Deze week hield ransomware Ryuk huis, met als resultaat dat honderden organisaties, waaronder de grote Amerikaanse keten van zorginstellingen Universal Health Services, offline gingen. Hoe gaan hackers te werk bij dit soort extreem geavanceerde en gerichte aanvallen? En hoe bescherm je jouw organisatie hiertegen?
Om te begrijpen hoe Ryuk te werk gaat, is het goed eerst terug te kijken naar ransomware WannaCry. Hierbij vond infectie plaats via server message block, het protocol dat binnen Windows is bedoeld voor het delen van bestanden. Dit werkte als een worm: het kon zichzelf verspreiden door het interne netwerk en meer en meer computers infecteren. Hierdoor werden bedrijven die bepaalde security-patches nog niet geïnstalleerd hadden, al snel volledig geïnfecteerd.
Hoewel mogelijk de bekendste aanval is, was het zeker niet de meest winstgevende voor de aanvallers. De betaal- en decryptie-functionaliteit in WannaCry werkte helemaal niet. De oorzaak hiervan is niet zeker. Mogelijk is de worm per ongeluk al verspreid terwijl een deel van de functionaliteit nog in aanbouw was. Een andere theorie is dat het geen ‘verdiendoel’ had, maar dat de ransomware ‘slechts’ maximale schade probeerde aan te richten.
Hoe werkt Ryuk?
Recente ransomware, zoals Ryuk, is op een aantal punten anders. Deze verspreidt zich vaak niet zelf, maar wordt handmatig door een hacker die al toegang heeft tot een netwerk verspreid en uitgevoerd. De eerste stap is vaak de infectie van een device van een medewerker, bijvoorbeeld via een gerichte phishing-mail. Door een e-mailbijlage te openen of door op een link te klikken, krijgt de aanvaller toegang tot de machine van een medewerker. Vervolgens verkent de hacker handmatig het interne netwerk.
Het doel is nog niet het infecteren, maar het verkrijgen van hogere rechten. Door kwetsbare systemen of zwakke wachtwoorden te misbruiken, kan de aanvaller toegang krijgen tot andere systemen en accounts. Langzaam werkt een aanvaller daarmee toe naar de hoogste rechten. In Windows-netwerken probeert de aanvaller bijvoorbeeld toegang te krijgen tot een Domain Admin-account.
Eenmaal binnen
Zodra de hacker de rechten heeft, wordt er op alle machines een proces gestart om de back-ups te vernietigen. Van verschillende bekende back-up-tools worden de bestanden stilletjes verwijderd en de back-ups uitgeschakeld. Dan pas gaat het echte versleutelen van start.
Bijna alle bestanden worden versleuteld, behalve bestanden die noodzakelijk zijn om de ransom-note nog te kunnen lezen. Vaak is het niet mogelijk de computer opnieuw op te starten zodra deze geïnfecteerd is, omdat de hiervoor benodigde bestanden zijn versleuteld. De hackers laten een bestand achter waarin uitgelegd wordt wat er gebeurd is, hoe er betaald moet worden en vaak wordt aangeboden om een paar bestanden als demonstratie te laten ontsleutelen. Zo toont de aanvaller aan dat hij echt in staat is de bestanden weer vrij te geven, en dat het betalen van losgeld loont.
Losgeld
Het bedrag aan losgeld dat gevraagd wordt varieert. De hackers kunnen dit namelijk precies kiezen: ze willen zo veel mogelijk vragen, maar niet zo veel dat het bedrijf het onmogelijk kán betalen, of dat het herstellen zonder de data goedkoper is. Ze kunnen bovendien eerst onderzoeken welke gevoelige gegevens aanwezig zijn en de interne bedrijfsprocessen observeren om in te schatten hoe belangrijk die data is. Bedragen die publiekelijk bekend zijn lopen tot in de tonnen per infectie. De Universiteit Maastricht betaalde begin dit jaar bijvoorbeeld bijna twee ton aan losgeld om de systemen te bevrijden van ransomware. Het komt ook voor dat de hackers dreigen met publiciteit als de ransomware niet wordt betaald.
