Digitale weerbaarheid

Hoe bedreigend zijn de nieuwste trends in Ransomware?

10 minuten leestijd

Ransomware is één van de meest voorkomende cyberbedreigingen voor kleine en middelgrote ondernemingen. Ondanks het feit dat je je al bewust bent van de schade die ransomware kan aanrichten, doen de cybercriminelen achter dergelijke aanvallen hardnekkige pogingen om elke zwakte in jouw afweer te ontdekken. Aanvallen op databases, webservers en smartphones nemen toe.


Welke antwoorden vind je in dit artikel?

  • Hoeveel ransomware jouw bedrijf kan kosten
  • Hoe ransomwaretechnieken in de loop der tijd zijn geëvolueerd
  • Wat de meest voorkomende schade is van ransomware aanvallen
  • Wat een IT-beheerder kan doen om ransomware te voorkomen

Zelfs als je jouw gegevensbescherming al hebt verbeterd, kan het zijn dat jouw bedrijf andere beveiligingsmaatregelen moet nemen om nieuwe ransomware-varianten aan te pakken die je elke dag proberen te bereiken. Eén op de vijf mkb's werd in 2019 het slachtoffer van een ransomware-aanval, en ook tijdens de COVID-19-crisis deden zich nieuwe soorten aanvallen voor. Volgens het Cybersecurity Ventures-rapport over de wereldwijde schadekosten van ransomware, waren ransomware-aanvallen in 2020 elke 11 seconden het doelwit van bedrijven.

Zelfs als je erin slaagt jouw apparaten tegen deze aanvallen te beschermen, kun je de strijd nog steeds verliezen door andere vectoren, zoals kwetsbaarheden die je tot nu toe niet hebt gepatcht en die door malware kunnen worden uitgebuit. Een slecht beveiligd Remote Desktop Protocol (RDP), te veel online diensten die tegelijkertijd open staan, ongepatchte besturingssystemen of verouderde versies van beveiligingsoplossingen - dit zijn allemaal risicofactoren die vandaag moeten worden aangepakt.

Bedrijven maken vaak gebruik van verouderde beveiligingsoplossingen, die mogelijk een aantal cruciale beschermingslagen missen die nodig zijn om ransomware-bendes af te weren.

Om er zeker van te zijn dat je alles hebt gedaan wat je kunt, moet je een oplossing kiezen die krachtig is onder de motorkap en beschermt met meerdere lagen. Bovendien vragen effectieve IT-beveiligingsoplossingen om investeringen. Als je jouw directie nog steeds niet hebt kunnen overtuigen om het IT-beveiligingsbudget te verhogen, vind je hieronder een paar redenen om ransomware serieuzer te nemen.

De kosten van ransomware nemen toe

In het nieuws zien we bijna dagelijks voorbeelden van ransomware-aanvallen. Bij deze aanvallen ontbreekt het vaak aan ethiek en medeleven. Dit was vooral duidelijk in de gevallen van ziekenhuizen die wekenlang verlamd waren door ransomware-aanvallen tijdens de pandemie van het coronavirus.

In de afgelopen paar jaar zijn de kosten van de schade als gevolg van ransomware dramatisch toegenomen.

In 2017 kon de WannaCry ransomware meer dan 200.000 machines over de hele wereld infecteren. Een andere enorme uitbraak werd slechts enkele weken later uitgevoerd door de TeleBots-groep, die hun ransomware-achtige gegevenswisser genaamd NotPetya ontketende. Dat incident begon in Oekraïne en trof grote banken, nutsbedrijven en telecommunicatiediensten, maar verspreidde zich ook over de netwerken van internationale bedrijven, waar gegevens onherroepelijk werden vernietigd. In dit geval hielp zelfs het betalen van losgeld niet, als gevolg van een fout in het decryptiemechanisme. Tot op de dag van vandaag wordt NotPetya beschreven als de meest verwoestende cyberaanval in de geschiedenis, die meer dan 10 miljard dollar schade heeft veroorzaakt.

De meest wijdverspreide vorm van ransomware - cryptoransomware - versleutelt gebruikersbestanden die zijn opgeslagen op schijf- en netwerkshares. Geen bedrijf is te klein voor dit soort cyberaanvallen. Uit een door Infrascale uitgevoerd onderzoek onder meer dan 500 C-level executives van KMO's bleek dat 46% van de respondenten al was getroffen door ransomware-aanvallen. Van hen gaf 73% toe losgeld te hebben betaald om hun gegevens te kunnen herstellen.

