Ransomware is het nieuwe wapen van cybercriminelen waarmee ze bedrijven in 'gijzeling' nemen en grote bedragen afhandig te maken. Met het toenemende gebruik van verschillende devices en de ontwikkeling van verschillende vormen van ransomware, krijgt de cybercrimineel steeds meer mogelijkheden om bedrijfsnetwerken lam te leggen. Het is daarom van belang om de werkwijze van een hacker te begrijpen én om duidelijk te hebben hoe je ransomware tegen kan gaan.
Een recent artikel op Computable.nl, naar aanleiding van een onderzoek van Intel Security/ McAfee naar cyberdreigingen, geeft weer dat het aantal ransomware-varianten in het tweede kwartaal van 2015 met 58 procent is gegroeid. Het is niet vreemd dat criminelen hun werkveld hebben verlegd naar het internet. Er is voor slimme criminelen veel geld te verdienen met cybercrime en veiliger dan zwaarbewapend een bank binnen te lopen. Daarnaast is er nog een grotere kans van slagen ook. Er zijn twee beweegredenen waarom een ransomware-hacker een systeem overneemt: afpersing of vandalisme.
Wanneer een hacker afpersing als beweegreden heeft, dan gaat het puur om het geld. Hij neemt de controle over van één van je systemen en geeft het systeem pas weer vrij als daar een som geld voor is betaald, ervan uitgaande dat dit na betaling daadwerkelijk gebeurt.
Een andere vorm is vandalisme; de hacker is bijvoorbeeld betaald door een concurrent om het systeem te saboteren of is vanwege bepaalde bedrijfsactiviteiten kwaad op het bedrijf (denk hierbij aan aanvallen door hackers van Anonymous). Dan wordt het systeem pas vrijgegeven als de betreffende activiteiten worden gestaakt.
De Sony-hack in 2014, die aan het licht kwam doordat medewerkers ransomware op hun scherm kregen te zien, leerde ons dat hackers niet enkel meer achter cruciale data aan gaan, maar verschillende soorten data van een bedrijf verzamelen. De Sony-hackers konden namelijk niet bij de financiële data van het bedrijf, dus richten ze onherstelbare schade aan via vergaarde klantgegevens. Zogezegd wordt het beschermen van elke vorm van data cruciaal. Het is daarom van belang om een stevige, gelaagde defensie op te werpen.
Beheer de defensie
In principe verschilt de aanpak van ransomware niet van een aanpak tegen een andere digitale dreiging. Een gelaagde bescherming (anti-virus, emailbeveiliging, patch management et cetera) maakt het ransomware-hackers ook lastig. Daarnaast is het aanpassen van je beveiligingssysteem aan een specifieke bedreiging zoals ransomware in plaats van een allround beveiliging ontzettend gevaarlijk.
Er zijn algemene beveiligingsstrategieën tegen cybercriminaliteit die ook zeer effectief tegen ransomware zijn. Een van de belangrijkste methoden om ransomware buiten de deur te houden is het actueel houden van de technologie binnen een bedrijf. Essentieel daarbij is het gebruiken van licentiesoftware en het regelmatig patchen van deze software, het liefst binnen 48 uur. Softwareleveranciers voeren updates door als blijkt dat er zwakheden in deze software zitten. Hackers kijken bij deze updates welke zwakke plekken worden verholpen en vallen de zwakke plekken aan in systemen die nog niet zijn geüpdatet. Het actueel houden van software zorgt er dus voor dat hackers geen toegang krijgen tot het systeem via verouderde software.
Criminelen maken bovendien graag gebruik van het menselijk onvermogen. Ransomware verschijnt namelijk niet uit het niets op devices, maar wordt geïnstalleerd door het klikken op een link of bezoeken van een verkeerde website. Medewerkers worden overtuigd bestanden te openen of te installeren door deze bijvoorbeeld toe te voegen aan niet van echt te onderscheidende e-mails of via websites oplossingen aan te bieden die medewerkers zouden helpen bij hun taken. De oplossing is simpel; beperk de admin-rechten van medewerkers. Zorg ervoor dat bijvoorbeeld alleen de it-afdeling het recht heeft software te installeren.
Een anti-virussysteem is niet de enige afweer tegen ransomware, maar wel een belangrijk onderdeel van de beveiliging. Er is niet zoiets als een beter anti-virussysteem; het beste systeem voor het bedrijf is het systeem dat je het beste kent. Zorg daarnaast voor scherpe regelgeving rondom het gebruik van de firewall; zet bijvoorbeeld nooit de firewall uit als applicaties of oplossingen daar om vragen. Analyseer het netwerkverkeer van je bedrijf of klant en kijk naar de best practices van bedrijven in dezelfde sector om te zien hoe de beveiliging daar is geregeld.
Wat moet je doen als er een device is besmet met ransomware? Zorgen dat je van tevoren een goede back up van je systemen hebt gemaakt. Als je deze backup hebt, kan je het geïnfecteerde apparaat uit roulatie halen. Analyseer vervolgens hoe de infiltratie tot stand is gekomen en onderneem actie.
Wees voorbereid
We weten inmiddels door tal van praktijkvoorbeelden dat cybercriminaliteit een reële dreiging is voor bedrijven. Verberg je als it-dienstverlener of bedrijf dan ook niet achter het argument dat je sterke antivirussoftware hebt, want hackers zijn inmiddels veel inventiever geworden. Door voorbereid te zijn op elke vorm van cybercriminaliteit, ben je van waarde voor je bedrijf en voor je klanten.
Ian Trump, security expert bij LogicNow