Bij oudere ransomware was het af en toe nog mogelijk de bestanden te ontsleutelen zonder te betalen. Fouten in de encryptie- of betaalfunctionaliteit werden benut om de bestanden toch vrij te spelen. Huidige ransomware is echter zo geavanceerd dat nog zelden mogelijk is.
Wie achter ransomware-aanvallen zitten? De aanvallers zijn waarschijnlijk professionele organisaties. Veel aanvallen worden in verband gebracht met Rusland of Noord-Korea. De kans dat deze hackers opgespoord worden en zijn te dwingen de bestanden zonder betaling te ontsleutelen, is daarom klein.
Zes voorzorgsmaatregelen
Op basis van de beschrijving van hoe Ryuk werkt, zijn er een zestal maatregelen te treffen om je tegen deze ransomware te wapenen.
- Zorg voor security-awareness
Hackers weten vaak binnen te komen door een phishing-aanval gericht op een medewerker. Het is lastig dit waterdicht te maken. Echter kun je wel zorgen voor betere security-awareness onder de medewerkers waarmee de kans op een aanval aanzienlijk wordt verkleind.
- Zorg dat je software up-to-date is
Toegang krijgen tot het gehele interne netwerk is makkelijker wanneer de aanvaller bekende kwetsbaarheden kan misbruiken. Dit bespaart de moeite om te zoeken naar nieuwe kwetsbaarheden of configuratiefouten. Er worden regelmatig kwetsbaarheden gevonden die het mogelijk maken vanaf het netwerk toegang te krijgen tot een computer of waarmee admin-accounts zijn over te nemen. Wanneer de updates die deze kwetsbaarheden oplossen niet snel genoeg geïnstalleerd worden, kan een aanvaller deze makkelijk misbruiken.
- Gebruik detectie-tooling
Hackers kunnen vaak ongestraft interne netwerken verkennen om zo hogere rechten te krijgen. Als een aanvaller in het netwerk al opgemerkt kan worden voordat de encryptie gestart is, kan de schade waarschijnlijk volledig worden voorkomen. Het inzetten van speciale detectie-tooling, ook wel bekend als ‘Intrusion Detection Systems’ kan hierbij helpen.
- Pas netwerksegmentatie toe
Als je te maken hebt met grote netwerken is het een goed idee het netwerk op te delen in segmenten waartussen alleen de noodzakelijke communicatie mogelijk is. Zo maak je het voor aanvallers moeilijk om volledige toegang te krijgen tot je netwerk. Zo kun je een apart segment inrichten dat alleen gebruikt wordt door beheerders. Dit segment is dan afgeschermd van bijvoorbeeld het segment voor gewone gebruikersaccounts, en het segment waar de back-ups worden opgeslagen. Vergeet ook niet je segmentatie zodanig in te richten dat gebruikers van je gast-wifi nergens bij kunnen.
- Voer security-testen uit
Veel interne netwerken bevatten configuratiefouten of andere kwetsbaarheden waarmee het mogelijk is beheerrechten te krijgen. Bijvoorbeeld het veilig inrichten van de permissies binnen een active directory kan voor een groot bedrijf een uitdaging zijn. Preventieve maatregelen zoals (periodieke) security-testen kunnen helpen om kwetsbaarheden te voorkomen.
- Bewaar back-ups ook offline en op een andere locatie
De aanvallers proberen back-ups van gevoelige gegevens zo veel mogelijk te vernietigen of ook te versleutelen. Door ook altijd een aantal offline-back-ups te hebben, of back-ups te bewaren op een externe locatie die vanuit het netwerk onbereikbaar is, kun je proberen deze toch terug te zetten zonder te betalen.
Toch slachtoffer
Ondanks het nemen van maatregelen lijkt het er helaas op dat geen enkele organisatie onaantastbaar is en iedereen in bepaalde mate kwetsbaar is. Organisaties weren zich steeds beter, maar hackers worden ook steeds inventiever. Dit is de reden dat het Nationaal Cyber Security Centrum elke organisatie stellig adviseert ervoor te zorgen dat je in het geval van een hack adequaat kunt reageren. Dit doe je onder meer door crisisoefeningen een plek te geven binnen je organisatie. Zo ben je voorbereid als hackers het – vroeg of laat – op jouw bedrijf hebben gemunt.