Ransomware

Wat is Ransomware? Hoe te beschermen tegen Ransomware?

Het woord “ransomware” komt uit de Engelse taal en bevat de term “ransom” (losgeld), wat vertaald betekent “gegijzeld zijn voor geld”. Ransomware is een kwaadaardig programma voor computers, die ervoor zorgt dat de computer is vergrendeld voor de gebruiker en kan alleen opnieuw worden ontgrendeld door het betalen van het losgeld. Hoe werkt Ransomware precies? Hoe groot is het gevaar van ransomware? Hoe je jezelf kunt beschermen tegen ransomware? We leggen het uit in dit artikel!

Wat is Ransomware?

Ransomware is een computervirus dat onopgemerkt op de PC van iemand is geïnstalleerd. Het verschil van ransomware met normale malware, is dat ransomware in direct contact komt met de gebruiker van het getroffen systeem. De geïnstalleerde malware versleutelt ofwel de bestanden of de hele computer. De hacker heeft door de malware controle over de computer, en eist losgeld. Zolang het slachtoffer het losgeld niet betaald, blijft het apparaat versleuteld.

Als het geïnfecteerde apparaat zich in een netwerk bevindt, zoals in een bedrijf, kan de malware zich verspreiden naar het hele netwerk en alle apparaten op dat netwerk versleutelen. Hierdoor kunnen bedrijven, ziekenhuizen en universiteiten worden plat gelegd.

Wat is Ransomware - Definitie
Meest voorkomende malware-aanvallen 2019

Wat is het verschil tussen Ransomware en malware?

Malware is de overkoepelende term voor alle programma’s die schade aan een apparaat veroorzaken. Zowel virussen als ransomware zijn daarom malware. Ransomware, is malware die zich verspreidt tijdens de activering en versleutelt bestanden in het geïnfecteerde computernetwerk. Het apparaat wordt alleen ontsleuteld door de hacker wanneer er losgeld wordt betaald.

Is Ransomware een virus?

Nee, Ransomware is geen virus. Hoewel virussen en ransomware beide malware zijn, zijn ze verschillend. Virussen infecteren gegevens en repliceren zichzelf. Ransomware aan de andere kant versleutelt bestanden. Om deze reden, dat de naam “cryptovirus” niet precies in correlatie staat met malware.

Wat is een Cryptolocker/Cryptotrojan?

Een cryptolocker is onderdeel van de ransomware familie. Het doel is om losgeld van het gehackte slachtoffer te krijgen. De cryptolocker infecteert documenten van de gebruiker en dwingt hem om losgeld te betalen.

Ransomware aanvallen door cryptotrojans kunnen voor bedrijven ernstige (financiële) gevolgen hebben. Cryptotrojans hebben zelfs het voortbestaan van bedrijven in gevaar gebracht en sommige zelfs in een faillissement gedreven. Het is het horrorscenario bij uitstek: een werknemer van een bedrijf krijgt een cryptotrojan op zijn werkcomputer. Het duurt niet lang voordat de malware zich verspreid over het hele bedrijfsnetwerk.

Hoe groot is het gevaar van ransomware?

Het gevaar van ransomware is groter dan men zou denken. Bedrijven in het bijzonder moeten op hun hoede zijn voor geïnfecteerde e-mails. In 2018, hadden cybercriminelen al voor 8 miljard euro gestolen. Een aanzienlijk bedrag, maar in 2019 werd er nog veel meer buit gemaakt: de schade gegenereerd in 2019 is meer dan verdrievoudigd in vergelijking met het voorgaande jaar, naar ongeveer 24 miljard euro.

Wat is de reden voor deze snelle toename van succesvolle ransomware aanvallen? Hackers hebben de juiste niche gevonden. Geavanceerde technieken en een beetje informatie over de werknemers van een bedrijf (Social Engineering) stellen hackers in staat om de IT-infrastructuur te infecteren met een eenvoudige kwaadaardige e-mail. Ziekenhuizen zijn de meest frequente slachtoffers van encryptie-aanvallen.

Schade door ransomware

Hoe groot is het gevaar van ransomware?

Het begint meestal met een klassieke phishing-e-mail die als aas fungeert om een geïnfecteerd bestand te downloaden. In de meeste gevallen, de wordt ransomware geactiveerd door een geïnfecteerd PDF, DOC of XLS-bestand.

Zodra de ransomware wordt geactiveerd, begint de werkelijke schade: het encryptie-proces begint. Afzonderlijke bestanden op één systeem of zelfs op meerdere systemen binnen een bedrijfsnetwerk kunnen worden versleuteld. Vanaf nu heeft de gebruiker geen toegang meer tot bepaalde bestanden of zijn hele computer. Hij heeft zijn admin rechten volledig verloren. De controle is in handen van de hacker.

Zodra alles is gecodeerd, verschijnt er een melding op het scherm van het slachtoffer. Hierin eist de hacker losgeld om de ransomware te verwijderen.

