Petya Ransomware

Ransomware: wat is het en hoe kan je het voorkomen in je bedrijf?

“Ieperse weefmachineproducent Picanol en de afdelingen in China en Roemenië liggen grotendeels stil door een cyberaanval met ransomware”
“Cyberaanval met ransomware Wannacry maakt wereldwijd meer dan 200.000 slachtoffers”
“Universiteit Maastricht betaalde paar honderdduizend euro losgeld na cyberhack”
“Eindelijk weer iedereen aan het werk bij Asco, schade loopt in de miljoenen”

Deze krantenkoppen zijn slechts een snelle greep uit de cyberaanvallen die dagelijks in het nieuws komen. Cybercriminelen zien voortdurend nieuwe kansen om onze digitale werking te verstoren door gevoelige data te versleutelen en te verwijderen door gebruik te maken van ransomware.

Wat is ransomware?

Ransomware -ook wel gijzelsoftware genoemd- is een vorm van malware (malicious software) waarbij gegevens op je computer geëncrypteerd (versleuteld) worden waardoor ze onleesbaar worden gemaakt.

Cybercriminelen gebruiken ransomware als chantagemiddel doordat ze losgeld vragen (ransom) in ruil voor het vrijgeven van de decryptiesleutel. Decryptie is immers de enige manier om je gegevens terug te bevrijden omdat het de versleuteling omkeert.

En dat weten cybercriminelen. Het losgeld dat ze vragen loopt in sommige gevallen zelfs op tot 1 miljoen euro.

Doordat je de criminelen betaalt in Bitcoins, is het bijna onmogelijk om hen op te sporen. Betalen biedt dus ook geen garantie op het terugkrijgen van je data. Bovendien zien we in de praktijk dat ransomware vaak na enkele maanden terug geactiveerd wordt.

Hoe komt ransomware op je computer terecht?

Ransomware kan via verschillende wegen op je computer terecht komen. Vaak zitten deze kwaadaardige scripts in een e-mailbijlage of e-maillink. Je kan ze ook activeren door een besmette website te bezoeken. Of ze dringen rechtstreeks je computernetwerk binnen via een niet-geüpdatete server of firewall.

Werk jij van thuis uit op je server via VPN of RDP? Dan is hiervoor een bepaalde specifieke poort geopend. Niet alleen jij, maar ook hackers kunnen deze server dan aanspreken. In het geval dat de server niet geüpdatet is, kan hij kwetsbaarheden bevatten. Die kwetsbaarheden worden uitgebuit door hackers om toegang te verkrijgen. Is je server niet voldoende voorzien van beveiligingssoftware? Dan kan er een payload gedownload worden die zorgt voor de encryptie van je bestanden. Monitoringtools kunnen je wel verwittigen op het moment dat de schijfactiviteit toeneemt, maar dan is het in vele gevallen al te laat. De reactiesnelheid van je IT-verantwoordelijke is hier immers cruciaal.

Welke vormen van ransomware bestaan er?

Ransomware komt dagelijks in nieuwe vermommingen voor. Cybercriminelen kopen kant-en-klare ransomware-scripts aan en passen het bitcoin-betaaladres aan alsook de eventuele “commerciële naam”. Enkele vormen van ransomware hebben de afgelopen jaren een grote impact gemaakt in het bedrijfsleven, zoals:

CLOP

Clop ransomware maakte een opmars in 2019 en kwam enkele keren in de media doordat het de netwerken van de Universiteit van Maastricht en de Universiteit van Antwerpen trof.

Dharma

Dharma ransomware kende voor het eerst een opmars in 2016 en kwam met vernieuwde versies uit in 2019. Deze vorm van gijzelsoftware verbergt zich dikwijls achter “legitieme” antivirus-software in een phishingmail die van Microsoft lijkt te komen.

WannaCry

WannaCry is ransomware die in 2017 zo’n 200.000 slachtoffers heeft gemaakt in maar liefst 150 landen. Verschillende ziekenhuizen konden toen niet langer functioneren omdat ze geen toegang meer hadden tot hun patiëntendossiers. Ook het Spaanse telecommunicatiebedrijf Telefonica is toen getroffen, alsook bedrijven in de transportsector waaronder FedEx. Vooral oudere besturingssystemen liepen het risico om WannaCry zijn gang te laten gaan. Daarom is het belangrijk om steeds tijdig updates en upgrades uit te voeren. In het bijzonder wanneer je Windows-versie verouderd is en niet meer ondersteund wordt.

Hades Locker

Hades Locker staat sinds 2016 bekend om zijn vermomming als e-mailbijlage in een fake mailbericht van een transportbedrijf. Het transportbedrijf is er volgens de e-mailboodschap helaas niet in geslaagd om een pakketje af te leveren. In bijlage zit een document dat moet ingevuld worden om een nieuwe afspraak te maken voor de aflevering van je pakket. Open je deze bijlage, dan open je het virus en wordt je data versleuteld, net zoals bij andere ransomwarevormen.

Hoe herken je een infectie met ransomware?

De volgende kenmerken zijn typisch voor ransomware-infecties:

  • Je bestanden kunnen niet meer geopend worden omdat ze een vreemde extensie hebben gekregen.
  • Er wordt een betaling geëist in bitcoins.
  • De gevraagde betaling heeft een deadline en kan maar enkele dagen uitgevoerd worden.
  • Je hebt per ongeluk op een besmette e-mailbijlage of onbetrouwbare link geklikt.
  • Je antivirusprogramma kan je bestanden niet zelf herstellen, daar is een decryptiesleutel voor nodig.

