Een vervelend kenmerk van ransomware is het vermogen om bestanden te versleutelen en gebruikers van bedrijfscomputers buiten te sluiten, waardoor belangrijke werkprocessen worden verstoord.
Het resultaat? Volgens het IBM Cost of a Data Breach Report 2024 bedragen de gemiddelde kosten van een ransomware-aanval 4,91 miljoen USD, waarbij deze kosten kunnen oplopen, afhankelijk van de betrokkenheid van wetshandhavingsinstanties. Naast de financiële schade kan het herstel van een aanval dagen, maanden of zelfs jaren duren, afhankelijk van factoren zoals de persistentie van de dreigingsactor in de getroffen systemen of de paraatheid van het beveiligingsteam.
Herstel en de bijbehorende kosten zijn dus problematisch, tot het uiterste punt waarop een bedrijf een losgeldbetaling overweegt en vertrouwt op de "welwillendheid" van de aanvaller om de ontcijferingssleutel te verstrekken. Het spelen van deze gok kan bedrijven echter achterlaten in de puinhopen van hun beveiligingsfalen. Maar wat als er een manier was om te ontsnappen aan deze kostbare versleutelingstactiek?
Een kritieke dreiging voor bedrijven van alle groottes
Door de voortdurende evolutie van ransomware en de betrokkenheid van statelijke actoren, is het dreigingslandschap bijzonder ongunstig voor kleine en middelgrote bedrijven (mkb), ondernemingen en overheidsinfrastructuur. Ransomware is inmiddels verantwoordelijk voor 23% van alle beveiligingsinbreuken, volgens het Verizon Data Breach Investigations Report.
Vooral mkb's lopen extra risico vanwege lagere budgetten voor cyberbeveiliging. Zij bevinden zich in het vizier van ransomwaregroepen (in de regio Azië-Pacific ontdekte ESET dat 1 op de 4 cyberaanvallen op mkb's ransomware betrof).
Daarom is preventie de beste manier om ransomware te stoppen. ESET erkent dat preventie de eerste stap is naar succesvolle cyberbeveiliging. Dit blijkt onder andere uit onze ESET MDR-succesverhalen van ETeC 2024, waarin onze beveiligingsteams Mallox ransomware al in een vroeg stadium wisten te stoppen voordat er schade kon ontstaan. Bovendien is ESET Ransomware Shield ontwikkeld als onderdeel van het ESET Host-based Intrusion Prevention System (HIPS), een module die ransomware in real-time kan detecteren en neutraliseren.
Voor bedrijven die zich niet uitsluitend willen richten op preventie, is het alsnog cruciaal om geen losgeld te betalen, maar in plaats daarvan te investeren in effectieve herstelstrategieën.
Typische ransomware-herstelmethoden: een verloren strijd?
Er zijn drie gangbare manieren om te reageren op een ransomware-aanval:
- Herstellen van systemen via back-ups
- Wachten op een openbaar vrijgegeven ontcijferingssleutel, vaak geleverd door beveiligingsonderzoekers
- Losgeld betalen en hopen op een werkende ontcijferingssleutel
Het probleem? Geen van deze methoden is waterdicht. Back-ups vormen het beste alternatief na preventie, omdat ze een systeem terug kunnen brengen naar een stabiele staat na een malware-aanval, een slechte update of bij migratie naar een nieuw apparaat. Toch zijn back-ups niet onfeilbaar. Zelfs als ze correct zijn geconfigureerd, bieden ze geen garantie dat alle gegevens intact blijven.
Daarnaast is het verkrijgen van publiek beschikbare ontcijferingssleutels geen snelle oplossing. Hoewel initiatieven zoals No More Ransom (waar ESET aan deelneemt) ransomware blijven analyseren en ontcijferen, kost dit tijd en middelen. Een bedrijf kan hierdoor jarenlang geblokkeerd blijven, wat uiteraard geen wenselijk scenario is.
Tot slot luidt het algemene advies van beveiligingsexperts om geen losgeld te betalen. Mocht een bedrijf toch overwegen dit te doen, dan moet het dat altijd in samenwerking met wetshandhavingsinstanties en cyberverzekeraars doen voor aansprakelijkheid en documentatie.
Wat als we de tijd konden terugdraaien (op ransomware)?
Laten we dieper ingaan op back-ups. Hoewel ze essentieel zijn, kunnen ze zelf doelwit worden van aanvallers. Hoe minder kans een bedrijf heeft om zijn systemen zelfstandig te herstellen, hoe groter de kans dat het losgeld zal betalen.
Een recent voorbeeld: het ESET MDR-team ontdekte een dreigingsactor die een kwetsbaarheid in back-up- en herstelsystemen wilde misbruiken om back-ups te verwijderen. Een vergelijkbare tactiek is het versleutelen of corrumperen van back-ups, iets wat in 94% van de gevallen gebeurt. Bedrijven zonder goed beschermde back-ups hebben daardoor bijna dubbel zo hoge herstelkosten.
Aangezien ransomware zich steeds vaker op back-ups richt, heeft ESET zijn Ransomware Shield uitgebreid met extra technologie: ESET Ransomware Remediation – waarmee bedrijven hun toekomst beschermen door middel van het verleden.
Wat is ESET Ransomware Remediation?
Het minimaliseren van bedrijfsimpact bij een ransomware-aanval is essentieel. ESET Ransomware Remediation (RR) combineert preventie en herstel in een allesomvattende, meerfasige aanpak tegen versleuteling.
Het proces begint met ESET Ransomware Shield (RS), dat wordt geactiveerd bij verdachte activiteiten. Net als andere gedragsgebaseerde detectiesystemen zoals HIPS, werkt het samen met ESET LiveSense-technologieën om malware tot in de kern te analyseren. Indien ransomware wordt vermoed, wordt het proces gemarkeerd en remediatie gestart.
ESET Ransomware Remediation begint dan onmiddellijk met het maken van back-ups van elk bestand dat door het verdachte proces wordt gemanipuleerd. Dit proces blijft doorgaan totdat RS bepaalt of het proces moet worden beëindigd en bestanden hersteld, of dat het proces mag doorgaan en de back-ups worden verwijderd.
Met deze technologie kunnen bedrijven de tijd terugdraaien op ransomware en hun kritieke systemen beschermen tegen versleuteling, zonder afhankelijk te zijn van aanvallers of onzekere decryptiemethoden.