Simpel gezegd, brengt ransomware grote schade toe aan economieën en bedrijven. Een ander verhaal - het geval van de overheid van Baltimore, die door ransomware werd getroffen - eindigde in het feit dat het slachtoffer 10 miljoen dollar betaalde voor het herstel van de gegevens en nog eens 8 miljoen dollar aan gederfde inkomsten.

Gemeenten, universiteiten, luchthavens en ziekenhuizen worden vaak getroffen door ransomware omdat zij een gemakkelijk doelwit zijn en vaak kwetsbare systemen gebruiken. De gevraagde betalingen lopen in dergelijke gevallen vaak in de honderdduizenden of zelfs miljoenen dollars.

Bovendien is er een grijze zone van bedrijven die een ransomware-aanval niet melden, in een poging dreigende boetes door de autoriteiten en mogelijke reputatieschade te vermijden. Bovendien zijn ze soms niet bereid toe te geven dat ze een gebrekkige beveiliging hadden.

Helaas voor dergelijke bedrijven publiceren de ransomware-bendes vaak de namen van hun slachtoffers en lekken ze zelfs hun gegevens via dark websites. Dit dwingt de meeste bedrijven om het incident te erkennen en met de aanvallers te onderhandelen. Bij ransomware is, net als bij alle andere malware, preventie de beste verdediging - en ook één van de belangrijkste eisen van de autoriteiten.

Aanvallers worden steeds agressiever

Hoe zijn de methoden van aanvallers de afgelopen jaren veranderd? Wel, cybercriminelen hebben heel wat innovaties geïntroduceerd.

Voordat ransomware zich op organisaties begon te richten, gebruikten hackers spam-e-mails als hun belangrijkste distributiekanaal, waarbij ze in grote campagnes in de inboxen terechtkwamen. Als slachtoffers werden gecompromitteerd, werd hen meestal gevraagd een paar honderd dollar te betalen om hun gegevens gedecodeerd te zien - wat soms niet gebeurde.

Een dergelijk "bedrijfsmodel" leverde echter niet veel op, en de aanvallers moesten hun strategie wijzigen. Tegenwoordig hebben deze sterk georganiseerde bendes het vooral gemunt op verkeerd geconfigureerde diensten en de toegang op afstand van hun slachtoffers. Criminelen zijn ook begonnen te onderhandelen over individuele losgelden, zodat elk bedrijf om een andere prijs wordt gevraagd. Om de effectiviteit van hun distributie te vergroten, zijn deze bendes ook botnets gaan gebruiken, die een betere bezorgmethode bieden voor hun gemene pakketten.

De losgeldbrieven zijn ook veranderd. Vroeger was het een kort bericht met wat algemene informatie, waarin stond dat je $300 moest betalen aan een bitcoin wallet. Nu laten de aanvallers eenvoudige tekstbestanden achter op je computer, die je leiden naar hun landingspagina of e-mailadres, waar je moet onderhandelen over de prijs voor decryptie. Om hun operators anoniem te houden, zijn de meeste van deze landingspagina's alleen beschikbaar op het dark web.

Een andere grote trend verscheen in november 2019 toen ransomwarebende Maze zijn slachtoffers begon te doxen in plaats van alleen hun gegevens te versleutelen. Doxing is een techniek waarbij criminelen gevoelige informatie stelen en dreigen deze te publiceren. Dit biedt de aanvallers een hefboomeffect, aangezien de mogelijke boetes onder gegevensbeschermingswetgeving zoals GDPR of CCPA in Californië enorm kunnen zijn, om nog maar te zwijgen over de reputatieschade of het mogelijke lekken van knowhow.

Aangezien deze techniek zo doeltreffend is gebleken, is het niet verwonderlijk dat vele andere ransomware-bendes dit voorbeeld hebben gevolgd en er vandaag gebruik van maken.

Ransomware-trends die het cyberbeveiligingslandschap vanaf 2020 vorm gaven

Niet verrassend waren open poorten - in het bijzonder het remote desktop protocol (RDP) - een belangrijke vector voor ransomware-aanvallen. Hackers hebben actief brute-force aanvallen op RDP uitgevoerd, maar ze hebben ook andere kwetsbaarheden in verschillende oplossingen gebruikt - Pulse Secure of Citrix VPN's - om bedrijfsnetwerken binnen te dringen.

