Wat is ransomware?

Meer informatie over ransomware, hoe het werkt, en hoe je jezelf en je bedrijf kunt beschermen tegen dit type cyberaanval.

Ransomware gedefinieerd

Ransomware is een type schadelijke software, of malware, waarbij wordt gedreigd kritieke gegevens of systemen van een slachtoffer te vernietigen of de toegang ertoe te blokkeren totdat losgeld is betaald. In het verleden waren ransomware-aanvallen meestal gericht op individuen, maar recentelijk is door mensen beheerde ransomware een grotere en lastigere bedreiging om te voorkomen en terug te draaien. Bij door mensen beheerde software gebruikt een groep aanvallers hun collectieve intelligentie om toegang te verkrijgen tot het bedrijfsnetwerk van een organisatie. Sommige aanvallen van dit type zijn zo geavanceerd dat de aanvallers interne financiële documenten waar ze de hand op hebben gelegd, gebruiken om de prijs van het losgeld te bepalen.

Recente ransomware-aanvallen

Helaas zijn ransomwarebedreigingen op het moment vaak in het nieuws. Alleen al in 2021 is het aantal ransomware-aanvallen met 935 procent toegenomen. Zoals je je wellicht kunt voorstellen, kunnen de gevolgen desastreus zijn. Hier kun je lezen over enkele recente ransomware-aanvallen en welk effect deze hadden op organisaties.

 

Kronos
 

In december 2021 werd Kronos, een grootheid op het gebied van HR (Human Resources), aangevallen met ransomware. De aanval trof het salaris- en verlofsysteem voor klanten die gebruikmaken van de Kronos-privécloud. Omdat zo veel organisaties voor hun services bouwen op Kronos, waaronder de Metropolitan Transportation Authority in de stad New York, de George Washington University, en de Oregon Department of Transportation, was de schending van persoonlijke gegevens en werknemersgegevens een groot probleem.

 

Colonial Pipeline
 

In mei 2021 werd de Amerikaanse brandstofpijp Colonial Pipeline stilgelegd om verdere schendingen te voorkomen nadat de persoonlijke gegevens van duizenden werknemers waren gecompromitteerd vanwege een ransomware-aanval. De gevolgen waren catastrofaal en zorgden voor torenhoge gasprijzen over de hele oostkust waar mensen in grote mate afhankelijk zijn van Colonial Pipeline. Uiteindelijk betaalde het bedrijf $ 4,4 miljoen cryptogeld aan de criminele hackersgroep DarkSide, waarvan de FBI later ongeveer $ 2,3 miljoen weer heeft weten terug te halen.

 

Brenntag
 

Het Duitse chemicaliëndistributiebedrijf Brenntag was, net zoals Colonial Pipeline, doelwit van een ransomware-aanval door DarkSide. Deze aanval vond plaats in april 2021. DarkSide claimt het netwerk van Brenntag te hebben geschonden via gestolen referenties, gekocht van een onbenoemde verkoper. Bij de aanval werden de geboortedatums, burgerservicenummers, en rijbewijsnummers van meer dan 6000 mensen gestolen, naast een aantal medische gegevens. Na een onderhandeling werd het losgeld verlaagd naar $ 4,4 miljoen, wat Brenntag heeft betaald.

 

JBS
 

De grootste vleesleverancier ter wereld, JBS, werd in mei 2021 doelwit van een ransomware-aanval die de activiteiten in Noord-Amerika en Australië troffen. Nadat JBS de website tijdelijk offline had gehaald en de productie had gestopt, voelde het zich gedwongen om te voorkomen dat de voedselvoorzieningsketen werd verstoord en de voedselprijzen zouden stijgen. Dus betaalde JBS uiteindelijk $ 11 miljoen losgeld in Bitcoin aan de groep cybercriminelen met de naam REvil.

Hoe werkt ransomware?

Bij een ransomware-aanval wordt het beheer van gegevens of een apparaat/apparaten van een individu of organisatie overgenomen, met als doel het eisen van geld. De afgelopen jaren kwamen social engineering-aanvallen het meest voor, maar recentelijk is door mensen beheerde ransomware populair geworden bij criminelen, vanwege de kans op enorm hoge uitbetalingen.

 

Social engineering-ransomware


Deze aanvallen maken gebruik van phishing om slachtoffers ertoe te verleiden te klikken op een koppeling, of om een e-mailbijlage te openen, waarna ransomware wordt geïnstalleerd op hun apparaat. Phishing is een vorm van bedrog waarbij een aanvaller zich voordoet als een legitiem bedrijf of een legitieme website. De aanvallen bestaan vaak uit alarmerende berichten die het slachtoffer doen handelen uit angst. Een cybercrimineel kan zich bijvoorbeeld voordoen als een bekende bank, en personen een e-mail sturen met daarin een waarschuwing dat hun rekening is geblokkeerd vanwege verdachte activiteiten. Deze personen wordt dan gevraagd op een koppeling in de e-mail te klikken om het probleem te verhelpen. Zodra iemand op de koppeling klikt, wordt de ransomware geïnstalleerd.

