Ransomware: Wat het is en hoe je jezelf kunt beschermen

Ransomware is a type of malicious software or malware that virtually holds your data hostage, locking up your computer and threatening to keep it locked until you pay the attacker’s ransom. The International Business Machines Corporation (IBM) reports that in 2021, ransomware attacks accounted for 21% of all cyberattacks and resulted in a staggering USD 20 billion loss.

Wat is Ransomware?

In het verleden waren ransomware-aanvallen er alleen op gericht om iemands gegevens of apparaat te vergrendelen totdat er geld werd betaald om het te ontgrendelen. 

Tegenwoordig brengen cybercriminelen de zaken echter naar een heel nieuw niveau. De 2022 X-Force Threat Intelligence Index onthulde dat vrijwel alle ransomware-aanvallen nu de 'dubbele afpersing'-strategie hebben aangenomen, waarbij niet alleen gegevens worden vergrendeld, maar ook een losgeldbetaling wordt verwacht om diefstal te voorkomen. Daarnaast introduceren deze kwaadwillende cybercriminelen een extra bedreiging in hun repertoire - drievoudige afpersingscampagnes met DDoS-aanvallen (Distributed Denial of Service) - en deze komen steeds vaker voor.

Ransomware en malware

Om ransomware beter te begrijpen, moeten we eerst onderzoeken wat malware (kwaadaardige software) is en wat de gevolgen ervan zijn.

Malware - een term die meer vragen oproept dan antwoorden. Is het kwaadaardige software of wordt het gewoon gebruikt voor snode bedoelingen? Zoals bij veel aspecten van cyberbeveiliging is er geen eenduidig antwoord op deze vraag; in plaats daarvan is het een ingewikkeld en complex gebied waarin we rekening moeten houden met meerdere factoren. De software kan op zichzelf kwaadaardig zijn, maar de mens die de software bedient is uiteindelijk verantwoordelijk voor het bepalen of en hoe kwaadaardig de software zal zijn.

Cyberbedreigingen zijn talrijk, van destructieve virussen tot sluwe Trojaanse paarden. Maar er is een unieke vorm die nog gevaarlijker is dan deze - ransomware. Ontdek het mysterie achter deze kwaadaardige software en leer hoe je jezelf ertegen kunt beschermen!

Hoe werkt ransomware?

Ransomware is ontworpen om de toegang tot en alle inhoud op de doelcomputer of het doelnetwerk te blokkeren totdat de aanvaller wordt betaald. Nog geavanceerdere aanvallen kunnen versleuteling op schijfniveau uitvoeren met een zodanige intensiteit dat het zonder betaling van het losgeld onmogelijk is om bestanden te ontsleutelen. Van 2013 tot 2020 heeft het Internet Crime Complaint Center van de FBI een dramatische stijging van 243% in het aantal gemelde ransomwaregevallen waargenomen.

In tegenstelling tot andere vormen van cybercriminaliteit vereist ransomware dat de slachtoffers samenwerken met de crimineel om het succesvol te maken.

Zoals vermeld op hun website, waarschuwt de FBI tegen het betalen van losgeld als een individu of bedrijf wordt aangevallen met ransomware. Door het betalen van losgeld is er geen garantie dat een organisatie of slachtoffer weer toegang krijgt tot hun gegevens, waardoor het een riskante en onbetrouwbare oplossing is. In sommige gevallen waarin slachtoffers het door aanvallers geëiste losgeld hebben betaald, ontvangen ze helaas nooit een legitieme decryptiesleutel om hun gegevens te ontgrendelen. Zelfs als ze er een krijgen, is het mogelijk dat niet alle bestanden kunnen worden hersteld. Door het losgeld te betalen, stimuleer je criminelen niet alleen om door te gaan met het uitvoeren van ransomware-aanvallen op zowel organisaties als individuen, maar maak je het ook aantrekkelijker voor andere potentiële cybercriminelen.

Populaire ransomware-variaties

Aangezien er talloze ransomware-varianten bestaan, is het geen wonder dat sommige succesvoller zijn dan andere. In feite zijn er een paar die boven de rest uitsteken in termen van effectiviteit en populariteit, waardoor ze zich onderscheiden van hun tegenhangers.

1. Ryuk

Ryuk is een type ransomware dat gericht is op een specifiek type gebruiker. Het wordt meestal afgeleverd via een e-mail of iemands inloggegevens om in een systeem te komen. Zodra het systeem is geïnfecteerd, versleutelt Ryuk sommige bestanden en vraagt dan geld om ze terug te geven.

