Ransomware, wat is het en wat kun je er tegen doen?

Ransomware is een type malware-aanval waarbij de belangrijke bestanden van een slachtoffer worden versleuteld en losgeld wordt gevraagd om de toegang te herstellen. Als het losgeld niet wordt betaald, publiceert de kwaadwillende de gegevens op het dark web of blokkeert hij de toegang tot de bestanden voor altijd.

Een Ransomware aanval begint in veel gevallen met een phishing mail. Kwaadwillende sturen een email naar medewerkers van een organisatie. Hiermee wordt het slachtoffer overgehaald om op een malafide link te klikken. Dit is een manier waarmee kwaadwillende uiteindelijk ransomware plaatsen binnen een organisatie.

Uit onderzoek van Mimecast komt naar voren dat phising mails met ransomware attachments (54%) , websecurity (47%) en spearphishing welke leiden tot “drive-by downloads” (45%) als primaire bron van ransomware aanvallen worden gezien.  Verder blijkt dat slechts 45% van de ondervraagden (offline) back-ups te hebben welke om ransom-betalingen te kunnen voorkomen, of het risico hierop mitigeren.

77% van ondervraagde executives meent dat hun bedrijf weer up-and-running is binnen 2 tot 5 werkdagen na een aanval. In het eerder  gepubliceerde “Mimecast – The State of Email Security 2021”-Report kwam naar voren dat klanten gemiddeld 5 werkdagen downtime ervaren.

Praktijkvoorbeelden

Ransomware wordt op het moment erg actief gebruikt door kwaadwillende om losgeld te eisen. Uit een recent verschenen rapport van cybersecuritybedrijf Coveware blijkt dat er wereldwijd gemiddeld 120.000 euro per aanval wordt betaald door slachtoffers van gijzelsoftware. Onderstaand zijn twee actuele praktijkvoorbeelden uit Nederland beschreven.

Mediamarkt (8 november 2021)

Electro gigant Media Markt is getroffen door een ransomware aanval waar 240 miljoen dollar werd geëist. Dit had als gevolg dat in Nederland en Duitsland IT-systemen werden stilgelegd en winkeloperaties werden verstoord. Er is bevestigd dat deze aanval is uitgevoerd door de Hive ransomware operatie. Zij eisten 240 miljoen dollar, een onrealistisch hoog bedrag. Ransomware-bendes vragen in het begin vaak een groot losgeld bedrag om ruimte te laten voor onderhandeling en ontvangen meestal een fractie van de initiële eis. Bij de aanval op Media Markt is bekend dat het bedrag bijna automatisch tot een veel lager bedrag werd verlaagd. Hoewel het niet duidelijk is of er bij de aanval niet versleutelde gegevens zijn gestolen, staat Hive ransomware erom bekend bestanden te stelen en deze op hun datalekken-site “HiveLeaks” te publiceren als er geen losgeld wordt betaald. De FBI waarschuwde in augustus van dit jaar al voor deze groep.

Uiteindelijk zou Media Markt in onderhandeling zijn over een bedrag van 50 miljoen dollar in bitcoins om hun bestanden te laten decrypten.

RTL (9 September 2021)

 Ook RTL Nederland is slachtoffer geworden van een ransomware-aanval. De aanvallers hebben toegang tot het netwerk van RTL gekregen doordat de inloggegevens van een medewerker van een externe beheerpartij zijn buitgemaakt. Deze partij beheert het netwerk van RTL. Er was geen dubbele beveiliging zoals tweestapsverificatie aanwezig, waardoor de aanvallers met de gestolen inloggegevens direct verregaande toegang op het netwerk kregen. De aanvallers hebben toen de CryTOX-ransomware over het netwerk van RTL uitgerold. Bestanden werden versleuteld en op sommige computers verscheen een scherm met daarin het verzoek om losgeld te betalen. Ook een aantal belangrijke interne systemen, zoals het redactiesysteem van RTL Nieuws en het advertentieplanningssysteem, zijn door de ransomware platgelegd.

Uiteindelijk werd 8500 euro in bitcoins geëist. RTL heeft dit bedrag betaald waarmee de bestanden werden ontgrendeld. 