 

 

Door mensen beheerde ransomware


Door mensen beheerde ransomware begint vaak met gestolen accountreferenties. Zodra de aanvallers op deze manier toegang hebben gekregen tot het netwerk van een organisatie, gebruiken ze het gestolen account om de referenties van accounts met een breder toegangsbereik te bepalen, en te zoeken naar gegevens en bedrijfskritieke systemen die een groot financieel voordeel zouden kunnen opleveren. Vervolgens installeren ze ransomware op deze gevoelige gegevens of bedrijfskritieke systemen, bijvoorbeeld door gevoelige bestanden te versleutelen, zodat een organisatie pas weer toegang tot de bestanden heeft nadat er losgeld is betaald. Cybercriminelen willen vaak worden betaald in cryptovaluta, vanwege de anonimiteit ervan.

 

Deze aanvallers richten hun pijlen op grote organisaties die meer losgeld kunnen betalen dan het gemiddelde individu. Soms vragen ze om miljoenen dollars. Vanwege de grote belangen die zijn gemoeid met een schending op deze schaal kiezen veel organisaties ervoor om het losgeld te betalen, zodat hun gevoelige gegevens niet worden gelekt en ze niet het risico lopen op meer aanvallen van cybercriminelen, zelfs al biedt betalen hier geen enkele garantie voor.

 

Nu het aantal door mensen beheerde ransomware-aanvallen is toegenomen, zijn de criminelen achter deze aanvallen beter georganiseerd. Voor veel ransomwarebewerkingen wordt nu zelfs een Ransomware as a Service-model gebruikt. Dit betekent dat een groep criminele ontwikkelaars de ransomware ontwerpen, en vervolgens andere cybercriminelen als partner inhuren om het netwerk van een organisatie te hacken en de ransomware te installeren. Vervolgens worden de inkomsten tussen beide groepen verdeeld volgens vooraf overeengekomen percentages.

Verschillende typen ransomware-aanvallen

Ransomware heeft twee hoofdtypen: cryptoransomware en vergrendelingsransomware.

 

Cryptoransomware


Wanneer een individu of organisatie het slachtoffer is van een cryptoransomware-aanval, heeft de aanvaller gevoelige gegevens of bestanden van een slachtoffer versleuteld, en verleent de aanvaller pas weer toegang als het gevraagde losgeld is betaald. In theorie ontvangt het slachtoffer nadat deze heeft betaald een versleutelingssleutel die toegang biedt tot de bestanden of gegevens. Maar zelfs als een slachtoffer het losgeld betaalt, is er geen enkele garantie dat de cybercrimineel de versleutelingssleutel geeft of het beheer opgeeft. Doxware is een vorm van cryptoransomware waarmee wordt versleuteld en gedreigd de persoonlijke gegevens van een slachtoffer openbaar vrij te geven. Het doel is meestal om het slachtoffer te vernederen zodat deze uit schaamte het losgeld betaalt.

 

Vergrendelingsransomware


Bij een vergrendelingsransomware-aanval wordt het apparaat van een slachtoffer vergrendeld en kan deze zich niet meer aanmelden. Het slachtoffer ziet op het scherm een notitie over losgeld waarin wordt uitgelegd dat de toegang is geblokkeerd, inclusief instructies voor het betalen van het losgeld om weer toegang te krijgen. Deze vorm van ransomware betreft meestal geen versleuteling. Zodra het slachtoffer dus weer toegang heeft tot het apparaat, zijn eventuele gevoelige bestanden en gegevens ook toegankelijk.

Reageren op een ransomware-aanval

Als je het slachtoffer bent geworden van een ransomware-aanval, heb je opties voor hulp en verwijdering.

 

Wees voorzichtig met het betalen van ransomware


Hoewel het verleidelijk kan zijn om losgeld te betalen in de hoop dat het probleem daarmee is opgelost, is er geen enkele garantie dat de cybercriminelen hun woord houden en je weer toegang geven tot je gegevens. Beveiligingsexperts en wetshandhavingsinstanties adviseren slachtoffers van ransomware-aanvallen om het gevraagde losgeld niet te betalen, omdat het slachtoffers kwetsbaar maakt voor toekomstige bedreigingen en criminele praktijken actief bevordert. Als je al hebt betaald, neem dan onmiddellijk contact op je bank. Het is misschien mogelijk om de betaling tegen te houden indien je hebt betaald met een creditcard.

