Vandaag de dag is ransomware uitgegroeid tot een van de snelst groeiende criminele software-oplossingen. Inmiddels is zelfs het punt bereikt dat het een groot probleem begint te worden in de cyber-afpersingspraktijken waar bedrijven mee te maken krijgen. In de Verenigde Staten is dit in veel gevallen al dagelijkse praktijk.
Over deze blogger
Stefan Sijswerda is binnen Dell adviseur informatiebeveiliging. Hij is verantwoordelijk voor de begeleiding van informatiebeveiligingstrajecten bij relaties van Dell. De specifieke kennisgebieden liggen rondom Identity & Access Management/ Governance en netwerkbeveiliging. Hij studeerde bedrijfskunde en heeft zich verder ontwikkeld op het vlak van bedrijfsprocesautomatisering. Daarnaast doorloopt hij samen met relaties de opbouw van business cases en assisteert bij de transitie van bedrijven om informatiebeveiliging te gebruiken bij verbeteren en vereenvoudigen van bedrijfsprocessen.
Ransomware is een programma dat een computer of de gegevens die erop staan blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer te ‘bevrijden’. Voor een bedrijf is er niets verontrustender dan een cybercrimineel die het bedrijfsnetwerk op deze manier in gijzeling houdt. Deze verraderlijke crypto-malware kan klantgegevens, bedrijfsgeheimen, documenten, afbeeldingen, video’s, spreadsheets en andere gevoelige bedrijfsinformatie versleutelen. Het losgeld moet vervolgens betaald worden in Bitcoin, MoneyPak of Ukash binnen een bepaalde tijd. Momenteel is dat negen dagen voor TorLocker 2.0, een veelgebruikt stukje ransomware. Gebeurt dit niet, dan zullen de versleutelde data verloren gaan. Als er geen backup is van de versleutelde bestanden, dan kan dit vanzelfsprekend grote gevolgen hebben.
Dreiging neem toe
In de Verenigde Staten beschouwen onderzoekers van het Dell SecureWorks Counter Threat Unit Research Team (CTU) op dit moment CryptoWall als de grootste en meest destructieve ransomware-dreiging op het internet. Ze verwachten dat deze dreiging de komende jaren alleen maar zal toenemen. Tussen half maart en 24 augustus 2014 waren al bijna 625.000 systemen in de VS geïnfecteerd met Cryptowall. In hetzelfde tijdsbestek versleutelde deze kwaadaardige software meer dan 5 miljard bestanden. Het risico voor bedrijven is groot, omdat er voor ransomware slechts één klik nodig is om een systeem te infecteren. Een link naar malware in een e-mail attachment, op een nepwebsite of in een kwaadaardige online advertentie is genoeg om het netwerk binnen te dringen.
Hybride ransomware
VirRansom is een vervelende nieuwe hybride vorm van ransomware, dat Cryptolocker en Cryptowall combineert. Het is een virus dat uitvoerbare programmabestanden infecteert en gegevensbestanden (zoals ZIP, DOC, JPG) in een EXE-bestand verpakt. Het virus gaat zelfs zo ver dat het de weergave van bestands-extensies uitschakelt (alsof ze waren ingeschakeld). Vervolgens wordt ook het pictogram van het geïnfecteerde bestand terug gezet naar de oorspronkelijke icoon. Als u bijvoorbeeld een Word-document opent dat is geïnfecteerd met VirRansom, dan opent u het niet het daadwerkelijke Word-document. Het is een kwaadaardig programma met het pictogram van een Word-document.
Backups zijn cruciaal
Er zijn nog wat andere interessante data uit de Verenigde Staten. Op 10 november 2013 betaalde de politie van Swansea (Massachusetts, VS) 750.00 dollar (2 BTC) toen hun netwerk werd geïnfecteerd met CryptoLocker. Niemand wist hoe dit virus in het systeem was gekomen. Op 26 december 2013 opende een medewerker van het stadhuis in het stadje Groenland (New Hampshire, VS) een e-mail attachment die op een voicemail van AT&T leek. Kort nadat ze de bijlage had geopend, begon de CryptoLocker ransom met de versleuteling van de bedrijfsdata. Alhoewel er wel digitale backups waren, verloor de stad hierdoor acht jaar aan belangrijke data die op het stadhuis bewaard was.
In Nederland dook in 2012 een vorm van ransomware op onder de naam politievirus of Ukash-virus. Internetgebruikers kregen een melding, met daarop het logo van de politie, dat de computer wegens illegale activiteiten werd geblokkeerd. Om strafrechtelijke vervolging te voorkomen moest € 100,00 worden betaald. Op 18 mei 2012 was in statistieken van de criminelen te zien dat in totaal 1427 computers geïnfecteerd waren en daarvan 72 mensen hebben betaald. Binnen heel Europa had het virus op die datum zelfs €43.570 binnengehaald.
Advies over ransomware
Matt Sherman, een Incident Response Specialist van Symantec schreef onlangs een uitstekend stuk in Forbes: Ransomware: 7 Do’s And Don’ts To Protect Your Business. In dat artikel geeft hij de volgende tips bij het omgaan met ransomware.
1. Betaal geen losgeld, verwijder het geïnfecteerde systeem van het netwerk en herstel de bestanden met de back-up.
2. Installeer, configureer en onderhoud een endpoint security-oplossing
3. Geef de werknemers goede voorlichting over de risico’s van ransomware.
4. Zorg voor content scanning en filtering op alle mailservers
5. Zorg dat alle systemen up-to-date zijn met relevante patches.
6. Beperk de toegang die eindgebruikerstoegang hebben tot netwerkschijven.
7. Implementeer en onderhoud een volwaardige back-up oplossing.
