Ransomware is helaas een zeer succesvol verdienmodel voor cybercriminelen. Steeds vaker worden grote bedrijven op hun knieën gedwongen na een gerichte aanval met deze gijzelsoftware. Hoe gaat zo’n aanval in zijn werk? En wat kunnen organisaties doen om zich te beschermen tegen geavanceerde ransomware?
Wat is een gerichte ransomware-aanval?
Bij een gerichte ransomware-aanval selecteren en verkennen de cybercriminelen hun doelwit zorgvuldig. Bovendien wordt de aanvalsmethode nauwgezet afgestemd op de IT-omgeving van de organisatie en eventuele zwakke plekken. Denk hierbij aan zeer overtuigende phishingmails om het netwerk binnen te dringen, speciaal voor deze aanval aangepaste ransomware en een hoog maar realistisch losgeldbedrag.
Dit is een fundamenteel andere aanpak dan de sleepnetmethode, waarbij cybercriminelen zoveel mogelijk doelwitten tegelijkertijd bestoken met generieke phishingmails en besmette bijlages. Maar zeker niet minder lucratief: vaak zien getroffen bedrijven geen andere optie dan betaling van het losgeld om weer toegang tot hun systemen en bestanden te krijgen. In sommige gevallen gaat het om miljoenen euro’s in bitcoins.
'Benieuwd naar de laatste trends op het gebied van ransomware? Lees dan het blog Ransomware-update: dit zijn de laatste trends.'
Welke bedrijven zijn een potentieel doelwit?
Ransomware vormt een bedreiging voor alle typen organisaties, ongeacht hun omvang of branche. Wel zijn er bepaalde kenmerken die een doelwit aantrekkelijker maken voor gerichte aanvallen. De criminelen kiezen bijvoorbeeld een bedrijf uit met veel financiële reserves, grote hoeveelheden persoonsgegevens, waardevolle informatie, een gebrekkige IT-beveiliging of een combinatie van deze eigenschappen.
Steeds meer grote organisaties worden slachtoffer van een gerichte ransomware-aanval. Zo waren vanaf 23 juli diverse onlinesystemen van wearablefabrikant Garmin enkele dagen niet beschikbaar. De problemen bij elektronicafabrikant Canon eind juli zouden eveneens het gevolg zijn van een ransomwarebesmetting. Ook geldwisselkantoor GWK Travelex en de Universiteit Maastricht werden in het afgelopen jaar geteisterd door ransomware.
Hoe gaan de cybercriminelen te werk?
Zeer professioneel. Vaak begint een aanval met een phishingmail of bij misbruik van een zwakke plek die via geautomatiseerde scans is gevonden. Daarna wordt het netwerk van binnenuit verkend om de ransomware zo effectief mogelijk uit te rollen. Dit gebeurde onder meer bij de aanval op de Universiteit Maastricht: de aanvallers zaten ruim twee maanden in het netwerk en sloegen pas daarna toe.
Als de besmetting eenmaal een feit is en ook de back-ups niet meer beschikbaar zijn, begint de afpersing. Vaak is het betalen van losgeld de enige manier om (mogelijk) weer toegang te krijgen tot de gegijzelde bestanden en systemen. Dit geldt met name als het encryptiealgoritme geen bekende kwetsbaarheden heeft, zoals bij de ransomware WastedLocker waarmee Garmin vermoedelijk werd aangevallen.
WastedLocker laat goed zien hoe complex deze problematiek is. Deze nieuwe ransomwarevariant is ontwikkeld door de Russische hackersgroep Evil Corp. Dergelijke bendes zijn bijzonder moeilijk af te stoppen, mede door de tegenstrijdige belangen die hierbij spelen. Voor slachtoffers kan het immers aantrekkelijk zijn om het losgeld te betalen, maar daarmee houden ze wel het verdienmodel in stand.
Soms gaan de cybercriminelen nog een stap verder. Ze maken (een deel van) de gegijzelde informatie openbaar als het slachtoffer het losgeld weigert te betalen, en verhogen daarna de eis. Dit overkwam in november 2019 het Amerikaanse bedrijf Allied Universal na een besmetting met de ransomware Maze. Inmiddels hebben meerdere ransomwarebendes deze werkwijze met ‘dubbele afpersing’ gekopieerd.
Wat is de impact van een ransomwarebesmetting?
Een succesvolle ransomware-aanval kan onder meer leiden tot de volgende schadeposten:
Downtime – de bedrijfsvoering wordt verstoord doordat systemen en bestanden (tijdelijk) niet beschikbaar zijn.
Gegevensverlies - indien de organisatie geen goede back-ups heeft, gaan gegevens mogelijk voorgoed verloren.
Losgeld – bij grote bedrijven eisen de criminelen vaak miljoenen euro’s aan losgeld in ruil voor de encryptiesleutel.
Reputatieschade – een besmetting schaadt de reputatie van de organisatie, zeker als het incident de media haalt.
Misgelopen inkomsten – als onlinediensten zoals de website uit de lucht zijn, kan de organisatie inkomsten mislopen.
Herstelkosten – de kosten voor het herstel van systemen en voor forensisch onderzoek kunnen hoog uitvallen.
Hoe kan een organisatie zich beschermen tegen ransomware?
Een effectieve verdediging tegen ransomware bestaat uit een verzameling technische en organisatorische securitymaatregelen. KPN Security adviseert klanten altijd om eerst de basis op orde te brengen. Denk hierbij aan het gebruik van antimalware, het tijdig implementeren van beveiligingsupdates en het maken van online en offline back-ups. Deze zogeheten basishygiëne is een cruciaal onderdeel van cybersecurity.
Hadden alle getroffen organisaties hun basisbeveiliging dan niet op orde? Nee, dat is veel te kort door de bocht. Helaas is geen enkele securityomgeving 100% waterdicht. Zelfs een goed getrainde medewerker kan in een moment van onoplettendheid een besmette bijlage openen. Daarnaast wordt geavanceerde malware steeds moeilijker te detecteren en hebben ransomwarebendes veel expertise en geld tot hun beschikking om naar zwakke plekken te zoeken.
Een belangrijk advies is dan ook om rekening te houden met het ergste. Monitor het bedrijfsnetwerk continu op verdachte activiteit. Zorg dat er een incident-responseplan klaarligt voor ransomwarebesmettingen en andere cyberincidenten. Maak bovenal meerdere (externe) back-ups van bedrijfskritische data en test deze ook regelmatig. Dan hoeft u de afpersers in ieder geval niet te belonen voor hun criminele gedrag.
WIlt u meer weten hoe uw organisatie zich het beste kan beschermen tegen ransomeware? Neem dan contact op met KPN Security.