Zes vragen over ransomware

CorporatePostsSecurity newsmalwareSecuritySophos

Twee jonge mannen uit Amersfoort zijn afgelopen maand gearresteerd, omdat zij ervan worden verdacht zogenaamde ransomware te hebben verspreid. Ransomware is malware die bestanden op computers en bedrijfssystemen ‘gijzelt’ door ze te versleutelen. Alleen door te betalen, kan de encryptie worden opgeheven en krijgt een organisatie zijn gegevens terug. “In de praktijk komt de keuze neer op zakendoen met criminelen of afscheid nemen van de gegijzelde bestanden”, zegt Peter Magez, country manager BeLux bij beveiligingsbedrijf Sophos.

Vraag 1: Hoe werkt ransomware?

“Ransomware is kwaadaardige software die vaak via e-mail een bedrijf binnenkomt. Als de e-mail of bijgevoegde bijlage wordt geopend, versleutelt de software alle belangrijke bestanden waar de gebruiker toegang tot heeft. Vervolgens verschijnt er een melding op het scherm waarin wordt gemeld dat de bestanden versleuteld zijn en dat tegen betaling de encryptiesleutel wordt geleverd. Vaak staat er ook een aftelklok bij om aan te geven hoeveel tijd mensen hebben om te betalen. Kies je ervoor om niet te betalen, dan worden je bestanden na het aflopen van de tijd vernietigd.”

Vraag 2: Welke vormen van ransomware zijn er bekend?

“De verschijning ransomware is niet nieuw, maar criminelen worden steeds gehaaider in het maken van nieuwe toepassingen. In feite is het malware die ervoor zorgt dat gebruikers geen toegang meer hebben tot hun systeem of bestanden. De oudste vorm van ransomware blokkeert alleen het scherm van een bepaalde gebruiker. Als je vervolgens inlogt als een andere gebruiker, heb je nergens last van. Dat maakt dit type vrij onschadelijk.

Een ander type is ransomware die bestanden op het systeem kan kopiëren. Voorheen kon dit type alleen, vaak ten onrechte, een melding geven dat er illegale bestanden, zoals kinderporno, op een computer waren aangetroffen, maar inmiddels is de software in staat om dat soort bestanden ook daadwerkelijk op de computer te plaatsen.

De vorm die we het meeste tegenkomen in het nieuws de laatste tijd is de trojan die de bestanden gijzelt en tegen losgeld weer beschikbaar komen.”

Vraag 3: Hoe voorkom je besmetting?

“Het is een open deur, maar ik blijf erop hameren: Open geen mails of attachments die je niet vertrouwd of die afkomstig zijn van onbekenden. Andere voorzorgsmaatregelen zijn het up-to-date en gepatcht houden van het besturingssysteem en alle software. Zorg ervoor dat de antivirussoftware up-to-date en actief is en dat de juiste instellingen worden gebruikt. Tot slot is het ontzettende belangrijk om regelmatig back-ups te maken en die goed te testen. Bewaar ze op een veilige plek. Sommige fabrikanten beweren dat ze besmetting met ransomware kunnen voorkomen. Dit houdt in de praktijk in dat er automatisch een systeemherstelpunt terug gerold wordt wanneer een organisatie besmet raakt met ransomware. Maar de nieuwste ransomware omzeilt dit fluitend door zich eerst te nestelen en vervolgens een aantal weken of maanden te wachten voordat het actief wordt. Daardoor is het terugrollen naar het juiste systeemherstelpunt geen eenvoudige taak. Je weet namelijk nooit hoe lang de ransomware zich al heeft genesteld voordat het actief werd. ”

Vraag 4: Betalen of niet?

“Wij raden slachtoffers aan om niet in te gaan op de losgeldeis. Alle malware wordt geschreven om er geld aan te verdienen en hoe minder mensen daarop ingaan, hoe minder interessant deze vorm van criminaliteit wordt. Tegelijkertijd realiseren we ons dat het een keuze is uit twee kwaden: ofwel zakendoen met criminelen of afscheid nemen van de gegijzelde bestanden. Daarom is het maken van regelmatig, goed geteste back-ups zo belangrijk. Dat is de enige redding voor een bedrijf dat is geïnfecteerd.”

 Vraag 5: Hoe weet ik zeker dat ik de sleutel krijg na betaling?

“Criminelen die zich bezighouden met deze vorm van afpersing zijn gebaat bij een goed imago. Zij willen dat hun slachtoffers weten dat ze zich aan hun woord houden. Immers, als het onduidelijk is of de sleutel inderdaad wordt teruggegeven, zijn veel minder bedrijven bereid te betalen. Als organisaties zeker weten dat ze na betaling weer over hun gegevens en bestanden kunnen beschikken, zullen ze eerder voldoen aan de losgeldeis. In de praktijk blijkt dan ook dat criminelen  eigenlijk als een gewone business opereren, met doelgroepen, reputatiemanagement en een klantenservice. Ze bieden hun slachtoffers vaak een ontzettend goede support. Ze doen er alles aan om het betalen zo eenvoudig mogelijk te maken, tot complete stappenplannen aan toe die beschrijven hoe BitCoin-accounts moeten worden aangemaakt.”

Vraag 6: Hoe houdt je de gevolgen van een besmetting zo minimaal mogelijk?

“Koppel het besmette systeem direct los van de rest van het netwerk. Draai een tool die malware op het systeem detecteert en opruimt. Die software zorgt er niet voor dat de gegijzelde bestanden teruggehaald worden, maar kan de ransomware wel van het systeem verwijderen. Doordat ransomware een trojan is en geen worm of virus, verspreidt het zich niet automatisch verder of kopieert zichzelf niet op de systemen. Omdat dit soort cryptoware bij alle bestanden en systeeminstellingen kan waar de gebruiker toegang toe heeft, is het verstandig om kritisch te kijken naar de rechten van gebruikers op het bedrijfsnetwerk. Hoeven bepaalde documenten alleen maar bekeken te worden? Geef een gebruiker dan alleen leesrechten. Zo kan de malware de bestanden wel lezen, maar ze niet veranderen of versleutelen. We zien dat veel gebruikers volledige administratorrechten hebben op hun machine. Dat maakt een organisatie kwetsbaar voor ransomware. We adviseren om niemand standaard administratorrechten te geven, maar, als dat wenselijk is, ervoor te zorgen dat iemand zich met die rechten kan aanmelden voor bepaalde taken. Op die manier wordt de toegang tot instellingen beperkt, wat gunstig is in het geval van besmetting.”

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.