9min

Bij veel securityprofessionals staat ransomware al jaren op de radar. Het is immers een van de meest voorkomende en destructieve vormen van malware. Je kan binnen jouw organisatie het best maatregelen nemen tegen deze dreiging. In dit artikel gaan we wat verder in op hoe ransomware zich ontwikkelt en wat ertegen valt te doen.

In de meeste lijstjes met veelvoorkomende malwarevormen neemt ransomware al jaren een toppositie in. Dat is op zich niet zo heel vreemd als je naar het lucratieve karakter kijkt. Door succesvol te infecteren en mogelijk een compleet netwerk plat te leggen, halen cybercriminelen tonnen tot miljoenen op. Zolang zij zulke forse bedragen op kunnen halen met het vergrendelen van computers en bestanden, zal de aanvalsvorm frequent voor blijven komen.

Aanvallers gaan stappen verder

Dat ransomware een serieuze bedreiging is en blijft, blijkt onder meer uit de veranderingen door de jaren heen. Voorheen vielen hackers gewoonweg een grote hoeveelheid devices aan en vroegen ze enkele honderden tot duizenden euro’s voor het vrijgeven van een geïnfecteerd endpoint en de bestanden. Gezamenlijk vormden alle betalingen een voor de criminelen mooi bedrag.

Inmiddels is ransomware dusdanig gefinetuned dat het converteren van een enkel doelwit al gigantische bedragen oplevert. Dat finetunen zit hem onder meer in een dreigendere boodschap. Organisaties bleken wel losgeld te betalen als endpoints en bestanden vergrendeld waren, maar het dreigen met het online zetten van bedrijfsdata bij het uitblijven van betaling bleek effectiever. Dat is iets wat bedrijven absoluut willen voorkomen. Cybercriminelen kunnen hier zelfs nog een stapje verder in gaan, met de dreiging om bij een stap van het slachtoffer naar officiële instanties direct alle bestanden online te plaatsen en de bijbehorende sleutel te verwijderen.

Als aanvulling op deze dreigendere boodschap, richten hackers zich ook vaak op specifieke doelwitten. Het kan dan gaan om organisaties die bij infectie een extra groot probleem hebben, bijvoorbeeld door ze precies op een moment te hacken wanneer het ze absoluut niet uitkomt. De hackers komen binnen, schakelen securitysoftware uit en verwijderen kopieën, waarmee het aannemelijk wordt dat het bedrijf in nood betaalt. Mede door dergelijke stappen groeit procentueel gezien het aantal organisaties dat na infectie betaalt; meer dan vier op de vijf slachtoffers zou inmiddels aan de eis voldoen.

Innovatie brengt ransomware naar iedereen

De slimmer wordende cybercriminelen weten inmiddels dus effectiever te handelen, maar daar houdt het qua innovatie niet op. Zo zijn ze op zoek gegaan naar het verbreden van hun activiteiten en uitgekomen bij een as a service-model voor de verspreiding van de schadelijke software. Ervaren cybercriminelen die weten hoe malware te maken en aan te bieden, ontwikkelen nu zogeheten Ransomware as a Service (RaaS). RaaS-operators maken de ransomware, bieden ondersteuning en leveren middelen voor het afhandelen van de betaling. Via het dark web en forums verspreiden de makers RaaS, iets wat redelijk simpel is.  

Dankzij RaaS hoeven afnemers niet bezig te zijn met het schrijven van de ransomware en complexe infrastructuurzaken. Ze spenderen nagenoeg alleen tijd aan het uitvoeren van de aanval. De opbrengsten uit succesvolle aanvallen worden vaak verdeeld tussen de maker en de afnemer, zodat beiden eraan verdienen. Een ander verdienmodel is de RaaS baseren op een licentiebedrag. Hackers die RaaS afnemen worden doorgaans aangespoord de dienst bij collega’s onder de aandacht te brengen, om nog wat extra te verdienen.

Cybercriminelen zijn ondertussen dan ook gewend geraakt aan het verspreiden van malware via nieuwe modellen op ondergrondse forums. Via deze kanalen kunnen inmiddels professionele aanvallen besteld worden. Daarmee lijkt het aantal mensen dat ransomware uitvoert of laat uitvoeren te blijven groeien.

Hybride vormen

Hackers stoppen om schade aan te richten bij bedrijven ook tijd in het ontwikkelen van hybride varianten. Dergelijke aanvallen maken gebruik van verschillende malware-elementen, bijvoorbeeld een Trojan en ransomware. Op die manier combineren hackers ‘het beste van alle aanvallen’: de Trojan kan nieuwe malafide onderdelen downloaden, om vervolgens ransomware op het endpoint te installeren. Hier worden regelmatig bekende succesvolle malwarefamilies voor gebruikt, zoals Emotet en Ryuk. Zulke combinaties richten in potentie nog meer schade aan dan ransomware in zijn eentje kan veroorzaken.