Ryuk is berucht omdat het een van de duurste soorten ransomware is, met gemiddelde losgeldeisen van meer dan $1 miljoen. Daarom richten cybercriminelen die Ryuk gebruiken zich regelmatig op bedrijven die over voldoende financiële middelen beschikken om aan deze exorbitante betalingen te voldoen.

2.REvil (Sodinokibi)

REvil (ook bekend als Sodinokibi) is een schadelijke ransomware-stam die voornamelijk grote bedrijven treft.

De beruchte REvil ransomware, die sinds 2019 wordt geëxploiteerd door de Russischtalige groep, is een van de meest beruchte cyberbedreigingen op het internet van dit moment. Ze zijn bijvoorbeeld verantwoordelijk gehouden voor belangrijke inbreuken op 'Kaseya' en 'JBS', waardoor ze een ernstige bedreiging vormen voor bedrijven in tal van sectoren.

In de afgelopen jaren heeft REvil met Ryuk gestreden om de titel van duurste ransomware. Er zijn meldingen dat deze kwaadaardige software losgeld vroeg tot $800,000.

Aanvankelijk was REvil gewoon een traditionele ransomware-variant, maar sindsdien heeft het zich verder ontwikkeld. Tegenwoordig gebruiken ze de Double Extortion-techniek, waarbij ze niet alleen bestanden versleutelen, maar ook gegevens van bedrijven stelen. Dit betekent dat aanvallers niet alleen losgeld vragen om gegevens te ontsleutelen, maar ook dreigen om de gestolen informatie openbaar te maken als er niet extra wordt betaald.

3. Doolhof

De Maze ransomware is bekend geworden door zijn innovatieve aanpak van afpersing. Het versleutelt niet alleen bestanden, maar steelt ook gevoelige gegevens van de computer van het slachtoffer en dreigt deze openbaar te maken of te verkopen als er geen losgeld wordt betaald. Deze bedreigende strategie brengt doelwitten in een nog lastiger parket - ofwel betalen of geconfronteerd worden met veel hogere kosten als gevolg van een duur datalek.

Hoewel de Maze ransomware groep is ontbonden, betekent dit niet dat ransomware bedreigingen nu achterhaald zijn. Verschillende voormalige filialen van Maze zijn overgestapt op Egregor ransomware en er wordt algemeen gespeculeerd dat deze drie varianten - waarvan Sekhmet de derde is - een identieke maker hebben.

4. DearCry

In March 2021, Microsoft released critical updates for four vulnerabilities within their Exchange servers, yet before everyone could apply the fixes to protect themselves from potential harm; DearCry stepped in with a new ransomware variant specifically designed to exploit these weaknesses.

DearCry ransomware kan veel bestanden vergrendelen en laat gebruikers achter met een losgeldbrief op hun computer die hen opdraagt contact op te nemen met de beheerders om te leren hoe ze de toegang kunnen herstellen.

5. Lapsus$

De Zuid-Amerikaanse ransomwarebende Lapsus$ is in verband gebracht met cyberaanvallen op belangrijke doelwitten wereldwijd. Met intimidatie en de mogelijkheid om gevoelige gegevens bloot te leggen, heeft de cyberbende naam gemaakt door slachtoffers af te persen tenzij hun eisen worden ingewilligd. Ze hebben opgeschept over het binnendringen van Nvidia, Samsung en Ubisoft, naast andere wereldwijde organisaties. Deze groep gebruikt gestolen broncode om schadelijke bestanden te laten lijken op legitieme software.

6. Lockbit

LockBit is software die is gemaakt om te voorkomen dat mensen toegang krijgen tot gegevens. Het bestaat al sinds september 2019. Sinds kort is het een Ransomware-as-a-Service (RaaS). Dit betekent dat mensen kunnen betalen om het te gebruiken om te voorkomen dat anderen toegang krijgen tot hun gegevens.

Ransomware kostbare gevolgen

Mensen die te maken hebben met ransomware zijn vaak terughoudend om toe te geven hoeveel losgeld ze hebben betaald. Zoals wordt beschreven in het rapport Definitive Guide to Ransomware 2022, zijn de losgeldeisen drastisch gestegen; wat vroeger slechts uit eencijferige betalingen bestond, is nu uitgebreid tot bedragen van zeven en acht cijfers. In de meest extreme gevallen moeten bedrijven een fors losgeld van 40-80 miljoen dollar betalen om hun gegevens terug te krijgen. Toch zijn deze betalingen niet de enige kosten die gepaard gaan met ransomware-aanvallen; andere directe en indirecte kosten kunnen de financiële lasten van een organisatie nog verhogen. Zoals gerapporteerd in het onderzoek Cost of Data Breach 2021 van IBM, bedroegen de standaardkosten van ransomware-aanvallen zonder losgeldbetalingen gemiddeld maar liefst USD 4,62 miljoen.

