Ransomware is een type malware-aanval waarbij de belangrijke bestanden van een slachtoffer worden versleuteld en losgeld wordt gevraagd om de toegang te herstellen. Als het losgeld niet wordt betaald, publiceert de kwaadwillende de gegevens op het dark web of blokkeert hij de toegang tot de bestanden voor altijd.
Een Ransomware aanval begint in veel gevallen met een phishing mail. Kwaadwillende sturen een email naar medewerkers van een organisatie. Hiermee wordt het slachtoffer overgehaald om op een malafide link te klikken. Dit is een manier waarmee kwaadwillende uiteindelijk ransomware plaatsen binnen een organisatie.
Uit onderzoek van Mimecast komt naar voren dat phising mails met ransomware attachments (54%) , websecurity (47%) en spearphishing welke leiden tot “drive-by downloads” (45%) als primaire bron van ransomware aanvallen worden gezien. Verder blijkt dat slechts 45% van de ondervraagden (offline) back-ups te hebben welke om ransom-betalingen te kunnen voorkomen, of het risico hierop mitigeren.
77% van ondervraagde executives meent dat hun bedrijf weer up-and-running is binnen 2 tot 5 werkdagen na een aanval. In het eerder gepubliceerde “Mimecast – The State of Email Security 2021”-Report kwam naar voren dat klanten gemiddeld 5 werkdagen downtime ervaren.
Ransomware wordt op het moment erg actief gebruikt door kwaadwillende om losgeld te eisen. Uit een recent verschenen rapport van cybersecuritybedrijf Coveware blijkt dat er wereldwijd gemiddeld 120.000 euro per aanval wordt betaald door slachtoffers van gijzelsoftware. Onderstaand zijn twee actuele praktijkvoorbeelden uit Nederland beschreven.
Electro gigant Media Markt is getroffen door een ransomware aanval waar 240 miljoen dollar werd geëist. Dit had als gevolg dat in Nederland en Duitsland IT-systemen werden stilgelegd en winkeloperaties werden verstoord. Er is bevestigd dat deze aanval is uitgevoerd door de Hive ransomware operatie. Zij eisten 240 miljoen dollar, een onrealistisch hoog bedrag. Ransomware-bendes vragen in het begin vaak een groot losgeld bedrag om ruimte te laten voor onderhandeling en ontvangen meestal een fractie van de initiële eis. Bij de aanval op Media Markt is bekend dat het bedrag bijna automatisch tot een veel lager bedrag werd verlaagd. Hoewel het niet duidelijk is of er bij de aanval niet versleutelde gegevens zijn gestolen, staat Hive ransomware erom bekend bestanden te stelen en deze op hun datalekken-site “HiveLeaks” te publiceren als er geen losgeld wordt betaald. De FBI waarschuwde in augustus van dit jaar al voor deze groep.
Uiteindelijk zou Media Markt in onderhandeling zijn over een bedrag van 50 miljoen dollar in bitcoins om hun bestanden te laten decrypten.
Ook RTL Nederland is slachtoffer geworden van een ransomware-aanval. De aanvallers hebben toegang tot het netwerk van RTL gekregen doordat de inloggegevens van een medewerker van een externe beheerpartij zijn buitgemaakt. Deze partij beheert het netwerk van RTL. Er was geen dubbele beveiliging zoals tweestapsverificatie aanwezig, waardoor de aanvallers met de gestolen inloggegevens direct verregaande toegang op het netwerk kregen. De aanvallers hebben toen de CryTOX-ransomware over het netwerk van RTL uitgerold. Bestanden werden versleuteld en op sommige computers verscheen een scherm met daarin het verzoek om losgeld te betalen. Ook een aantal belangrijke interne systemen, zoals het redactiesysteem van RTL Nieuws en het advertentieplanningssysteem, zijn door de ransomware platgelegd.
Uiteindelijk werd 8500 euro in bitcoins geëist. RTL heeft dit bedrag betaald waarmee de bestanden werden ontgrendeld.
