De Help Desk punt NL
Kennisbank
De Helpdesk > De Helpdesk > Kennisbank

Wat is ransomware

Oplossing

Ransomware is de snelst groeiende cybersecurity bedreiging van het moment. In 2015 waren er wereldwijd gemiddeld 1000 ransomware aanvallen per dag, een groei van 35% ten opzichte van het jaar daarvoor. Dit jaar zijn er al periodes geweest van 4000 aanvallen per dag. Onderzoek van de FBI schat de losgeldopbrengsten voor criminelen op 209 mln. dollar in de eerste drie maanden van 2016!

In de serie dossier ransomware beschrijf ik de komende maanden alle facetten, van het ontstaan tot en met de toekomstige ontwikkelingen.

Wat is het eigenlijk?

Je kent ze vast wel, die reiskoffers met ingebouwd cijferslot, eenmaal geopend is de geldige cijfercombinatie gemakkelijk te resetten. Stel je het volgende voor: terugkomend in de hotelkamer na een dag site-seeing valt je oog op een briefje op je koffer met de volgende tekst: “Deze koffer is afgesloten en voorzien van een unieke cijfercombinatie. Indien u weer toegang wilt tot uw spullen maak dan 200 euro over op onderstaande rekening en u ontvangt de juiste combinatie per email

Bovenstaande situatie is min of meer identiek aan hoe ransomware werkt, de hacker versleutelt op slinkse wijze bestanden op de computer waardoor het slachtoffer er geen toegang meer tot heeft. De sleutel kan alleen worden verkregen door het betalen van losgeld aan de hacker.

Verschillende vormen

Ransomeware is er in twee vormen:

  1. Locker ransomware: deze sluit het slachtoffer af van bepaalde delen van de computer (muis en toetsenbord). Vaak wordt er gebruik gemaakt van valse politieberichten die getoond worden om het slachtoffer over te halen tot het betalen van losgeld.
  2. Crypto ransomware: deze actuele vorm zoekt naar waardevolle data op de computer en versleutelt die via encryptie.

Beide vormen zorgen er voor dat alle facetten van de IT security drie-eenheid (beschikbaarheid, integriteit en vertrouwelijkheid) van de data niet meer gewaarborgd zijn.

Historie

De eerste ‘moderne’ vorm van Ransomware stamt uit 2005. Het Trojan.Gpcoder virus codeerde verschillende bestanden en verwijderde de originele. Deze vorm van crypto ransomware is in de afgelopen jaren sterk geëvolueerd. Enkele beruchte varianten zijn:

  • Locky
    Een variant die momenteel aardig aan de weg timmert (op hoogtijdagen circa 90.000 geïnfecteerde systemen per dag). Vaak verspreid via Word documenten of JavaScript. Locky versleutelt met RSA and AES encryptie-algoritmes.
  • TeslaCrypt
    Deze vorm versleutelt bestanden door gebruik te maken van kwetsbaarheden in Adobe Flash, Silverlight en Internet Explorer. Van origine is TeslaCrypt ontwikkeld om computergames te infecteren.
  • Cryptolocker
    Deze vorm van crypto ransomware openbaarde zich door Windows systemen te infecteren in 2013 via de Gameover ZeuS botnet. Cryptolocker versleutelt via RSA encryptie documenten en foto’s.
  • Cryptowall/CryptoDefense/CryptorBit
    De Cryptowall-achtigen stammen uit 2014 en verspreiden zich veelal via spam emails en malvertising. Zowel in Amerika als in Europa zijn er door deze variant vele Windows bestanden versleuteld via RSA of AES encryptiealgoritmes.
  • CTB-Locker
    Dit is de eerste vorm van ransomware as a Service (RAAS) en openbaarde zich voor het eerst in 2014. De verspreiding van de ramsomware wordt bij deze malafide dienst voor een gering aandeel in het losgeld uitbesteed aan affiliates, veelal script kiddies en botnets.
  • Hybrid Ransomware
    Dit is een samengevoegde vorm van zowel locker- als crypto ransomware die beiden gebruikt worden in vergaande complexe aanvallen naast bijvoorbeeld een DDoS aanval.

