Het malafide succes van ransomware

Dave Maasland

Ransomware heeft zich de afgelopen tijd bewezen als een waardevolle inkomstenbron. Met deze vorm van cybercrime verdienen criminelen bijna letterlijk gouden bergen. “En die winstgevendheid stijgt lineair met de waarde van data”, zegt Dave Maasland, Managing Director van beveiligingsspecialist ESET Nederland. Zijn het gouden tijden voor hackers?

Grof gezegd is ransomware, in sommige kringen ook wel crypto-ransomware genoemd, de digitale equivalent van een ontvoering. Zijn bij de analoge variant van deze misdaad mensen doorgaans het wisselgeld, bij ransomware is data het waardevolle ruilmiddel. “Ransomware versleutelt gegevens van het slachtoffer dusdanig grondig dat je het als verloren kunt beschouwen. Tenzij je bereid bent het losgeld te betalen, vaak een bedrag in Bitcoins. Hoewel je dan – net als bij een analoge criminele transactie – nog maar moet afwachten of je ook daadwerkelijk de ‘sleutel’ krijgt waarmee je de data weer kunt ontcijferen”, legt Maasland uit. “Toch zijn veel organisaties bereid het losgeld te betalen, omdat hun gegevens vaak vele malen meer waard zijn.”

De schade van een dergelijke aanval is vaak substantieel, net als de opbrengsten voor cybercriminelen. Berucht is de ransomware Cryptowall, familie van het eveneens beruchte CryptoLocker. Deze malware leverde een groep cybercriminelen een slordige 325 miljoen euro op. Er bestaan geen officiële cijfers van de schade voor het bedrijfsleven, maar voorzichtige schattingen gaan richting miljarden euro’s. Maasland: “Het treft hen namelijk in het hart: in de steeds groter groeiende afhankelijkheid van data. Trends als het Internet of Things, met zijn miljoenen connected devices, zorgen voor een enorme data-aanwas en vergroten daarmee de afhankelijkheid van die gegevens. En met die afhankelijkheid groeit ook het gevaar van ransomware.”

Vernuftige aanvallen

De aanvallen zelf worden ook steeds vernuftiger. Ransomware sluipt ongemerkt binnen via bijvoorbeeld phishing en spam. Dat zijn aloude technieken, maar de uitvoering daarvan wint de laatste tijd sterk aan kwaliteit. “Waar e-mails voorheen vaak nog bol stonden van taalfouten, zijn deze steeds vaker netjes opgesteld in de taal van de ontvanger en soms zelfs geheel op de persoon afgestemd”, licht Maasland toe. “Door social engineering-technieken verkrijgen aanvallers cruciale informatie over het slachtoffer die zij vervolgens misbruiken in vertrouwenwekkende e-mails. Dat maakt ransomware-aanvallen lastiger te herkennen, wat het gevaar van een besmetting vergroot.”

Volgens Maasland is een goede awareness onder het personeel nog altijd cruciaal. “Gebruikers zouden regelmatig awarenesstrainingen moeten krijgen, met bijvoorbeeld nep-phishingmails. Een goede bewustwording is een van de belangrijkste, zo niet hét belangrijkste wapen tegen ransomware”, benadrukt hij.

Steeds breder

De aanvallen treffen bovendien een steeds breder publiek. Waren voorheen vooral Windows-gebruikers het slachtoffer, inmiddels lopen met respectievelijk de introductie van Keranger en Linux.Encoder.1 ook Mac- en Linux-systemen gevaar. Ook Android-gebruikers hebben wat ransomware betreft hun zorgeloosheid verloren. Malware als Cryptolocker/Simplocker en Android/Lockerpin.A. richten zich zelfs specifiek op de enorme hoeveelheid aan Android-apparatuur die momenteel in gebruik is. “Dat maakt van ransomware een bedreiging voor vrijwel alle digitale systemen”, zegt Maasland. 