Zodra dit proces is voltooid, hoeven de aanvallers alleen maar te wachten dat het slachtoffer het losgeld betaald. De losgeld vraag koppelen aan een deadline is een effectieve manier voor cybercriminelen om de druk op slachtoffers te verhogen. Als de eigenaren van de systemen geen betaling hebben gedaan voor de deadline, zal ofwel het losgeld bedrag toenemen of het proces van het verwijderen van gegevens zal beginnen.

Ransomware aanvallen kunnen grote schade veroorzaken, vooral aan bedrijven. Deskundigen en autoriteiten adviseren meestal tegen het betalen van losgeld. Vaak hebben de slachtoffers geen andere keuze dan te hopen op de “goedheid” van de hackers na de betaling. Vaak wordt de decryptie na betaling van het losgeld niet uitgevoerd.

Hoe te beschermen tegen Ransomware?

Beschermen tegen ransomware, bedrijven zullen proactief moeten zijn en een cybersecurityplan tegen malware moeten maken. Aangezien ransomware zeer moeilijk te detecteren en te voorkomen is zullen verschillende beschermingsmechanismen moeten worden gebruikt. De belangrijkste bescherming is de training en bewustzijn van medewerkers. Alleen degenen die weten dat ransomware bestaat en hoe het werkt kunnen dergelijke aanvallen detecteren.

Aangezien de e-mail inbox een van de klassieke ingangspunten voor malware is, zou een goede spamfilter alle uitvoerbare bijlagen, zip-bestanden en Microsoft document macro’s moet blokkeren of in ieder geval in quarantaine moeten zetten. Hornetsecurity biedt een oplossing en filtert deze gevaren met de spam-en virus filter eruit voordat de e-mail kan worden afgeleverd.

De contant verdere ontwikkeling van de filters zorgt ervoor dat de steeds professioneler middelen en methoden van aanvallen worden tegengehouden. Met een van de hoogste detectiepercentages op de markt (99,99%), controleren 18 verschillende virusscanners het e-mailverkeer. Een besmette bijlage, die meerdere malen is ingepakt en onherkenbaar is gemaakt, wordt herkend door de virusscanner van Hornetsecurity en gecategoriseerd als spam.

Advanced Threat Protection gaat een stap verder en detecteert betrouwbaar, ransomware-aanvallen en verschillende soorten malware die nog onbekend zijn. Hornetsecurity Advanced Threat Protection (ATP) biedt oplossingen op een brede basis. Het bevat, URL herschrijven en URL scanning. 

Als een aanval succesvol is, is het belangrijk om up-to-date back-ups beschikbaar te hebben. Op deze manier kan een oudere versie zonder infectie worden geüpload. Dit houdt gegevensverlies zo laag mogelijk. De back-up kan handmatig of automatisch worden gedaan. Een Cloud oplossing voor data back-up zou een goede mogelijkheid zijn voor bedrijven

Voor ransomware-aanvallen wordt voornamelijk e-mail gebruikt. Goed gecamoufleerd, komen e-mails met PDF, EXE of JPEG-bestanden binnen bij het bedrijf op de computer van de gebruiker. De weergave van bestandsextensies is standaard in de meeste e-mailclients gedeactiveerd, daarom kan de gebruiker het formaat van het bestand meestal op het eerste gezicht niet herkennen.

Onbedoeld, worden de geïnfecteerde bestanden geopend en de ransomware wordt geïnstalleerd. Daarom is het belangrijk dat u de weergave van bestandsextensies in uw e-mailclientinstellingen inschakelt.

Het is erg belangrijk om risico’s te voorkomen. De kwetsbaarheid van het Remote Desktop protocol van Microsoft wordt vaak gebruikt als een beveiligingslek. In individuele gevallen maakt deze functie het mogelijk om ransomware te verspreiden binnen het lokale netwerk.

Op deze manier verspreidt malware zich in korte tijd op het netwerk. Het updaten van de systemen is ook absoluut noodzakelijk. Hoe ouder de software, hoe meer ingangspunten er bekend en beschikbaar zijn. Als u vandaag nog steeds Windows 7 of zelfs Windows XP gebruikt, moet u niet verbaasd zijn als uw computer is geïnfecteerd en versleuteld. Zoals WannaCry een opening gebruikte in verouderde Windows-systemen (EternalBlue). Het werd simpelweg genegeerd door veel bedrijven, doordat zij updates of patches niet toepaste. Dit resulteerde in een groot aantal succesvolle ransomware aanvallen bij bedrijven.

Zijn ransomware scanners beschikbaar?