Hoe raakt je toestel besmet met malware?

Er zijn verschillende manieren waarop malware je werkcomputers kan besmetten:

E-mail

Veruit de grootste oorzaak voor het verspreiden van malware is e-mailverkeer. Je kent ze vast wel: de mailtjes die melden dat je nog verzendkosten moet betalen, je een levering hebt gemist of dat er iets mis is met je bankrekening. Werknemers worden in dit scenario gevraagd om dringend actie te ondernemen zoals (gevoelige) gegevens doorgeven, een bestand downloaden of een betaling uitvoeren. Wie hier onbezonnen op reageert, krijgt gegarandeerd af te rekenen met malware.

Websites

Net zoals links die je in e-mails ontvangt, ben je best voorzichtig met links die je tegenkomt op websites. Klik niet zomaar op onbekende links en download ook niet zomaar bestanden of software op websites die je niet kent. De kans bestaat namelijk dat je op die manier malware toegang geeft tot je computer of laptop.

Besmette hardware

Naast e-mailverkeer en websites vormt ook hardware een mogelijk risico voor de veiligheid van jouw toestellen. Maak daarom niet zomaar verbinding met vreemde toestellen zoals harde schijven, andere laptops of usb-sticks. Ook hier kunnen besmette bestanden op staan.

Niet-bijgewerkte servers, software of services

We promoten niet voor niets de inlassing van een strikt IT veiligheidsbeleid & updatebeleid in organisaties! Wanneer je servers onvoldoende bijgewerkt worden, je met een verouderd besturingssysteem werkt, er shadow IT wordt geïnstalleerd of verkeerde poorten opengesteld staan, verhoogt de kans op malware-, en ransomwareinfecties aanzienlijk.

Waar kan je proactief op letten om malware te voorkomen?

Ransomware-infecties zijn dikwijls niet onmiddellijk zichtbaar. Proactieve beveiligingsmaatregelen zijn echt een must om deze vorm van internetcriminaliteit tegen te houden. Las daarom de volgende veiligheidsmaatregelen in:

Sensibilisering

Door logisch na te denken, kan je al veel issues vermijden. Zorg voor gebruikersopleidingen die hen in staat stellen om kritisch te zijn bij o.a. het verwerken van e-mails, zeker bij onbekende afzenders.

Enkele tips:

  • Lees steeds de omschrijving van de inkomende e-mails en controleer het e-mailadres van de afzender. Verifieer of het om een bestaand bedrijf gaat, en controleer of de inhoud van de e-mail klopt (is er daadwerkelijk een pakket onderweg van deze verzenddienst?)
  • Twijfel je over een bepaalde e-mail? Open hem niet maar stuur hem door naar je IT partner ter controle.
  • Weet dat een pakketdienst, bank, telecomprovider of betaaldienst je nooit een bijlage stuurt, en nooit vraagt naar vertrouwelijke gegevens of wachtwoorden.
  • Vaak zitten er spellingsfouten in de onbetrouwbare e-mails omdat cybercriminelen anderstalig zijn. Werp een kritische oog op het taalgebruik.
  • Bekijk de links die in de e-mail staan. Controleer hoe ze zijn opgebouwd en parkeer je cursor eerst op de link om te zien naar welke website hij je wil brengen. Is deze verdacht? Ga er dan zeker en vast niet op klikken!

Spamfilter

Een degelijke spamfilter is een absolute must voor elke onderneming. Deze zorgt er namelijk voor dat e-mailberichten met slechte bedoelingen grotendeels proactief weggefilterd worden.

Antivirus en firewall

De firewall controleert alle informatie die het netwerk wilt binnenkomen. Wanneer er verdacht verkeer wordt gesignaleerd, houdt de firewall dit tegen. Ook blokkeert de firewall ongebruikte toegangspoorten. Antivirussoftware gaat daarnaast actief op zoek naar indicaties dat er malware aanwezig is in bestanden. Komt hij geïnfecteerde bestanden tegen? Dan worden deze bestanden direct onschadelijk gemaakt en verwijderd.

Back-uproutine

Maak gebruik van de 3-2-1 back-upregel. Ze stelt dat je bestanden op 3 verschillende locaties dient te bewaren, op 2 verschillende opslagmedia waarvan 1 op een offsite locatie staat. Door met een externe locatie te werken of een back-up in de cloud ben je ook gewapend tegen dataverlies door overmachtsituaties waaronder diefstal of brand.

Combineer een:

  • synchronisatieback-up die continu al je bestanden synchroniseert met een externe server
  • termijnback-up die op vaste tijdstippen een volledige situatieback-up neemt en er een aantal versies en revisies van bewaart
  • offline back-up die niet toegankelijk is via het internet

Toegangsbeperking

Geef je collega’s of werknemers enkel toegang tot bestanden die zij nodig hebben. Wanneer je dit doet, perk je risico’s in.

Merk je verdachte zaken op?

Heb je per ongeluk toch op een verdachte mail, link of bijlage geklikt? Of is er op een andere manier malware op je werktoestel of in het bedrijfsnetwerk binnen geraakt? Signaleer dit onmiddellijk aan je IT partner. De snelheid van handelen is immers bij ransomware-aanvallen cruciaal.

Ook proactief handelen is van groot belang. Zeker gezien de strenge GDPR die stelt dat je een passende beveiliging moet voorzien voor de persoonsgegevens die er in het bedrijf verwerkt worden.

Scroll naar boven