De verspreiding

Ransomware wordt veelal verpakt in op het eerste gezicht legitieme software updates van Adobe Acrobat, Java en Flash Player. Er wordt het slachtoffer een pop-up scherm getoond met de opmerking dat desbetreffende software ge-update moet worden (ironisch genoeg om de security van de software te verbeteren). Bij acceptatie wordt de ransomware geïnstalleerd.

Phishing email is een andere populaire manier om ransomware te verspreiden. Veelal worden er niet van echt te onderscheiden, geïnfecteerde facturen van legitieme bedrijven gezonden naar medewerkers van financiële afdelingen (gemakkelijk te vinden via LinkedIn). Omdat het hun dagelijkse routine is om facturen te controleren worden ze al snel geopend met alle gevolgen van dien.

De betaling van het losgeld

De ontwikkeling van de Bitcoin Blockchain technologieën wordt gretig geadopteerd door criminele organisaties achter de ransomware campagnes. De anonimiteit, niet traceerbaarheid en flexibiliteit maken Bitcoins uitermate geschikt om als losgeldbetalingskanaal te dienen. Door veel verschillende Bitcoin Wallet te gebruiken wordt het losgeld witgewassen (BitCoin Mixer) en betalingssporen uitgewist. Alternatieve betalingsmethoden die gebruikt worden zijn Prepaid Cards en Amazon/iTunes cadeaubonnen.

De losgeldbedragen die door de hackers worden geëist variëren van 210- tot 420 dollar met hier en daar extreme uitschieters bij gerichte aanvallen. De drempel om te betalen wordt ook moedwillig laag gehouden. Zou jij ook niet overwegen om 1 EUR te betalen om zodoende snel weer te kunnen beschikken over je vakantiefoto’s of video’s van je kinderen? Een ransomware campagnes is meestal schieten met hagel en levert zodoende aanzienlijke inkomsten op.

De doelgroep

Waar ransomware aanvallen in beginsel gericht waren op particulieren is de doelgroep uitgebreid naar bedrijven en publieke instellingen zoals scholen en ziekenhuizen.

Vooral ziekenhuizen zijn dit jaar doelwit. Ze zijn door het openbare karakter kwetsbaar en er is sprake van een hoge sociale/politieke druk op de continuïteit van de dienstverlening.

In februari van dit jaar werd een ziekenhuis in Los Angeles getroffen door de Locky ransomware variant. Het resultaat was dat ruim 900 patiënten moesten worden verhuisd naar andere ziekenhuizen omdat systemen niet meer beschikbaar waren. Onder grote druk, er stonden immers mensenlevens op het spel, heeft men ervoor gekozen om het losgeld a 17.000 dollar te betalen. De argumentatie van het ziekenhuis was, “het was de snelste en efficiëntste manier om de systemen weer operationeel te krijgen”. Afgelopen maanden zijn er in Californië nog drie ziekenhuizen met ransomware aangevallen.

Een andere recent voorbeeld is de aanval op Horry County Schools in South Carolina. Hierdoor waren 25 servers niet meer toegankelijk en moesten 100 servers worden gestopt om verdere besmetting te voorkomen. Er werd 8500 dollar losgeld geëist om de encryptiesleutel te ontvangen. Voor scholen waar budgetten veelal geen enkele ruimte bieden is een dergelijke som geld niet snel op te brengen.

Welke technieken worden er gebruikt?

Ransomware is gebaseerd op encryptie-technologie. Hackers coderen de encryptie-algoritmes niet zelf maar maken gebruik van aanwezige besturingssysteem-functionaliteit zoals bijvoorbeeld Microsoft Cryptograpic API. De verspreiding gebeurt via uitvoerbare bestanden (.EXE of .SCR), Visual Basic en Java scripts (.VBS of .JS) of via malafide macro’s in MS Office bestanden.

Welke organisaties zitten erachter?