Ieder bedrijf interessant doelwit

Door precies dit soort innovaties en de gigantische opbrengsten zijn bijna alle organisaties vandaag de dag interessante doelwitten. Dit ongeacht de bedrijfsomvang, want de potentieel aan te richten schade is enorm. Kleine bedrijven lopen net zo goed gevaar, de praktijk leert dat ook zij flink in de buidel tasten voor ontsleuteling. Wel is het zo dat de grote organisaties potentieel meer opleveren voor hackers vanwege de grote bijkomende gevolgen. Zo werd eerder dit jaar bijvoorbeeld het complete oliepijplijnnetwerk van de grootste olietransporteur aan de oostkust van de Verenigde Staten platgelegd door ransomware. Het bedrijf betaalde miljoenen, burgers hamsterden brandstof en de brandstofprijzen stegen. Daarmee ontregelden hackers een complete gemeenschap.

Alles bij elkaar lijkt de kans om slachtoffer te worden van de malwarevorm steeds groter. Hackers voeren de aanvalsfrequentie op, wat het risico vergroot. Securityprofessionals vertellen ons onder meer dat er slechts zicht is op het topje van de ijsberg.

Minimale veiligheid op orde brengen

De zichtbaar toenemende risico’s willen echter niet zeggen dat je organisatie op ransomwarevlak verloren is. Door goed na te denken over wat je kan doen tegen de dreiging, zet je al grote verdedigingsstappen. In principe begint dit bij het op orde brengen van de basis. Klinkt logisch, maar het gaat nog vaak fout door basisbeveiliging niet toe te passen. Het merendeel van de cyberaanvallen blijkt over het algemeen zelfs te voorkomen met een goed beveiligingssysteem en -beleid.

Veel securityexperts pleiten daarom voor ‘cyberhygiëne’, oftewel de minimale veiligheidsvereisten implementeren en blijven volgen. Hieronder lichten we de basisprincipes kort uit, waarna we de stappen daarbovenop behandelen vanaf het tussenkopje ‘Hypothese brengt organisaties verder’.

Patching

Er verschijnen maandelijks updates om beveiligingsproblemen op te lossen in systemen en software. Idealiter worden de patches allemaal geïnstalleerd, want dan blijven de oplossingen veilig. In veel gevallen is dat een simpele taak, maar het moet wel gebeuren en kan soms veel handmatig werk opleveren. Met Unified Enpoint Management (UEM)-oplossingen kunnen IT-beheerders het updaten van de meeste systemen op afstand regelen. Zo beschik je in ieder geval over updates die inspelen op geavanceerder wordende ransomware.

Endpoints beveiligen

Voor het beschermen van devices zijn meerdere oplossingen in te zetten. Als je op dit vlak even helemaal terug naar de basis gaat, dan is traditionele antivirus al een interessante stap. Met zo’n oplossing worden de eerste kwaadaardige stappen van een hacker op een apparaat gedetecteerd, door te zien dat er verdacht gedrag plaatsvindt. Op die manier is ransomware te blokkeren voordat het een echte dreiging wordt.

Voor grote organisaties is het aantrekkelijk om een variëteit aan endpointbeveiligingsoplossingen te omarmen. Zo zijn Extended Detection and Response (XDR)-oplossingen een verbetering ten opzichte van features van traditionele antivirus. Hiermee is er meer zicht op dreigingen, mede doordat er sterke AI-modellen gebruikt worden om verdacht gedrag te detecteren. Ook is XDR een centrale oplossing, waarmee endpointpreventie wat meer af te stemmen valt met onder meer netwerkbeveiliging.

Toegang tot data

Je kan ervoor zorgen dat waardevolle data goed beschermt blijft door de toegang ertoe te regelen. Beheerders kunnen dit enerzijds realiseren door alleen toegangsrechten te verschaffen als een persoon die daadwerkelijk nodig heeft, om het aantal toegangspunten zo klein mogelijk te houden. Daarnaast is multi-factor authenticatie een goede dubbele controle die voorkomt dat bij gestolen wachtwoorden direct data verloren gaat. Biometrische authenticatie middels een vingerafdruk of gezichtsscan biedt meer zekerheid.

Als dergelijke stappen toch niet voldoende blijken, is sterke encryptie een van de laatste redmiddelen. Op deze manier wordt opgeslagen data onbruikbaar voor indringers. Zorg er dus voor dat je een goed encryptiebeleid en -plan hebt voor alle oplossingen binnen de hele organisatie.

Hypothese brengt organisaties verder

Wanneer de securitybasis in je organisatie staat, is het zaak om ook eens te kijken of de mentaliteit van je organisatie klopt. Dan hebben we het natuurlijk specifiek over hoe de organisatie omgaat met ransomware. Het merendeel van de basismaatregelen zijn namelijk gericht op de bescherming tegen en het voorkomen van een aanval, maar extra aandacht voor detectie, response en herstel is ook nodig. Die laatste stappen kan je een extra stimulans geven door ervan uit te gaan dat je bedrijf slachtoffer van ransomware is of wordt. Dan bereidt een organisatie zich echt voor op het worst-case scenario en zet zij een extra stap.