Malware als dienst

Ransomware is bovendien niet langer het speeltje van malafide techneuten. Cybercriminelen hebben eenvoudige tools en dienstverlening beschikbaar gesteld op het ‘dark net’, zodat de aanvallen beschikbaar zijn voor een breed kwaadwillend publiek. Maasland: “Iedereen die het niet zo nauw neemt met regels en ethiek kan via deze middelen geld verdienen. Het behoeft geen verdere toelichting dat deze ‘democratisering’ van ransomware de populariteit en de kwantiteit van de aanvallen verder vergroot.”

Specifieke branches lopen daarbij extra gevaar. Maasland haalt het onderwijs aan als voorbeeld. “Leerlingen bewezen eerder hoe gemakkelijk DDOS-aanvallen zijn uit te voeren, met behulp van eenvoudige ‘tooltjes’. Scholen lopen daarbij gevaar, want de leerlingen zijn een explosief vat van experimenteerdrift en onvolwassenheid kan leiden tot incidenten. En waarbij DDOS-aanvallen primair gericht zijn op het veelal tijdelijk platleggen van IT-diensten, heeft ransomware een kwaadaardiger doel: het saboteren van data en het afpersen van de organisatie.” Daarnaast spelen volgens hem de complexe onderwijsnetwerken een rol. “Iedere dag loggen duizenden gebruikers in en uit met allerhande apparatuur. Beheerders van dergelijke netwerken moeten dan ook meer dan ooit in staat zijn dergelijke aanvallen te herkennen en gevaren tijdig kunnen indammen voor het verder verspreid.” Volgens SURFnet werd vorig jaar iedere dag wel een school getroffen door dergelijke DDOS-tools. “We moeten er rekening mee houden dat leerlingen dergelijke eenvoudige tools ook kunnen inzetten voor het opzetten van ransomware-aanvallen”, zegt Maasland.

Criminele exploitatie

Lowres-pdf-infosecurity0220 Er is bovendien nog een gevaar aan dit nieuwe as-a-service-model. Omdat ransomware geld oplevert, is het servicemodel ook exploiteerbaar door cybercriminelen. “Auteurs van ransomware kunnen via een soort piramidesysteem andere hackers inschakelen met de door hen ontwikkelde malware”, legt Maasland uit. “Zij maken tegen betaling gebruik van de malware en verdelen zo de winst. Het maakt de aanval zo niet alleen uitermate lucratief voor de ‘lone wolfs’, maar ook voor grootschalige, goed georganiseerde criminele netwerken.”

Maar er zijn meer manieren waarop cybercriminelen samenwerken met en aan ransomware. Vorig jaar zijn de eerste open source malware gespot, waarvan de broncode dus vrij toegankelijk was. Op de bekende open source ontwikkelaarshub GitHub verscheen ‘Hidden Tear’. Deze volledig functionele ransomware was volgens de initiële makers ‘slechts bedoeld voor educatieve doeleinden’. Deze aanbeveling is echter geen garantie dat de malware ook daadwerkelijk alleen daarvoor wordt ingezet.

“Natuurlijk geeft open broncode beveiligingsexperts de mogelijkheid om de aanvalsmechanismen beter en sneller te doorgronden. Maar het geeft tegelijkertijd cybercriminelen de mogelijkheid zeer efficiënt kennis te delen en samen te werken aan steeds geavanceerdere malware”, verduidelijkt Maasland. “Dat vergroot de noodzaak bij overheden en het bedrijfsleven om in minstens dezelfde mate en intensiteit samen te werken en kennis te delen.”

Wat te doen tegen ransomware?

  1. De organisatie op orde

Gelukkig zijn er op organisatieniveau absoluut maatregelen mogelijk om de kans op een ransomware-aanval te beperken en eventuele schade te minimaliseren. Allereerst is een degelijke situational awareness onmisbaar. Weet welke data überhaupt in de organisatie bestaat, waar deze bestaat en wie de ‘owners’ hiervan zijn. Een degelijk Incident Response Plan is ook voor ransomware-aanvallen waardevol. Zeker met de aangescherpte meldplicht datalekken in het achterhoofd is het goed te weten bij wie welke taken en verantwoordelijkheden liggen op het moment dat een aanval wordt ontdekt.