De aanvallen komen voornamelijk uit Oekraïne, Rusland, China en Iran. De herkomst is vaak te herleiden aan een routine in de ransomware code. Deze routine controleert of de code wordt gestart vanuit één van deze landen. Is dit het geval dan wordt de ransomware automatisch gede-installeerd.

De cybercrime wereld is een schimmige wereld, er zijn maar een aantal organisaties achter de ransomware aanvallen met naam en toenaam bekend:

  • De Dridex Group, een cybercrime organisatie uit Rusland.
  • De Codoso Group, een Chinese criminele organisatie die achter veel ransomware aanvallen in Amerika zit.
  • Evil Corp, een ransomware organisatie uit Moldavië.

Encryptie: kans of bedreiging?

Zoals eerder aangegeven zorgt encryptie voor de levensvatbaarheid van ransomware. Het ironische is dat dezelfde encryptie ook wordt gebruikt om integriteit en vertrouwelijkheid van data te waarborgen. Om het voorbeeld van het slot van de koffer in de hotelkamer aan te halen, het zal natuurlijk gek zijn om maar geen sloten meer te ontwikkelen omdat ze ook tegen ons kunnen worden gebruikt. Zo ook voor de verdere ontwikkeling van encryptie algoritmes, het is juist de kans om onze privacy te blijven waarborgen.

Losgeld betalen of niet betalen?

Om ransomware niet in stand te houden wordt er zowel door overheid als branche met klem geadviseerd om nooit losgeld te betalen. Wel betalen geeft geen garantie dat hackers daadwerkelijk de sleutel sturen, in 80% van de gevallen worden er na betaling geen decryptie-sleutels gezonden. Ook bestaat het risico dat na betaling het losgeld verder wordt verhoogd.

10 tips voor bedrijven om ransomware te voorkomen en/of de gevolgen te beperken

Bedrijven kunnen een aantal maatregelen uitvoeren om het risico op, en impact van ransomware te verminderen. Hieronder de belangrijkste aanbevelingen:

  • Maak personeel bewust
    Zorg dat personeel via educatie bewust is van ransomware en de manier waarop dit wordt verspreid.
  • Maak (automatische) back-up’s
    Belangrijk hierbij is de 3–2–1 regel. Drie kopieën, op twee verschillende opslagmedia waarvan een kopie buiten de locatie is opgeslagen. Let er op dat er minimaal dagelijks een back-up wordt gemaakt waarbij de data versleuteld wordt opgeslagen. Een actuele back-up is vaak de enige reddingsboei om ransomware schade te herstellen.
  • Breng patches aan
    Installeer de door softwareleveranciers geadviseerde security patches. Door deze software updates worden kwetsbaarheden tijdig verholpen.
  • Handhaaf een security beleid
    Ontwikkel een gelaagde IT security-aanpak en voer deze uit om aanvallen te mitigeren.
  • Beheer accounts en rechten
    Gebruik alleen indien strikt noodzakelijk administrator accounts met alle rechten. Maak tevens gebruik van het least privilege principe voor toegangsrechten.
  • Configureer systemen
  • Schakel macro’s standaard uit in via email gezonden MS Office bestanden.
  • Stel Windows zo in dat bestands-extenties worden getoond.
  • Schakel RDP op werkstations en servers uit indien het niet wordt gebruikt.
  • Filter via de mailgateway .EXE bestanden.
  • Segmenteer het netwerk
    Plaats niet alle of belangrijke data op een netwerkshare waar veel medewerkers toegang toe hebben.
  • Zorg voor een draaiboek
    Stel een draaiboek op waarin is opgenomen hoe te handelen (wie, wat, waar, hoe, zowel technisch als communicatief) bij een ransomware aanval.
  • Zorg voor een actuele CMDB
    Garandeer dat alle componenten uit de IT infrastructuur in beeld en beheer zijn van de IT afdeling.
  • Maak gebruik van IT security software
    Specifieke (end point) monitoringsoftware kan een aanval in een vroegtijdig stadium herkennen of blokkeren (zie hiervoor de alinea “Wat doet de branche en overheid?”).

Wat te doen als ransomware heeft toegeslagen?