 

De geïnfecteerde gegevens isoleren


Isoleer zo snel mogelijk de gecompromitteerde gegevens om te helpen voorkomen dat de ransomware zich verspreidt naar andere delen van je netwerk.

 

Een antimalwareprogramma uitvoeren


Veel ransomware-aanvallen kunnen worden afgehandeld door een antimalwareprogramma te installeren om de ransomware te verwijderen. Zodra je een gerenommeerde antimalwareoplossing hebt gekozen, bijvoorbeeld Windows Defender, moet je ervoor zorgen dat je deze up-to-date houdt en altijd uitvoert, zodat je bent beschermd tegen de meest recente aanvallen.

 

De aanval melden


Neem contact op met je lokale of nationale wetshandhavingsinstanties om de aanval te melden. In de Verenigde Staten zijn dit de plaatselijke vestiging van de FBI, de IC3, of de Geheime dienst. Hoewel hiermee je eigen dringende problemen waarschijnlijk niet zijn verholpen, is dit wel belangrijk, omdat deze autoriteiten verschillende aanvallen actief bijhouden en bewaken. Als je de details van je ervaring deelt, kan dit helpen een vollediger beeld te vormen voor het opsporen en vervolgen van een cybercrimineel of een groep cybercriminelen.

Bescherming tegen ransomware

Nu er meer ransomware-aanvallen dan ooit zijn en zoveel persoonlijke gegevens van mensen digitaal worden bewaard, is potentiële uitval vanwege een aanval heel intimiderend. Gelukkig zijn er veel manieren om je digitale leven veilig voor jezelf te houden. Hier zie je hoe je gemoedsrust kunt krijgen met proactieve bescherming tegen ransomware.

 

Een antimalwareprogramma installeren


De beste vorm van beveiliging is preventie. Veel ransomware-aanvallen kunnen worden gedetecteerd en geblokkeerd met een vertrouwde antimalwareservice, zoals Microsoft Sentinel, Microsoft 365 Defender of Microsoft Defender voor Cloud. Wanneer je een antimalwareprogramma gebruikt, scant je apparaat eerst alle bestanden of koppelingen die je probeert te openen, om te controleren of ze veilig zijn. Als een bestand of website schadelijk is, waarschuwt het antimalwareprogramma je en adviseert je om het niet te openen. Deze programma's kunnen ook ransomware verwijderen van een apparaat dat is geïnfecteerd.

 

Regelmatig trainingen organiseren


Houd werknemers via regelmatige trainingen op de hoogte over hoe ze de signalen voor phishing en andere ransomware-aanvallen kunnen oppikken. Hierdoor leren ze niet alleen om veiliger te werken, maar ook hoe ze hun persoonlijke apparaten op een veiligere manier kunnen gebruiken.

 

Stap over naar de cloud


Wanneer je jouw gegevens verplaatst naar een cloudservice, zoals Azure Cloud Backup ServiceAzure Block Blob Storage Backup, of Office 365 Backup and Recovery Services, kun je eenvoudig back-ups maken van gegevens om deze veilig te bewaren. Mochten je gegevens ooit gecompromitteerd raken door ransomware, dan zorgen deze services voor onmiddellijk en uitgebreid herstel.

 

Een Zero Trust-model in gebruik nemen


Met een Zero Trust-model scan je alle apparaten en gebruikers op risico's, voordat je hun toegang verleent tot toepassingen, bestanden, databases, en andere apparaten. Dit vermindert de kans dat een kwaadwillende identiteit of een schadelijk apparaat toegang krijgt tot resources, en malware kan installeren. Ter illustratie: er is aangetoond dat de implementatie van meervoudige verificatie, één onderdeel van een Zero Trust-model, de impact van identiteitsaanvallen met meer dan 99% vermindert. Als je de Zero Trust-ontwikkelingsfase van je organisatie wilt evalueren, voer je onze evaluatie voor Zero Trust-ontwikkeling uit.

 

Deelnemen aan een groep voor het delen van informatie


Groepen voor het delen van informatie, vaak op basis van branche of geografische locatie, moedigen vergelijkbaar gestructureerde organisaties aan om samen te werken aan oplossingen voor cyberbeveiliging. De groepen bieden organisaties daarnaast verschillende voordelen, zoals services voor incidentreactie en digitale analyses, nieuws over de meest recente bedreigingen, en het bewaken van openbare IP-adresbereiken en domeinen.

 

Offline back-ups onderhouden


Omdat bepaalde ransomware probeert online back-ups die je mogelijk hebt, te vinden en verwijderen, is het een goed idee om offline een bijgewerkte back-up met gevoelige gegevens te bewaren die je regelmatig test om te controleren of deze kan worden teruggezet, mocht je ooit worden getroffen door een ransomware-aanval. Helaas wordt het probleem, wanneer je bent getroffen door een cryptoransomware-aanval, niet opgelost als je offline een back-up hebt. Maar dit kan wel een effectief middel zijn om te gebruiken bij een vergrendelingsransomware-aanval.