2. Backup is onmisbaar

Absoluut onmisbaar in de beveiligingsstrategie tegen ransomware is een actuele, betrouwbare back-up van alle relevante bedrijfsdata. Wanneer ransomware gegevens hermetisch versleutelt, is het terugzetten van een back-up van die data de meest voor de hand liggende en meest effectieve methode om de schade te minimaliseren. Het voorkomt dat de organisatie grote sommen geld moet neerleggen om weer bij de data te kunnen. Dat vereist een back-updiscipline en dito technische voorzieningen om dit te realiseren. Organisaties moeten daarbij goed beseffen dat data tegenwoordig niet enkel meer op de bestandserver staat. Data is meer dan ooit aanwezig op allerlei (mobiele) devices, in cloudomgevingen en bijvoorbeeld oplossingen voor relatiebeheer en data warehousing. Een backupvoorziening moet hiermee overweg kunnen.

3. Technische beveiligingsmaatregelen

Verder is het belangrijk dat de organisatie hun technische beveiliging op orde is. Voorzieningen als een intelligente firewall en bijgewerkte netwerk- en endpoint-beveiligingssoftware zijn onmisbaar. Uiteraard zijn dergelijke voorzieningen niet specifiek bedoeld voor het stoppen van ransomware, maar voor malware in het algemeen. Endpoint-security en firewall vormen een stevige tandem tegen ransomware: mocht de malware onverhoopt langs de endpoint-laag glippen, dan kan de firewall de communicatie met de Command & Control-server van de aanvaller alsnog onderscheppen.

4. Strikt updatebeleid

Een strikt updatebeleid is in alle gevallen noodzakelijk: firmware, software en besturingssystemen moeten altijd voorzien zijn van de laatste updates. Dat voorkomt het risico op aanvallen die misbruik maken van reeds gepatchte kwetsbaarheden.

5. Specifieke aandacht voor de mailserver

Verder vereisen e-mailbijlagen en eventuele spamfilters specifieke aandacht. Veel ransomware komt binnen via een e-mail met daarin een bijlage. Deze bijlage is bij een ransomware-aanval vaak een executable, een uitvoerbaar bestand met de .EXE-extensie. Ook komt het regelmatig voor dat de malware in een ZIP-archief de organisatie binnenkomt. Mailservers kunnen met de blokkade van beide bestandstypen veel leed voorkomen.

6. Creëer bewustwording

Tenslotte zijn en blijven mensen de zwakste schakel van iedere IT-beveiligingsstrategie. Alleen met goede mix van gezond verstand en awareness-trainingen is dit risico te minimaliseren.

Meer over
Lees ook
Proofpoint's 2024 State of the Phish rapport: 69% van Nederlandse werknemers gokt met security van organisaties

Proofpoint's 2024 State of the Phish rapport: 69% van Nederlandse werknemers gokt met security van organisaties

Proofpoint, publiceert vandaag de tiende editie van het jaarlijkse State of the Phish-rapport. Hieruit blijkt dat meer dan twee derde (69%) van Nederlandse werknemers hun organisaties bewust in gevaar brengt. Dit leidt tot ransomware- of malware-infecties, datalekken of financieel verlies. Ondanks een lichte daling van succesvolle phishing-aanvall1

Politiediensten halen LockBit infra offline

Politiediensten halen LockBit infra offline

Op 20 februari 2024 hebben Europol, de Nederlandse Politie en politiediensten uit tien landen met een grote verstoringsactie 34 servers uit de lucht gehaald van de ransomware groepering LockBit.

Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

Onderzoekers van Proofpoint ontdekten dat TA571 de Forked-variant van IcedID levert in twee campagnes. Dit vond plaats op 11 en 18 oktober 2023. Beide campagnes bevatten meer dan 6.000 berichten die allemaal een impact hadden op meer dan 1.200 klanten in verschillende sectoren verspreid over heel de wereld.