De ontwikkeling van Ransomware

Ransomware aanvallen zijn door de jaren heen erg veranderd. Tegenwoordig bestaan er ‘ransomware operations’. Dat zijn groepen hackers die zich focussen op het uitvoeren van ransomware aanvallen. Grote groepen die we tegenwoordig zien zijn Darkside, REvil, Conti en Maze. Deze groepen worden ook steeds meer gezien als bedrijven die willen werken aan een goede naam. Zij willen reputatie opbouwen dat wanneer slachtoffers betalen, zij ook daadwerkelijk de bestanden decrypten. Op die manier creëren zij voor zichzelf een business model. 

TechTarget  meldt dat er in de tweede helft van 2020 282% meer bekende ransomware-aanvallen waren dan in de eerste helft van het jaar.

Wat kan ik doen om een besmetting te voorkomen?

Access42 heeft een aantal tips om het risico op een ransomware aanval te reduceren. Helaas bestaat er geen wondermiddel tegen ransomware aanvallen, maar er wel maatregelen die u zelf kunt nemen om het risico te beperken. Hieronder een aantal maatregelen, zeker niet alle maatregelen, die u kunnen helpen het risico te beperken.

1. Bescherm tegen phishing

Veel van de ransomware aanvallen starten met een phishing email. Er zijn een aantal simpele stappen die u zelf kunt nemen door SPF, DKIM en DMARC juist te configureren. Daarnaast is het verstandig een goede Security Email Gateway (SEG) te gebruiken om te zorgen dat zo weinig mogelijk kwaadaardige mails bij de gebruikers aankomen. Zorg ook dat gebruikers bewust zijn en een kwaadaardige mail kunnen herkennen. En zorg dat gebruikers deze kunnen melden zodat er snel gekeken kan worden of de mail op meer plaatsen aanwezig is. Gebruikers zijn de first line of defense.

2. Exposure en Hygiëne

Veel ransomware-varianten maken gebruik van poort 3389 van het Remote Desktop Protocol (RDP) en poort 445 van het Server Message Block (SMB). Overweeg of uw organisatie deze poorten open moet laten, en overweeg om verbindingen te beperken tot alleen vertrouwde hosts. Controleer deze instellingen voor zowel on-premise als Cloud omgevingen en werk samen met uw Cloud serviceprovider om ongebruikte RDP-poorten uit te schakelen. Het is belangrijk het aanvalsoppervlak (attack surface) zo klein mogelijk te houden.

Daarnaast is het belangrijk om een goed overzicht te hebben van alle interne- en externe assets en de aanwezige kwetsbaarheden. Als een kwaadwillende binnen komt op het netwerk dan zal hij op zoek gaan naar andere systemen en kwetsbaarheden om de aanval succesvol te maken. Dit kan worden gedaan door een vulnerability management proces in te richten.

Zorg ervoor dat er geen single-factor authenticatie mogelijk is. Veel accounts, mogelijk ook die van uw organisatie, zijn gecompromitteerd. Zonder multi-factor authenticatie kan een aanvaller eenvoudig toegang krijgen en vanaf daar vervolgstappen nemen.

3. Back-ups

Access42 adviseert dat het maken van offline back-ups van belangrijke gegevens de meest effectieve manier is om te herstellen van een ransomware-aanval. Er zijn echter wel een aantal zaken waar u rekening mee moet houden. Uw back-upbestanden moeten goed worden beschermd en offline worden opgeslagen, zodat ze niet het doelwit van aanvallers kunnen worden. Het gebruik van Cloud services kan helpen een ransomware-aanval te beperken, aangezien veel van deze services eerdere versies van bestanden bewaren, zodat u terug kunt gaan naar een niet-versleutelde versie.  Zorg ervoor dat u regelmatig de effectiviteit van back-ups test. Controleer in het geval van een aanval of uw back-ups niet zijn geïnfecteerd voordat u ze terugdraait.

4. Endpoint Security en Hardening

Zorg ervoor dat uw systemen zijn geconfigureerd met een beveiliging ‘mindset’. Met veilige configuratie-instellingen kunt u het bedreigingsoppervlak van uw organisatie beperken en beveiligingsgaten dichten die zijn overgebleven van standaardconfiguraties. De CIS Benchmarks zijn een uitstekende, kosteloze keuze voor organisaties die toonaangevende, op consensus gebaseerde configuraties willen implementeren.