De zaak DCH ziekenhuizen

DCH is een regionaal medisch centrum in Tuscaloosa, Alabama, dat sinds 1923 actief is.

Op 1 oktober 2019 werd DCH Hospitals aangevallen door ransomware. Alles wat elektronisch was, lag plat. Ze konden geen nieuwe patiënten aannemen en moesten alles op papier doen.

Een vertegenwoordiger van DCH onthulde dat het systeem gecompromitteerd was toen iemand een corrupte e-mailbijlage opende en ermee werkte. Gelukkig zijn er geen patiëntgegevens in gevaar gebracht.

Het DCH Hospital System heeft drie grote ziekenhuizen - DCH Regional Medical Center, Northport Medical Center en Fayette Medical Center - die een groot deel van West-Alabama bedienen. Deze drie medische faciliteiten bieden meer dan 850 bedden en verwelkomen jaarlijks meer dan 32.000 patiënten.

On Saturday, October 5th, in order to swiftly regain access to their systems, DCH Hospitals opted to pay the ransom and obtain a decryption key from the attackers. However, they have decided not to disclose how much they paid. As healthcare systems are critical and sensitive, they make easy targets for ransomware attacks. Often, these organizations find paying the ransom more beneficial than confronting potential data loss or disruptions. The confidential information stored in their systems is too valuable to lose. The malicious ransomware utilized to breach the security of DCH Hospital was unknowingly facilitated by an employee who opened a phishing email containing a contaminated attachment. This enabled the malware to gain access and subsequently infect their computer network.

5 Stappen om te voorkomen dat u slachtoffer wordt van ransomware

1. Train uw werknemers over cyberbeveiligingsbedreigingen.

Om onszelf te beschermen tegen cyberaanvallen en om in staat te zijn het voorkomen ervan op de werkplek te herkennen, moeten we onze individuele verantwoordelijkheid voor cyberbeveiliging erkennen. Elke werknemer zou een gespecialiseerde training moeten krijgen over het identificeren en voorkomen van cyberbedreigingen. Maar het is uiteindelijk aan elk individu om de informatie die ze hebben ontvangen te gebruiken om potentiële risico's in hun dagelijks leven nauwkeurig in te schatten. Het incident bij DCH Hospitals is een belangrijk voorbeeld van hoe waardevol het kan zijn om persoonlijk inzicht te hebben in cyberbeveiliging.

Het bedrijf moet de werknemer informeren over de mogelijke risico's van het openen van e-mailbijlagen van onbekende afzenders, vooral in een werkomgeving. Bij twijfel is het altijd het beste om iemand met ervaring te raadplegen voordat je berichten, koppelingen of bijlagen opent. Veel bedrijven hebben een interne IT-afdeling die meldingen over een phishing-poging in behandeling neemt om te bevestigen of het bericht legitiem is voor de werknemer. Als het bericht afkomstig is van een betrouwbare bron, zoals je bankrekeningprovider of kennissen die je persoonlijk kent, neem dan rechtstreeks contact met hen op en bevestig dat zij het bericht en de inhoud ervan hebben verzonden voordat je op de links klikt. Op deze manier kun je jezelf beschermen tegen mogelijke cyberaanvallen.

2. Maak een back-up van je bestanden.

Als je ooit het doelwit wordt van ransomware of als er gegevens verloren gaan tijdens een aanval en je het losgeld niet wilt betalen, is het essentieel om een veilige back-up van je meest waardevolle informatie te hebben.

Om de gevolgen van een kwaadaardige aanval te minimaliseren, had DCH Hospitals preventieve maatregelen moeten nemen en een back-up moeten maken van hun essentiële bestanden vóór het incident. Met een back-up hadden ze open kunnen blijven en hun activiteiten kunnen voortzetten zonder onderbreking door ransomware.

3. Houd je software up-to-date.

Cybercriminelen maken vaak gebruik van bestaande zwakke plekken om kwaadaardige software in een apparaat of systeem te introduceren. Niet-gepatchte of 'zero-day' beveiligingslekken kunnen gevaarlijk zijn omdat ze niet bekend zijn bij de digitale veiligheidsindustrie of omdat ze nog niet zijn ontdekt. Bepaalde ransomware-groepen hebben gezien dat ze informatie over zero-day kwetsbaarheden kochten van cybercriminelen, die ze gebruikten voor hun kwaadaardige operaties. Het is ook bekend dat hackers gepatchte beveiligingslekken kunnen gebruiken om systemen binnen te dringen en aanvallen uit te voeren. 

