echt uw enige optie is, is het een goed idee om een ervaren incidentresponseteam in te huren om te helpen bij de onderhandelingen en de betaling te vergemakkelijken.
De nasleep: Herstel en bijkomen
De gemiddelde downtime na een ransomware-aanval bedraagt 21 dagen. Als u het losgeld betaalt, kan het enkele dagen duren voordat u de decryptiesleutel ontvangt en de versleuteling ongedaan maakt.
Wees uzelf ervan bewust dat sommige ransomware-varianten back-ups op het gecompromitteerde netwerk identificeren en vernietigen. Als back-ups zijn vernietigd of versleuteld, kan het herstelproces gecompliceerder worden. Maar zelfs als de back-ups bruikbaar zijn, kan het herstel nog veel tijd in beslag nemen, afhankelijk van het type back-up- en herstelsysteem dat u hebt geïnstalleerd.
Of u nu het losgeld betaalt of zelf probeert de data te herstellen, reken erop dat het hele herstelproces enkele dagen in beslag zal nemen. Houd ook rekening met een zekere mate van financieel verlies, of dat nu komt in de vorm van losgeldbetalingen, responskosten bij incidenten of gederfde inkomsten als gevolg van downtime.
Bekijk hoe het herstelproces kan verschillen tussen twee hypothetische organisaties met verschillende herstelmogelijkheden in het artikel Een verhaal over twee ransomware-aanvallen: Welk bedrijf bent u?
Wees klaar om te reageren op een aanval
Een ransomware-aanval is een risico waar u niet onvoorbereid op kunt zijn. U denkt misschien dat u alles doet om veilig te blijven, maar als u vertrouwt op legacy back-uparchitecturen, bent u niet beschermd tegen moderne aanvallen.
De beste manier om op een aanval te reageren? Alleen moderne oplossingen zoals Pure Storage® FlashBlade® met SafeMode™-snapshots en Rapid Restore®, dat tot 270 TB per uur aan prestaties op het gebied van data recovery biedt, kunnen uw beveiligingsstrategie naar een hoger niveau tillen.