Ransomware-aanvallen zijn veeleisender geworden. Naast het versleutelen en stelen van gegevens, kunnen aanvallers nu ook een DDoS-aanval op een website uitvoeren, waardoor de druk om te betalen toeneemt.

Ransomware-bendes zullen organisaties de inbreuk niet laten verbergen om hun reputatie te redden. Integendeel, om de schande zo publiek mogelijk te maken, verschijnen de namen van de slachtoffers op het dark web en - als ze weigeren mee te werken - ook de gestolen gegevens.

Om de druk op te voeren, drukken sommige ransomware-groepen hun slachtoffers op een bom. Dit betekent dat de aanvallers alle beschikbare printers in het netwerk van het bedrijf dwingen om het losgeldverzoek af te drukken.

Sinds augustus 2020 bellen ransomware-bendes slachtoffers die de betaling proberen te ontlopen koud op. Deze telefoontjes worden meestal uitgevoerd via gecontracteerde callcenters. Sommige cyberbeveiligingsbedrijven denken dat ransomware-bendes waarschijnlijk dezelfde uitbestede callcentergroep gebruiken.

De verliezen die veroorzaakt zijn door ransomware kunnen jouw bedrijf vernietigen

De prijs van ransomware houdt niet op bij het betalen van het losgeld. Extra kosten ontstaan wanneer het getroffen bedrijf een verlies van bedrijfsproductiviteit ervaart of een bedrijfsbedreigende downtime ervaart. De daaruit voortvloeiende verstoring en financiële verliezen kunnen slopend zijn voor jouw bedrijf.

Als ransomware eenmaal toeslaat, kan het heel moeilijk zijn om de IT-systemen weer op te bouwen en de goede naam van het merk te herstellen. Je kunt miljoenen dollars uitgeven en duizenden lange uren besteden aan herstelwerkzaamheden en nog steeds niet volledig herstellen van de verliezen. Al je projecten staan in de wacht totdat je jouw systemen kunt beveiligen en weer toegang hebt tot de bestanden die je nodig hebt.

Een nieuwe trend die ransomware-incidenten nog gevaarlijker maakt, is de combinatie van gegevensversleuteling met gegevensexfiltratie. De aanvallers versleutelen niet alleen en ontzeggen zo de toegang tot bijvoorbeeld prototypes of octrooien of onderzoek van uw bedrijf, maar ze kunnen die informatie ook exfiltreren en verkopen op dark web-marktplaatsen. Bovendien kan jouw organisatie, afgezien van het feit dat de gegevens gecompromitteerd zijn, een boete opgelegd krijgen omdat ze de gevoelige gegevens van haar werknemers en klanten niet heeft beschermd.

Wat de omvang van deze nare "business" betreft: In een interview voor een Russische OSINT tech blog, beweerden de ontwikkelaars van de Sodinokibi ransomware dat ze meer dan 100 miljoen dollar in één jaar hadden verdiend. De operators van de Ryuk ransomware hebben zelfs nog meer verdiend. Geschat wordt dat met bedrijven over de hele wereld die de instructies opvolgden en het losgeld betaalden, de Ryuk bende ongeveer $150 miljoen in bitcoins heeft ontvangen.

Wat kun je als IT-beheerder doen om ransomware te voorkomen?

Wacht niet tot er een briefje met losgeld op je scherm verschijnt. Bescherm in plaats daarvan je RDP met een sterk wachtwoord en multifactorauthenticatie.

Maak regelmatig back-ups van je gegevens en besturingssystemen, en bewaar ten minste één volledige back-up van de meest waardevolle gegevens offline.

Houd alle software en apps - inclusief besturingssystemen - up-to-date. Gebruik een betrouwbare, meerlaagse beveiligingsoplossing die is gepatcht en goed is geconfigureerd voor de beste bescherming tegen ransomware.

Om de aanvalskans zo dicht mogelijk bij nul te brengen, voeg je nog een verdedigingslaag toe - een cloudgebaseerde sandbox-oplossing. De sandbox-technologie detoneert verdachte bestanden in een gecontroleerde omgeving, buiten jouw netwerk.

En last but not least: train medewerkers zodat ze weten en begrijpen met welke cyberdreigingen ze te maken kunnen krijgen.