Als de ransomware al op de computer staat is het meestal al te laat. Als de ransomware nog niet is geactiveerd, zal een up-to-date anti-virus programma helpen. Echter, de meest verstandige oplossingen zijn degene die ransomware detecteren voordat het de computer bereikt. Dit is ook waar klassieke virusscanners, zoals GDATA, helpen door actie te ondernemen tegen alle soorten malware. Echter, als het een kwestie is van bescherming tegen geïnfecteerde e-mails, zal een uitgebreide spamfilter moeten worden gebruikt. Als voorbeeld, een anti-ransomware scanner zoals de cloud oplossing Advanced Threat Protection van Hornetsecurity kan hierbij helpen. De service beschermt tegen ransomware aanvallen zoals Locky, Tesla of Petya, filtert phishing e-mails uit en weert zogenaamde blended bedreigingen. Om dit te bereiken, maakt Hornetsecurity ATP gebruik van verschillende detectiemechanismen: naast een sandbox, URL herschrijven en URL scanning wordt ook gebruikt gemaakt van freezing. Freezing, wil zeggen het “bevriezing” van verdachte e-mails, wat ook onderdeel is van Hornetsecurity ATP.

Hoe Advanced Threat Protection werkt

Hoe omgaan met Ransomware?

Zodra de ransomware op de computer staat en heeft geïnfecteerd, er is meestal geen goede uitweg. Ofwel u betaalt het losgeld (wordt door de politie niet adviseert) of u herïnstalleerd de computer opnieuw (hopelijk met een up-to-date back-up). Voor sommige ransomware aanvallen zijn er echter decryptie tools. Ga hiervoor naar de site https://www.nomoreransom.org/crypto-Sheriff.php?lang=en  .

No More Ransom biedt ransomware decryptie voor meer dan 50 verschillende ransomware types.

Welke soorten ransomware bestaan er?

Er zijn in principe twee verschillende soorten ransomware. Crypto ransomware welke bestanden versleutelt, zodat de gebruiker er geen toegang meer tot heeft. Locker ransomware waardoor de gebruiker geen toegang meer heeft tot zijn computer.

Er zijn ook subtypen van deze twee varianten. Scareware is nep-software die fouten en problemen op de PC detecteert die er niet zijn. De software rekent geld om dit probleem op te lossen. Scareware kan de computer ook vergrendelen (Locker Ransomware).

Doxware, ook wel Leakware genoemd, gebruikers worden afgeperst met vermeende gestolen gegevens. Als je niet betaalt, dreigt Leakware dat de gegevens zullen worden gepubliceerd.

De mutatie van de ransomware Emotet

Een voorbeeld van een ransomware aanval – Emotet

Emotet is een van de bekendste ransomware variaties en welke zelfs dagelijks in de media was. Ons Security Lab heeft Emotet grondig onderzocht. In een gedetailleerde blog post zul je precies leren hoe Emotet werkt:

Onder de microscoop: De nieuwste variant van de bancaire trojan Emotet (Artikel is in het Duits)

Risico van ransomware voor bedrijven

Voor bedrijven is ransomware een enorm gevaar. Het is vervelend als een prive-computer wordt versleuteld door ransomware, maar meestal heeft dat geen grote financiële gevolgen. Als een bedrijfscomputer is geïnfecteerd, kan dit leiden tot het faillissement van het bedrijf. Vaak verspreidt ransomware zich in het hele netwerk en infecteert het alle apparaten in dit netwerk. Het resultaat: complete bedrijven kunnen niet meer werken. Bestanden gaan verloren, werktijd gaat verloren, werk kan niet worden voortgezet. In een 15-minuten artikel, legt onze IT-deskundige Dr. Yvonne Bernard in detail uit hoe ransomware zoals Emotet een bedrijf kan ontmantelen en vernietigen (De lezing is in het Duits).

YouTube

By loading the video, you agree to YouTube's privacy policy.
Learn more

Load video

Welke ransomware wordt gebruikt in 2020?

Het is begin 2020 en de eerste ransomware golf is al in volle gang. De dagelijkse rapporten over Greta Thunberg en Fridays for Future worden nu ook gebruikt door criminelen. Ze sturen e-mails in naam van de jonge activist. Het Hornetsecurity Security Lab heeft e-mails onderschept waarin cybercriminelen de ontvangers vragen om een grote demonstratie ten gunste van klimaatbescherming te steunen. De tijd en het adres van de demonstratie kan naar verluidt worden gevonden in het bijgevoegde bestand. Wanneer de geadresseerde de bijlage opent, wordt een encrypt document weergegeven. De gebruiker wordt gevraagd om de bewerking van de inhoud te activeren. Na deze instructie wordt een macro uitgevoerd die de kwaadaardige malware downloadt.

Moet ik losgeld betalen voor een Ransomware aanval?

Nee, deskundigen en onderzoeksinstanties adviseren tegen het betalen van losgeld. Vaak worden de gegevens ondanks de betaling niet ontsleuteld en is de computer nog steeds niet bruikbaar. Daarom moeten anti-ransomware oplossingen worden gebruikt en preventieve maatregelen worden genomen, waardoor het betalen van losgeld sowieso geen optie wordt.