Een ransomware-aanval is onder te verdelen in vijf verschillende fases. Door te begrijpen wat er in elke fase gebeurt en de indicatoren van verdere verspreiding te herkennen, vergroot je de kans op succesvolle bescherming tegen een dergelijke aanval. Rob Pronk, regiodirecteur Noord-Europa van LogRhythm, licht de vijf fases toe en deelt zijn visie op ransomware.
‘De tijdspanne waarin een ransomware-aanval zich afspeelt kan zeer kort zijn. Je hebt vaak maar een kwartier vanaf het moment van besmetting tot het ontvangen van de losgeldmelding.’
De vijf fases
Fase 1: exploitatie en infectie (00:00)
‘Om een aanval succesvol te laten zijn, moet het schadelijke ransomware-bestand uitgevoerd worden op een computer. Dit gebeurt vaak via een phishing-mail of een exploit kit. In het geval van de CryptoLocker-malware, wordt de Angler Exploit Kit vaak ingezet.’
Fase 2: plaatsing en executie (00:05)
‘Tijdens deze fase vindt de installatie van de daadwerkelijke ransomware-uitvoerbestanden op het systeem van het slachtoffer plaats. Op het moment van uitvoer, worden ook persistente mechanismen geplaatst.’
Fase 3: het verwijderen van de back-up (00:10)
‘Enkele seconden later richt de ransomware zich op de back-upbestanden en -mappen op het systeem van het slachtoffer. De software verwijdert ze om een herstel te voorkomen. Dit maakt ransomware uniek; andere schadelijke softwarevormen verwijderen geen back-upbestanden.’
Fase 4: bestandsencryptie (02:00)
‘Als de back-ups eenmaal volledig zijn verwijderd, voert de malware een beveiligde sleuteluitwisseling uit met de command and control-server (C2), die de encryptiesleutels vaststelt van het lokale systeem.’
Fase 5: gebruikersnotificatie en opruimen (15:00)
‘Nu de back-upbestanden zijn verwijderd en het ‘vuile’ encryptiewerk is gedaan, worden de losgeld- en betalingsvereisten gepresenteerd. Maar al te vaak krijgt het slachtoffer enkele dagen om te betalen. Gedurende die dagen worden steeds meer bestanden versleuteld en verwijderd.’
‘Uiteindelijk verwijdert de malware zichzelf van het systeem – net als de Mission Impossible-opnames die zichzelf vernietigen. Zo blijft er geen forensisch bewijs achter dat het slachtoffer zou kunnen helpen bij het beter beschermen tegen de malware’, aldus Pronk.
Ook grote bedrijven lopen risico
De afgelopen drie jaar waren er maar weinig voorbeelden van cybercrime die zo in de spotlight stonden als ransomware. De chantagemethode, waarbij documenten of gegevens van slachtoffers worden geblokkeerd en alleen ontsloten na betaling van ‘losgeld’, wordt steeds populairder. En het zijn niet alleen kleine bedrijven die risico lopen, aldus de regiodirecteur.
‘Ransomware-aanvallen worden steeds populairder. Omdat deze aanvallen zo lucratief zijn voor de daders, is het zeker dat ze ook steeds gangbaarder, schadelijker en dus duurder worden om op te lossen. Het is bijna onmogelijk te voorspellen hoe, waarom of wanneer een organisatie slachtoffer wordt. Daarom moet elk bedrijf zich zien als potentieel slachtoffer en een stevig verdedigingssysteem in werking stellen. Er is zelfs een grote kans dat er bij veel organisaties al ingebroken is zonder dat ze het weten. Door de nodige voorzorgsmaatregelen te nemen, zodat dreigingen zo snel mogelijk opgemerkt en verholpen worden, blijft de schade beperkt.’
Security intelligence
Pronk: ‘Bedrijven hebben een uitgebreid beveiligingssysteem nodig dat 360-gradeninzicht geeft in alle netwerkactiviteiten. Dit voorkomt blinde vlekken in het netwerk; de ideale toegangsroute voor hackers. Gecentraliseerde, geautomatiseerde, beschermende monitoringssystemen die data verwerken van meerdere bronnen geven diepgaand inzicht in netwerken. Het correleren van deze data met contextinformatie, maakt de kans op het juist identificeren van een aanval groter.’
Het grote probleem zit hem er volgens de LogRhythm-director erin dat bedrijven zich nog steeds te veel blijven richten op het identificeren en blokkeren van bedreigingen aan de buitenschil, of wel de netwerkperimeter. Maar deze perimeter omvat tegenwoordig veel meer dan de organisatie zelf, waardoor hij eigenlijk niet meer bestaat.
‘Er is meer nodig dan alleen het tegenhouden van de aanval. Kijk alleen al naar de grote cyberaanvallen die de krant hebben gehaald. Het is daarom tijd voor een fundamentele verandering. Resellers kunnen hun klant daarom adviseren om te kiezen voor implementatie van een vorm van security intelligence. Met dit concept is het mogelijk om de tijd die het kost om een bedreiging te detecteren en erop te reageren, flink te verkorten. Daarmee wordt de kans dat de cyberaanval of interne inbreuk daadwerkelijk schade aanricht ook aanzienlijk verkleint. Een krachtig security intelligence-platform maakt een gestroomlijnde workflow mogelijk en zorgt voor automatisering als het mogelijk is’, besluit Pronk.
Rob Pronk
Rob Pronk (58) is regiodirecteur Noord-Europa bij LogRhythm. In deze rol vallen de Benelux, Scandinavië, de Baltische staten en IJsland onder zijn hoede. Pronk heeft ervaring in salesmanagement en in de introductie van nieuwe fabrikanten van networking- en securityproducten. Hij was eerder onder andere werkzaam voor Extreme Networks, Aruba Networks en Palo Alto Networks.