Indien de ransomware aanval toeslaat is het van belang adequaat te reageren om verdere besmetting tegen te gaan:

  1. Informeer de gebruikers.
  2. Ontkoppel de geïnfecteerde machines zo snel mogelijk van het netwerk en (WIFI) internet.
  3. Zet de gedeelde netwerkdrives uit.
  4. Probeer zo snel mogelijk de bron van de ransomware infectie te detecteren. Indien het een specifieke gebruiker betreft, ga ermee in gesprek om zo veel mogelijk achtergrond over de besmetting te achterhalen.
  5. Verzamel zo veel mogelijk bewijslast. Stel de logs veilig en huur externe forensische kennis in.
  6. Informeer de autoriteiten, politie en indien nodig de autoriteit persoonsgegevens (meldplicht datalekken).
  7. Verwijder waar mogelijk de besmetting via antimalware software.
  8. Stel vast dat de ransomware is verwijderd, dus zorg dat alle verdachte email is verwijderd of geïsoleerd.
  9. Restore de data via back-up’s.
  10. Start de systemen weer op.

Sommige bronnen adviseren om de BIOS klok van geïnfecteerde servers terug te zetten vanwege de doorlooptijd die vaak gekoppeld is aan de hoogte van het losgeld. Hoe langer het duurt voordat het losgeld wordt betaald, hoe hoger de losgeldsom. Kantekening hierbij is dat het aanpassen van de BIOS klok logs onbruikbaar maakt voor forensisch onderzoek en bewijslast.

Wat doet de branche en overheid?

Vanuit de securitybranche en overheid zijn er inmiddels initiatieven gestart om het ransomware probleem aan te pakken. Dit zijn zowel commerciële als publiek-private oplossingen. De meeste commerciële oplossingen zijn preventief op basis van monitoring, zoals:

Eén van de meest in het oog springende publiek-private samenwerkingsverbanden is die tussen de High Tech Crime Unit van de Nederlandse Politie, Europol’s European Cybercrime Centre, Kaspersky Lab en Intel Security. Concreet resultaat van deze samenwerking is de oprichting van de site nomoreransom.org. Hierop zijn een aantal decryptie tools te downloaden die via de samenwerking zijn ontwikkeld om ransomware versleutelingen te kunnen herstellen.

Wat zijn de toekomstige ontwikkelingen?

Helaas worden de ransomware aanvallen geavanceerder waarbij de trend zich voortzet om publieke infrastructuren zoals openbaar vervoer, scholen en ziekenhuizen aan te vallen. Enkele verdere toekomstige ontwikkelingen zijn:

  • Cryptoworms, een ransomware vorm die zich zelf snel verspreid zonder tussenkomst van gebruikers.
  • Jackware, het hacken van de autosoftware om daarna losgeld te eisen.
  • Ransoc, een type ransomware waarbij op de systemen van het slachtoffer wordt gezocht naar compromitterend materiaal (bijvoorbeeld illegale pornografische content). Hierna wordt er losgeld geëist door op de reputatie van het slachtoffer in te spelen. Aangiftes vinden in dergelijke gevallen zelden plaats.

 

 
Was dit artikel bruikbaar? ja / nee
Gerelateerde artikelen Denial of Service (DOS) attack
Social Engineering attack
Brute-force attack
DDoS-aanval
Het belang van backups
Veel gebruikte afkortingen en benamingen
Wat is blacklisting
Ziggo IP veranderen
Wat is een VPN (verbinding)
Wat is een NAS
Artikel details
Artikel ID: 555
Categorie: Hoe werkt dat
Zoekwoorden Ransomware, ransom, ware, losgeld, betalen, encryptie, bestanden, bedreiging, techniek, versleuteld, locky, teslacrypt, cryptolocker, cryptowall, cryptodefence, cryptorbit, ctb-locker, hybrid, ddos, aanval, crypto, raas, virus, botnet, script, sleutel, cybercrime,
Datum toegevoegd: 4-Sep-2015 21:53:01
Aantal bekeken: 5125
Beoordeling (Stemmen): Artikel beoordeeld 3.9/5.0 (1002)

 
« Ga terug