Niet alleen op tech sites zien we regelmatig een nieuw verhaal over slachtoffers van ransomware: ook in de gewone pers blijven de verhalen opduiken. Dagelijks worden vele miljoenen aanvallen geblokkeerd, en niets wijst erop dat dit aantal snel zal afnemen. De beste manier om ransomware aan te pakken is door preventieve maatregelen te nemen, op basis van een gelaagde bescherming. De eerste stap is natuurlijk het probleem begrijpen. Wat is ransomware en wat zijn de gevolgen voor organisaties?
Ransomware, eenvoudig uitgelegd, is een online bedreiging die bestanden en/of systemen in uw organisatie volledig onbruikbaar maakt. Het slachtoffer wordt dan gedwongen om een ‘losgeld’ te betalen om weer toegang te krijgen. In vroegere versies van ransomware werd de machine gewoon geblokkeerd tot de betaling was uitgevoerd. Maar de nieuwe generatie ransomware, de zogeheten ‘crypto-ransomware’ is veel gevaarlijker: die gaat op zoek naar specifieke (vaak veelgebruikte) bestandsextensies zoals .doc of .pdf, om deze bestanden dan onbruikbaar te maken door ze te versleutelen (encrypteren). Dan hebben it-managers weinig andere keuze dan het geld op te hoesten voor een decryptiesleutel.
U zal een mededeling zien verschijnen dat uw systeem wordt gegijzeld en hoeveel u moet betalen om terug toegang te krijgen tot uw bestanden en/of systemen. Meestal bedraagt de som enkele honderden dollars, te betalen in Bitcoin of vergelijkbare betaalmethodes. Vele varianten beschikken over gedetailleerde handleidingen en informatie om de minder technisch onderlegde slachtoffers doorheen het hele proces te loodsen, tot zelfs optionele chatsessies toe. Zodra het slachtoffer heeft betaald, wordt het verzocht om het bijhorende Transfer ID naar de gijzelnemer te sturen als bewijs van betaling. Als het crypto-ransomware betreft, krijgt het slachtoffer vervolgens meestal een sleutel om alles te ontgrendelen.
Ransomware mikt meestal op gebruikers, en maakt meestal gebruik van social engineering, via e-mail of webtoepassingen. Concreet betekent dit: malware in de vorm van bijlagen bij ongevraagde mails, of url’s die het slachtoffer leiden naar besmette sites, om zo het slachtoffer te besmetten. Maar steeds vaker wordt ook ransomware gemaakt die gebruik maakt van zwaktes in het netwerk of op de server. Daarom hebt u absoluut een holistische aanpak nodig, gebaseerd op het principe van de gelaagde bescherming.
Ernstige gevolgen
De gevolgen voor een organisatie kunnen uiteraard behoorlijk ernstig zijn. Op zijn minst zult u een som moeten betalen om terug toegang te krijgen tot uw bestanden. Dit kan beperkt zijn tot enkele honderden dollars maar er zijn gevallen gekend waar organisaties heel wat meer moesten ophoesten. Eén van de gekendste slachtoffers – het Hollywood Presbyterian Medical Center – moest uiteindelijk zeventienduizend dollar betalen om de toegang tot de belangrijkste systemen en administratieve functies te herstellen.
Zelfs zonder het losgeld gerekend kan zulke ransomware behoorlijk veel schade aanrichten: de kost van gemiste productiviteit, bijvoorbeeld, en van downtime voor de medewerkers. Maar ook de schade aan het merk en de reputatie kan hoog oplopen en er vallen mogelijk zelfs boetes te betalen. Naar verluidt zou de FBI hebben berekend dat ransomware verliezen heeft opgeleverd voor een totaal van 209 miljoen in het eerste kwartaal van 2016, een enorme stijging vergeleken met de naar schatting 24 miljoen voor het hele jaar 2015.
En alsof dat nog niet genoeg is om u zorgen over te maken: er zijn nieuwe varianten van ransomware gespot, zoals de recentste versie van de beruchte CryptXXX met extra features, zoals de mogelijkheid om bedrijfsdata niet alleen te versleutelen, maar ze ook te stelen.
Bescherming?
De cybercriminelen die ransomware gebruiken, zijn voortdurend bezig met het updaten van hun malware om detectie te vermijden en alle pogingen te verijdelen om de encryptie te breken. U weet bovendien nooit zeker dat het betalen van het losgeld zal leiden tot het terug vrijgeven van uw bestanden.
Security-managers moeten daarom vooral hun aandacht richten op preventie, meer bepaald op de volgende vlakken:
- Back-up uw bedrijfsgegevens. Maak gebruik van een 3-2-1 systeem: drie back-up kopieën op twee media en één daarvan in een beveiligde offline locatie.
- Voed uw eindgebruikers op zodat ze niet klikken op links of bijlagen openen van ongevraagde e-mails; en dat ze de verzender van een e-mail controleren voor ze iets openen. Ook bladwijzers voorzien voor vaak bezochte sites is een goed idee: zo voorkomt u dat u ongewild drive-by-download sites bezoekt, die vol zitten met malware
- Patch alle systemen zodra updates beschikbaar zijn en houd uw security software up-to-date, zodat de kans op misbruik van een zwakte in een softwarepakket tot het minimum wordt beperkt
- Netwerksegmentatie draagt bij tot het inperken van de speelruimte voor ransomware, mocht die toch de organisatie zijn binnengedrongen
- Gelaagde bescherming met geavanceerde beveiliging op de web/email gateway, de endpoints, het netwerk, en de fysieke/virtuele/cloud servers
Steven Heyde, regional director Benelux, Trend Micro
Infosecurity Belgium
Computable.be is hoofdmediapartner van Infosecurity Belgium op woensdag 15 en/of donderdag 16 juni te Brussels Expo. Trend Micro is tijdens deze beurs te vinden op stand 03.B010 en geeft om 10:30 uur de seminarie ‘Born Secure, on premise or in the cloud’.