 

Software up-to-date houden


Zorg er, naast het bijgewerkt houden van oplossingen voor antimalware (overweeg automatische updates te kiezen), voor dat je eventuele andere systeemupdates en softwarepatches downloadt zodra deze beschikbaar zijn. Dit helpt om eventuele beveiligingsproblemen te minimaliseren waarvan een cybercrimineel misbruik kan maken om toegang te krijgen tot je netwerk of apparaten.

 

Een reactieplan bij incidenten maken


Net zoals het veilig is om een noodplan te hebben voor het geval er brand uitbreekt en je snel je huis moet verlaten, zorgt het maken van een reactieplan bij incidenten er voor dat je weet wat je moet doen bij een ransomware-aanval. Het biedt de stappen die je moet ondernemen in verschillende scenario's, zodat je zo snel mogelijk weer je bedrijf normaal en veilig kunt runnen.

Veelgestelde vragen

|

Helaas kan iedereen met aanwezigheid online het slachtoffer worden van een ransomware-aanval. Persoonlijke apparaten en bedrijfsnetwerken zijn beide frequente doelwitten van cybercriminelen.

 

Investeren in je proactieve oplossingen, zoals services voor bedreigingsbeveiliging, is een handige manier om te voorkomen dat ransomware je netwerk of apparaten infecteert. Daarom is het minder waarschijnlijk dat individuen en organisaties die antivirusprogramma's en andere beveiligingsprotocollen, zoals een Zero Trust-model, hebben geïnstalleerd voordat een aanval plaatsvindt, slachtoffer worden van een ransomware-aanval.

Traditionele ransomware-aanvallen vinden plaats wanneer mensen ertoe worden verleid om te werken met schadelijke inhoud, zoals het openen van een geïnfecteerde e-mail of het bezoeken van een schadelijke website, waarna ransomware wordt geïnstalleerd op hun apparaat.

 

Bij een door mensen beheerde ransomware-aanval zijn de gevoelige gegevens van een organisatie doelwit van aanvallers die deze willen misbruiken. Meestal gaat het om gestolen referenties.

 

Meestal ontvangen, zowel bij social engineering-ransomware en door mensen beheerde ransomware, een slachtoffer of organisatie een losgeldbericht, met hierin de boodschap dat gegevens zijn gestolen en wat het kost om deze weer terug te krijgen. Het betalen van losgeld is echter geen garantie dat deze gegevens daadwerkelijk worden teruggegeven of dat schendingen in de toekomst kunnen worden voorkomen.

De effecten van een ransomware-aanval kunnen desastreus zijn. Zowel individuen als organisaties voelen zich als slachtoffer mogelijk gedwongen om hoge sommen losgeld te betalen, zonder enige garantie dat de gegevens worden teruggegeven of dat toekomstige aanvallen uitblijven. Als een cybercrimineel de gevoelige informatie van een organisatie lekt, kan dit de reputatie van de organisatie schaden en de organisatie onbetrouwbaar doen lijken. En afhankelijk van het type informatie dat is gelekt en de grootte van de organisatie, kunnen duizenden individuen het risico lopen om slachtoffer te worden van identiteitsdiefstal of andere cybermisdaden.

Cybercriminelen die de apparaten van slachtoffers infecteren met ransomware, willen geld. Meestal willen ze het losgeld in cryptovaluta, omdat dit anoniem is en niet kan worden getraceerd. Bij een ransomware-aanval via social engineering die gericht is op een individu, is het losgeld misschien honderden of duizenden dollars. Bij een door mensen beheerde ransomware-aanval die is gericht op een organisatie, kan het losgeld oplopen tot miljoenen dollars. Deze meer geavanceerde aanvallen tegen organisaties kunnen vertrouwelijke financiële informatie misbruiken die cybercriminelen hebben onderschept bij een schending van het netwerk. Deze informatie gebruiken ze om de hoogte van het losgeld te bepalen, waarvan ze denken dat de organisatie die kan betalen.

Slachtoffers wordt gevraagd om ransomware-aanvallen te melden bij hun lokale of nationale wetshandhavingsinstanties. In de Verenigde Staten zijn dit de plaatselijke vestiging van de FBI, de IC3, of de Geheime dienst. Beveiligingsexperts en wetshandhavingsinstanties adviseren slachtoffers om geen losgeld te betalen. Als je wel hebt betaald, neem dan onmiddellijk contact op met je bank en lokale autoriteiten. Als je hebt betaald met een creditcard kan de bank deze betaling mogelijk blokkeren.