Backups noodzakelijke verdedigingslinie

Als voorbereiding op het worst-case scenario kan je het backupbeleid van weer eens onder de loep nemen. Gegevens kunnen zich on-premises en in de cloud bevinden en gebruikte softwareoplossingen generen ook data. Hoewel op alle vlakken veiligheidsmaateregelen getroffen worden, wil het niet zeggen dat data veilig is. Daarom is al jaren het advies om veel goede backups te maken. Een goed backup- en disaster recovery-beleid zorgt er namelijk voor dat gegevens in iedere applicatie en infrastructuur beschikbaar zijn.

Hackers zijn zich echter wel bewust van het feit dat veel bedrijven backups maken als redmiddel. Campagnes richten zich dan ook regelmatig op het versleutelen, aanpassen of verwijderen van  backups. Om dit onmogelijk te maken hebben backupplatformen een truc gevonden: immutable backups. Deze backup is na het wegschrijven niet meer benaderbaar voor buitenstaanders. Zelfs personen binnen de organisatie kunnen er moeilijk bij, want daarvoor gelden zware eisen en zijn heel veel rechten nodig. Zodra je de data hebt weggeschreven kan die niet aangepast worden. Alleen na ransomware-aanvallen en dataverlies kan de data weer terug in productie worden gebracht.

Beluister ook eens onze podcast over ransomware en de rol van backups

Stel een draaiboek op

Backups maak je in principe vanuit de gedachte dat je mogelijk een keer slachtoffer wordt. In het verlengde daarvan moet er ook een consequent plan liggen om ermee om te gaan. Een draaiboek met daarin de te doorlopen stappen bij ransomware kan hierin helpen. Het zal een echte aanval minder schadelijk maken en alles vlot weer herstellen, omdat er vanuit een werkbaar plan gehandeld wordt.

In grote lijnen zal het draaiboek bestaan uit de logische stappen en de personen die het uit moeten voeren. Hiervoor dient in kaart gebracht te worden welke werknemers en externe partners bij een ransomware-aanval ingeschakeld moeten worden, zodat je de contactinformatie van hen opneemt in het plan. Geef ook duidelijk aan wat de verantwoordelijkheden van deze personen zijn, om te voorkomen dat personen tijdens een aanval naar elkaar gaan wijzen. Het is ook goed een grafische weergave te maken van de te nemen stappen, bijvoorbeeld met een diagram. Dat maakt alles een stuk duidelijker.

Het draaiboek is dus echt bedoeld om uitsluitsel te geven over wie welke handelingen moet uitvoeren. Als dat helder in beeld is, kan je organisatie ook fictief het plan uitvoeren. Zo kom je er achter wat er echt gebeurt indien ransomware toeslaat.

Nog even dit: verzekering en de discussie over wel of niet betalen

Het doorlopen van alle bovenstaande stappen leidt tot een solide verdedigingsmuur. Toch kiezen steeds meer bedrijven voor een cyberverzekering als slot op de deur. Zoals we eerder aangaven kan bij een incident het gevraagde losgeld hoog uitvallen, maar ook de gevolgschade kan desastreus zijn. Uit een aanval kan aansprakelijkheidsschade voortkomen, evenals schade voor herstel, forensisch onderzoek en juridische kosten. In het ergste geval leidt de financiële impact tot een faillissement. Een verzekering biedt net wat meer zekerheid, ook door met eisen te komen over het securityniveau van een te verzekeren bedrijf. Een bedrijf dat verzekerd is, toont daarmee doorgaans automatisch aan weerbaar te zijn.

Toch horen we vanuit de markt ook geluiden over potentieel negatieve gevolgen van cyberverzekeringen. Bedrijven zouden de verzekering gebruiken om het losgeld te betalen. Door deze betalingen worden de cybercriminelen als het ware gesponsord en zullen ze hun activiteiten alleen maar meer uitvoeren. Menig securityprofessional raadt daarom af daadwerkelijk te betalen, maar het wel of niet betalen van het gevraagde losgeld is echter een lastige discussie. De aanvallen worden, zoals we aan het begin van het artikel aanhaalden, immers slimmer en geavanceerder. Bij een succesvolle aanval op een ongunstig moment lijkt het mogelijk interessant om te betalen, want anders wordt een gunstige omzetperiode gemist. Betaling garandeert echter niet dat alles vrijgegeven wordt, want hackers zijn niet te vertrouwen. Daarentegen streven ze naar een duurzaam business model, dus een bepaalde reputatie over het meewerken aan vrijgeven is vanuit die optiek gunstig.

Ransomware zal dominant blijven

Met de juiste maatregelen valt een organisatie dusdanig in te richten dat het risico op een succesvolle ransomware-aanval afneemt. Ondanks die sterke verdedigingsmuur wijzen alle signalen erop dat deze schadelijke vorm software de komende jaren een grote dreiging blijft. Hackers blijven innoveren om met een aanval uiteindelijk een fors bedrag op te halen. Het is daarmee verstandig om je organisatie voor te bereiden op een van de ergste cyberincidenten die rondgaat.

Dit artikel is onderdeel van het Techzine securitydossier, waarin we dieper ingaan op een aantal actuele en relevante securityontwikkelingen. Lees ook ons eerste artikel over de stand van cyberdreigingen en derde artikel over hoe je de thuiswerkplek beveiligt.