Wat is ransomware en wat betekent het voor jouw bedrijf?

De malware die jouw computer gijzelt - wij geven 5 tips.

Auteur: Sanne
Datum: 30/01/2017
Leestijd: 7 Minuten

Het nieuws wordt overspoeld met gijzelingen in het openbare leven. Een winkelketen die is overvallen, een straatroof: het is iedereen wel bekend. Maar wat nu als je niet offline, maar online wordt gegijzeld? Dit gebeurt met ransomware.

Wat is ransomware?

Ransomware is een vorm van malware die je bestanden gevangen houdt. ‘Ransom’ betekent ook wel ‘gijzeling’, en dat is ook wat ransomware met je computer doet. Door ransomware worden bestanden van je computer of zelfs heel je computer gevangen gehouden. Je kan pas weer toegang tot je bestanden krijgen als je een ransom betaald: een betaling aan een onbekend bedrijf in bitcoins. Als je dit niet doet, worden al je bestanden verwijderd. Security.nl meldt dat Magento webshops een aantrekkelijk doelwit voor ransomware aanvallen zijn. Sommige nieuwsbronnen melden zelfs dat 2016 hét jaar van online afpersing wordt. Deze betonfabrikant kan erover meepraten.

Blijf op de hoogte van het laatste nieuws op het gebied van cybersecurity!

Ransomware aanval: betalen om je bedrijfsdata terug te krijgen

In het geval van online afpersing is de neiging om het bedrag te betalen groot. Als je vast zit in een kamer en eruit wil, zal je ook snel het geld betalen. Toch is dit natuurlijk niet de beste manier. Betaal je het bedrag, dan heb je nog steeds geen zekerheid om je bestanden terug te krijgen. Ook worden de criminelen zo aangemoedigd om door te gaan. Ransomware is de overkoepelende term voor verschillende vormen van virussen die je software gijzelen. Bij sommige ransomware kun je, je computer niet eens meer opstarten, terwijl een andere vorm van ransomware, genaamd ‘cryptoware’, alleen bestanden versleutelt op je harde schijf. In 2015 was cryptomalware erg in opkomst, zoals te lezen is in ons Threat Report. Ransomware is een serieus probleem: als mallware is het een van de snelst groeiende vormen van cybercrime.

ransomware 1

Voorkomen is beter dan genezen, want het kan ook jouw bedrijf overkomen. Onlangs deelden we hoe een kleine Amerikaanse betonproducent slachtoffer werd van een ransomware aanval, genaamd CryptoWall. Na twee dagen van stilstaande productie, besloot het bedrijf om het losgeld te betalen om het systeem te decoderen. En ze huurden externe adviseurs in om het netwerk schoon te maken. Helaas werd, ondanks het betalen van het losgeld, een deel van de boekhoudkundige informatie naar verluid nooit teruggevonden. De informatie is nooit volledig gedecodeerd en het bedrijf had geen up-to-date back-ups. Daarom is het belangrijk om te weten hoe ransomware wordt verspreid. Bestanden kunnen binnenkomen via onveilige links, bijlages in een email, advertenties en downloads. Vaak lijkt een bestand dat je wil gaan downloaden op een normaal .jpeg bestand, maar blijkt het in realiteit een heel ander bestand te zijn, namelijk een .exe. Veel bestanden komen binnen via een vage e-mail met een bijlage. Als je deze link opent, zorgt de ransomware ervoor dat al je bestanden worden versleuteld. Zo kan o.a. belangrijke informatie van je bedrijf worden gestolen. Ook kan een ransomware op je computer komen door pas geïnstalleerde programma’s.

Ransomware-criminelen willen best onderhandelen over de prijs

Ransomware-criminelen doen er alles aan om hun slachtoffers zo goed mogelijk van dienst te zijn. Vaak loont het dan ook over de prijs te onderhandelen. Dit concludeert F-Secure na een experiment met vijf moderne ransomware-varianten.

Het beveiligingsbedrijf beoordeelde de ‘klantervaring’ van de ransomware, van het scherm waarin om losgeld wordt gevraagd tot de interactie met de cybercriminelen. Het experiment staat beschreven in het rapport Evaluating the Customer Journey of Crypto-Ransomware and the Paradox Behind It.

Cybercrime-unicorns verdienen miljarden met ransomware

Ransomware is zeer effectief. Elk slachtoffer van ransomware krijgt een unieke wallet (portemonnee) om bitcoins naar over te maken. Na het betalen verplaatsen sommige ransomware-bendes de bitcoins naar een centrale wallet.