Ransomware aanvallen zijn door de jaren heen erg veranderd. Tegenwoordig bestaan er ‘ransomware operations’. Dat zijn groepen hackers die zich focussen op het uitvoeren van ransomware aanvallen. Grote groepen die we tegenwoordig zien zijn Darkside, REvil, Conti en Maze. Deze groepen worden ook steeds meer gezien als bedrijven die willen werken aan een goede naam. Zij willen reputatie opbouwen dat wanneer slachtoffers betalen, zij ook daadwerkelijk de bestanden decrypten. Op die manier creëren zij voor zichzelf een business model.
TechTarget meldt dat er in de tweede helft van 2020 282% meer bekende ransomware-aanvallen waren dan in de eerste helft van het jaar.
Access42 heeft een aantal tips om het risico op een ransomware aanval te reduceren. Helaas bestaat er geen wondermiddel tegen ransomware aanvallen, maar er wel maatregelen die u zelf kunt nemen om het risico te beperken. Hieronder een aantal maatregelen, zeker niet alle maatregelen, die u kunnen helpen het risico te beperken.
Veel van de ransomware aanvallen starten met een phishing email. Er zijn een aantal simpele stappen die u zelf kunt nemen door SPF, DKIM en DMARC juist te configureren. Daarnaast is het verstandig een goede Security Email Gateway (SEG) te gebruiken om te zorgen dat zo weinig mogelijk kwaadaardige mails bij de gebruikers aankomen. Zorg ook dat gebruikers bewust zijn en een kwaadaardige mail kunnen herkennen. En zorg dat gebruikers deze kunnen melden zodat er snel gekeken kan worden of de mail op meer plaatsen aanwezig is. Gebruikers zijn de first line of defense.
Veel ransomware-varianten maken gebruik van poort 3389 van het Remote Desktop Protocol (RDP) en poort 445 van het Server Message Block (SMB). Overweeg of uw organisatie deze poorten open moet laten, en overweeg om verbindingen te beperken tot alleen vertrouwde hosts. Controleer deze instellingen voor zowel on-premise als Cloud omgevingen en werk samen met uw Cloud serviceprovider om ongebruikte RDP-poorten uit te schakelen. Het is belangrijk het aanvalsoppervlak (attack surface) zo klein mogelijk te houden.
Daarnaast is het belangrijk om een goed overzicht te hebben van alle interne- en externe assets en de aanwezige kwetsbaarheden. Als een kwaadwillende binnen komt op het netwerk dan zal hij op zoek gaan naar andere systemen en kwetsbaarheden om de aanval succesvol te maken. Dit kan worden gedaan door een vulnerability management proces in te richten.
Zorg ervoor dat er geen single-factor authenticatie mogelijk is. Veel accounts, mogelijk ook die van uw organisatie, zijn gecompromitteerd. Zonder multi-factor authenticatie kan een aanvaller eenvoudig toegang krijgen en vanaf daar vervolgstappen nemen.
Access42 adviseert dat het maken van offline back-ups van belangrijke gegevens de meest effectieve manier is om te herstellen van een ransomware-aanval. Er zijn echter wel een aantal zaken waar u rekening mee moet houden. Uw back-upbestanden moeten goed worden beschermd en offline worden opgeslagen, zodat ze niet het doelwit van aanvallers kunnen worden. Het gebruik van Cloud services kan helpen een ransomware-aanval te beperken, aangezien veel van deze services eerdere versies van bestanden bewaren, zodat u terug kunt gaan naar een niet-versleutelde versie. Zorg ervoor dat u regelmatig de effectiviteit van back-ups test. Controleer in het geval van een aanval of uw back-ups niet zijn geïnfecteerd voordat u ze terugdraait.