Het is essentieel om regelmatig patches toe te passen om je te beschermen tegen ransomware-aanvallen die gericht zijn op kwetsbaarheden in software en besturingssystemen.

4. Cyberbeveiligingsprogramma's installeren en bijwerken

Het is essentieel om de tools voor cyberbeveiliging te upgraden: anti-malware en antivirussoftware, firewalls, beveiligde webgateways, maar ook bedrijfsoplossingen zoals EDR (Endpoint Detection and Response) en XDR (Extended Detection and Response), waarmee beveiligingsteams schadelijke activiteiten in realtime kunnen detecteren.

5. Beleid voor toegangscontrole implementeren

Organisaties moeten multi-factor authenticatie, zero-trust architectuur, netwerksegmentatie en verwante beveiligingen inzetten om kwetsbare gegevens te beschermen en te voorkomen dat cryptowormen naar andere machines op het netwerk gaan.

Ransomware richt zich ook op individuen.

Over het algemeen gaan verhalen over ransomware over de nasleep van hacks in bedrijven of gezondheidszorgsystemen; het is echter essentieel om te erkennen dat individuen niet immuun zijn voor deze aanvallen. In feite komen ze vaker voor dan u denkt. Mensen moeten zich bewust zijn van het reële gevaar van ransomware wanneer ze het internet gebruiken, omdat het hun veiligheid en zekerheid in gevaar kan brengen.

Cybercriminelen gebruiken twee methoden om ransomware in te zetten: versleuteling en een vergrendelscherm.

Encryptie ransomware

Cybercriminelen richten zich vooral op specifieke bestanden die lokaal op apparaten zijn opgeslagen via versleutelde ransomware. Om deze documenten eruit te pikken, gebruikt de aanvaller phishingtrucs of andere vormen van kwaadaardige software om hun doelwit te onderzoeken. Zodra de bestanden zijn versleuteld, eist het slachtoffer losgeld om de decoderingssleutel te ontvangen die nodig is om toegang te krijgen tot hun gegevens. Hackers gebruiken deze strategie meestal om toegang te krijgen tot vertrouwelijke of gevoelige informatie die bedrijven proberen te beschermen. Deze aanpak is populair geworden onder kwaadwillenden, waardoor bedrijven en organisaties een veelvoorkomend doelwit zijn geworden.

Schermbeveiliging ransomware

Omgekeerd versleutelt vergrendelschermransomware specifieke bestanden en maakt het apparaat van een gebruiker volledig onbruikbaar. Locking-screen ransomware vergrendelt je apparaat en toont een schermvullend bericht dat niet te verplaatsen en niet te minimaliseren is. Je wordt gevraagd om losgeld te betalen om het systeem te ontgrendelen of verloren gegevens of bestanden terug te krijgen.

Deze programma's gebruiken vaak angsttactieken om je onder druk te zetten om te betalen, zoals een tikkende klok die waarschuwt dat al je bestanden worden verwijderd als de tijd om is. Cyberaanvallers proberen mensen vaak te intimideren door verhalen te verzinnen dat hun apparaten zijn gekoppeld aan illegale activiteiten of ongepast materiaal en door te dreigen dat ze aangifte zullen doen bij de autoriteiten als het slachtoffer niet betaalt. Om slachtoffers nog meer te dwingen het losgeld te betalen, maken sommige ontwikkelaars van ransomware gebruik van pornografisch beeldmateriaal en dreigen dat het slachtoffer dit niet kan verwijderen zonder betaling.

Uiteindelijk

Het implementeren van effectieve cyberbeveiligingsmaatregelen, zoals het regelmatig bijwerken van uw software en beveiligingstools, het handhaven van een toegangscontrolebeleid en het op de hoogte zijn van de verschillende tactieken die door deze kwaadaardige programma's worden gebruikt, kunnen uw bedrijf beschermen tegen ransomware-aanvallen. Daarnaast moeten individuen proactieve stappen ondernemen om hun apparaten te beschermen tegen ransomware-aanvallen - waaronder het voorzichtig zijn met het openen van e-mails of het klikken op links van onbekende bronnen. Met bewustzijn en voorzichtige praktijken kunnen we allemaal helpen om de dreiging van ransomware in onze digitale wereld te verminderen.