‘We hebben een aantal van die wallets gemonitord’, vertelt Mikko Hyppönen, Chief Research Officer van F-Secure. ‘En we zien hoeveelheden bitcoins die miljoenen waard zijn. Het gaat echt om heel veel geld.

Heb jij je al aangemeld voor onze maandelijkse nieuwsbrief?

Ransomware blijft in ontwikkeling

Regelmatig duikt er nieuwe ransomware op. De techniek wordt steeds geavanceerder en steeds moeilijker te bestrijden. Spora bijvoorbeeld, deze nieuwe ransomwarevariant beschikt over een geavanceerd betaalsysteem en genereert geen netwerkverkeer. Daardoor kan deze versie offline werken, zonder contact te maken met een command and control-server.

Ransomware in actie zien?

In de video hieronder zie je de Locky ransomware in actie. Ongelooflijk hoe snel dat gaat.

Wat betekent het voor jouw bedrijf en wat doe je er tegen?

Ben je als bedrijf niet voorbereid op ransomware, dan ligt je bedrijf na een ransomware-aanval compleet stil. Alle gegevens zijn versleuteld en zonder back-ups kan je niks meer. Daarom is het belangrijk om goed voorbereid te zijn:

  1. Zorg dat je voorbereid bent op een aanval. Krijg je een ransomware binnen, dan kun je weinig doen. Probeer daarom vooral preventief te handelen.  Word je getroffen door een ransomeware-aanval, dan moeten je bestanden al keurig in back-ups staan. Zo is het effect na het krijgen van een ransomware veel minder heftig, omdat je de gegevens toch nog in handen hebt. Hierbij is het ook van belang om een goed herstelplan (recovery) te hebben. Leer meer hierover in de lab-webinar opname: Reageren op een incident.
  2. Zorg dat je werknemers bewust zijn van de werkwijze van criminelen achter ransomware. Door middel van simpele bijlages in e-mails kan heel jouw bedrijf al slachtoffer worden van ransomware. Spreek met je werknemers regels af voor het openen van bestanden en het downloaden van programma’s. Een bestand van een collega is namelijk niet per definitie betrouwbaar. Ook een collega kan lasthebben van een virus die langs de mail probeert meerdere computers te infecteren.
  3. Blijf up-to-date. Criminelen achter ransomware lijken te zoeken naar gaten in systemen. Deze gaten bevinden zich vaak in software die niet up-to-date is. Een update gaat vaak gepaard met een verbeterde beveiliging. Vind zelf al gaten in software door gebruik te maken van een virusscanner en erop te letten dat systemen en applicaties op tijd worden gepatcht als er een beveiligingslek wordt geconstateerd. Zo kan de grote van de schade worden ingeperkt. 70 procent van alle bedrijven is nog altijd kwetsbaar is voor cyberaanvallen doordat ze nalaten om hun bedrijfsapplicaties bij te werken met de laatste beveiligingsupdates (‘patches’).  Onze zakelijke beveiligingsoplossingen integreren automatisch patch management. Zo ben je op ieder moment verzekerd van de laatste versie van je software (ook van derden), waardoor je beter beschermd bent voor ransomware aanvallen via kwetsbaarheden in software.
  4. Schakel je internetverbinding uit. Dit is vooral van belang in een vroeg stadium bij besmetting met ransomware. Zie je iets verdachts op je computer, dan is het belangrijk om meteen je internetverbinding uit te zetten. Zo zorg je ervoor dat de criminelen de Command en Control server niet kunnen krijgen en dus ook niet kunnen beginnen met versleutelen. Lees ook: Wat moet je doen als je gehackt bent?
  5. Spreek met je werknemers af bekende kwaadaardige Tor IP-adressen te blokkeren. Tor gateways zijn belangrijke middelen voor ransomware om te communiceren met hun Command en Control server. Spreek je af om deze IP-adressen te wissen, dan kan deze gemakkelijkheid voor de criminelen al worden weggehaald. Doordat criminelen achter ransomware filteren op slechte beveiliging en niet selecteren in wie ze willen infecteren, is dit een belangrijke stap die je moet zetten.

En mocht je dan toch slachtoffer worden… Het betalen van het geld is waarschijnlijk fiscaal aftrekbaar deelt F-Secure’s Security Advisor Sean Sullivan op Twitter. Volg hem voor het laatste nieuws vanuit ons Lab.

The State of Cyber Security 2017

Download hieronder ‘The State of Cyber Security 2017’, ons gloednieuwe onderzoeksrapport vol met analyses, gegevens en inzichten van experts om jou te helpen het veranderende security landschap inzichtelijk te krijgen.

threat report 2017


Post Comment

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s