Zorg ervoor dat uw systemen zijn geconfigureerd met een beveiliging ‘mindset’. Met veilige configuratie-instellingen kunt u het bedreigingsoppervlak van uw organisatie beperken en beveiligingsgaten dichten die zijn overgebleven van standaardconfiguraties. De CIS Benchmarks zijn een uitstekende, kosteloze keuze voor organisaties die toonaangevende, op consensus gebaseerde configuraties willen implementeren.
Zoals ook aangegeven bij de Exposure, zorg er ook voor dat er een goed patch- en vulnerability management systeem is om kwetsbaarheden snel te detecteren en te mitigeren.
Voorzie endpoints van de laatste generatie anti-virus, aangevuld met EDR (Endpoint Detection & Repsonse) capaciteiten. Elk endpoint security platform moet strikte anti-tempering bescherming hebben als en wanneer een sensor offline gaat of wordt verwijderd.
Stel een incident response plan op zodat uw IT-beveiligingsteam weet wat ze moeten doen tijdens een ransomware-aanval. Het plan kan rollen en communicatie tijdens een aanval bevatten. U kunt ook een lijst met contactpersonen opnemen, zoals partners of leveranciers die op de hoogte moeten worden gebracht. Hebt u een beleid voor “verdachte e-mail”? Zo niet, overweeg dan een beleid hiervoor op te stellen. Zo kunnen werknemers leren wat ze moeten doen als ze een e-mail ontvangen waar ze niet zeker van zijn. Het kan al voldoende zijn om de e-mail door te sturen naar het IT-beveiligingsteam. Dit kan ook uitbesteed worden, waarbij medewerkers verdachte email kunnen melden en dit door een gespecialiseerd bedrijf wordt geanalyseerd.
Voer regelmatig penetratietests uit om uw netwerkbeveiliging te testen. Test ook het herstelproces voor essentiële gegevens om er zeker van te zijn dat het goed functioneert.
Ransomware versleutelt uw bestanden. Het terugzetten van data door middel van een back-up is de meest betrouwbare oplossing om weer over deze bestanden te beschikken. Als het niet mogelijk is om de bestanden door middel van een back-up te herstellen, is het raadzaam om na te gaan of er een decryptor bestaat. Dit kan bijvoorbeeld op de website van het No More Ransom’-project, een initiatief van politiediensten en private partijen.
Download ook de factsheet van het NCSC over ransomware.
Cookie | Duur | Omschrijving |
---|---|---|
_GRECAPTCHA | 5 months 27 days | This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis. |
cookielawinfo-checkbox-advertisement | 1 year | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement". |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie. |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
Cookie | Duur | Omschrijving |
---|---|---|
bcookie | 2 years | This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page. |
lang | session | This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website. |
lidc | 1 day | This cookie is set by LinkedIn and used for routing. |
Cookie | Duur | Omschrijving |
---|---|---|
YSC | session | This cookies is set by Youtube and is used to track the views of embedded videos. |
Cookie | Duur | Omschrijving |
---|---|---|
_ga | 2 years | This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors. |
_gat_gtag_UA_116473530_1 | 1 minute | This cookie is set by Google and is used to distinguish users. |
_gat_UA-116473530-1 | 1 minute | This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites. |
_gid | 1 day | This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form. |
Cookie | Duur | Omschrijving |
---|---|---|
bscookie | 2 years | This cookie is a browser ID cookie set by Linked share Buttons and ad tags. |
IDE | 1 year 24 days | Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile. |
prism_476809757 | 1 month | Used by ActiveCampaign to track usage of newsletters |
test_cookie | 15 minutes | This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 5 months 27 days | This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the video preferences of the user using embedded YouTube video. |
yt-remote-device-id | never | YouTube sets this cookie to store the video preferences of the user using embedded YouTube video. |
Cookie | Duur | Omschrijving |
---|---|---|
AnalyticsSyncHistory | 1 month | No description |
CONSENT | 16 years 7 months 5 days 13 hours | No description |
li_gc | 2 years | No description |
UserMatchHistory | 1 month | Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences. |