Zoals ook aangegeven bij de Exposure, zorg er ook voor dat er een goed patch- en vulnerability management systeem is om kwetsbaarheden snel te detecteren en te mitigeren.

Voorzie endpoints van de laatste generatie anti-virus, aangevuld met EDR (Endpoint Detection & Repsonse) capaciteiten. Elk endpoint security platform moet strikte anti-tempering bescherming hebben als en wanneer een sensor offline gaat of wordt verwijderd.

5. Plannen en Policies

Stel een incident response plan op zodat uw IT-beveiligingsteam weet wat ze moeten doen tijdens een ransomware-aanval. Het plan kan rollen en communicatie tijdens een aanval bevatten. U kunt ook een lijst met contactpersonen opnemen, zoals partners of leveranciers die op de hoogte moeten worden gebracht. Hebt u een beleid voor “verdachte e-mail”? Zo niet, overweeg dan een beleid hiervoor op te stellen. Zo kunnen werknemers leren wat ze moeten doen als ze een e-mail ontvangen waar ze niet zeker van zijn. Het kan al voldoende zijn om de e-mail door te sturen naar het IT-beveiligingsteam. Dit kan ook uitbesteed worden, waarbij medewerkers verdachte email kunnen melden en dit door een gespecialiseerd bedrijf wordt geanalyseerd. 

Voer regelmatig penetratietests uit om uw netwerkbeveiliging te testen. Test ook het herstelproces voor essentiële gegevens om er zeker van te zijn dat het goed functioneert.

CyberTIM Protect

Access42 biedt een pakket van diensten aan waarmee ze uw organisatie volledig ontzorgen rondom cybersecurity. Hiermee bent u niet alleen beschermd tegen ransomware aanvallen, maar ook wordt de kans dat een phishing mail uw medewerkers bereikt flink gereduceerd. Het basispakket beveiligt onder meer uw e-mailomgeving voor phishing en malware met de nieuwste technieken van Mimecast en Cofense. Daarbij krijgt u de mogelijkheid om uw medewerkers te trainen in het herkennen van een phishing e-mail (awareness). Uw Microsoft 365 omgeving is beter beveiligd door de inzet van CyberTim Detect 365. Hierdoor is Access42 in staat bekende en onbekende aanvallen te detecteren voordat ze leiden tot breaches. Verder monitoren zij actief, door de inzet van een honeypot, binnen uw interne netwerk(en) om zo te zien of er malicieuze activiteiten plaatsvinden.

Wat te doen als je organisatie is besmet?

Ransomware versleutelt uw bestanden. Het terugzetten van data door middel van een back-up is de meest betrouwbare oplossing om weer over deze bestanden te beschikken. Als het niet mogelijk is om de bestanden door middel van een back-up te herstellen, is het raadzaam om na te gaan of er een decryptor bestaat. Dit kan bijvoorbeeld op de website van het No More Ransom’-project, een initiatief van politiediensten en private partijen.

Bij een beperkte infectie

1. Verwijder het geïnfecteerde systeem uit het computernetwerk.
2. Verwijder de ransomware uit het geïnfecteerde computersysteem. Het systeem wordt indien nodig volledig opnieuw geïnstalleerd.
3. Meld de infectie bij de politie.
4. Herstel het IT-systeem met behulp van een back-up.

Bij een netwerkbrede infectie

1. Stel uw calamiteitenplan in werking.
2. Sluit uw netwerk af van de buitenwereld. Dit kan bijvoorbeeld door het dichtzetten van uw firewall(s).
3. Roep de hulp in van een cybersecurity expert en/of een cybersecurity samenwerkingsverband.
4. Meld de infectie bij de politie.
5. Herstel de IT-systemen met behulp van een back-up.
6. Ga ook na of u een meldplicht heeft bij het NCSC, een toezichthouder, een opdrachtgever of bij een andere instantie. Kijk onder meer naar geldende privacy wetgeving, bijvoorbeeld als u verwerker bent.

Download ook de factsheet van het NCSC over ransomware.