Nu we al enige tijd in het digitale tijdperk leven, is ransomware een groeiende bedreiging geworden voor bedrijven, overheden en consumenten over de hele wereld. Ransomware die bestanden van computers van slachtoffers versleutelt, zoals kantoordocumenten, foto's en video's, is een populaire aanvalsmethode geworden voor criminelen. Zodra de bestanden zijn versleuteld, uploadt de ransomware de privésleutel naar een externe server die wordt beheerd door criminelen en verwijdert daarna de lokale kopie. Zodra dat is gebeurd, ontvangt het slachtoffer een betalingsverzoek.
Het losgeld wordt meestal geëist via bitcoin (of vergelijkbare cryptocurrency), cadeaubonnen, prepaid-betaalpassen of andere moeilijk te traceren methoden waarmee criminelen gemakkelijk toegang hebben tot het geld. Het is echter belangrijk om te beseffen dat betaling geen garantie biedt voor het veilig retourneren van de bestanden. In feite levert het decoderen van de bestanden zakelijk gezien weinig op voor de criminelen. Ze willen tenslotte hun aanvallen herhalen en als bekend wordt dat bestanden zelfs na betaling niet meer te herstellen zijn, zullen de slachtoffers gewoon stoppen met betalen.
Sniper ransomware
Oude methoden richten zich vooral op aantallen; het gaat erom zoveel mogelijk slachtoffers te infecteren. Het probleem bij een dergelijke aanpak is dat het veel ongewenste aandacht trekt en dat de slagingspercentages laag zijn. Als gevolg hiervan hebben we de opkomst gezien van een nieuwe methode die een collega van me de treffende benaming ‘sniper ransomware’ heeft gegeven.
Sniper ransomware is zeer specifieke en gerichte ransomware die achter een handjevol vermogende individuen aangaat. Het lijkt een beetje op de typische jaren ‘80 film waarin een crimineel zich focust op een rijke zakenman, al zijn bewegingen volgt, stalkt, vervolgens een geliefde ontvoert en losgeld eist.
In het geval van sniper ransomware maken criminelen veelal gebruik van open source intelligence (osint). Ze doorzoeken openbaar beschikbare databases om zoveel mogelijk informatie te verzamelen over hun doelwit. Voor iedereen die weet waar te kijken en voldoende geduld heeft, is het vrij gemakkelijk om toegang te krijgen tot de meeste sources. Zodra alle informatie is verzameld, biedt het de criminelen de perfecte gelegenheid om een zeer gerichte phishing-e-mail te maken (spear-phishing of whaling) die hun kans op succes en een hogere betaling aan het einde enorm vergroot.
Aanbevelingen
Er is geen enkele techniek die alle ransomware-infecties kan voorkomen. Het gebruik van bepaalde strategieën kan het risico echter verminderen. Dit kunnen onder meer het uitschakelen van macro’s in MS Office-bestanden zijn, het segmenteren van het netwerk om de verspreiding van infecties te beperken en het maken van externe backups. Misschien wel de belangrijkste stap is om alle werknemers een security awareness-training te laten volgen. Met name de leidinggevenden van wie mag worden verwacht dat ze eerder worden aangevallen. Zo kunnen ze phishing-pogingen identificeren en weten ze allemaal hoe ze hier op de juiste manier op moeten reageren.