Het is een lucratieve business voor cybercriminelen, dus hoe zorg je ervoor dat ze bij jouw bedrijf uit de buurt blijven?

In een aantal jaar tijd is ransomware een gigantisch probleem geworden. In 2021 nam de schade enorm toe en de aanpak is een ingewikkelde puzzel. Ransomware is een schaalbare, efficiënte industrie geworden, aldus Telecompaper.

Op dit moment is het ministerie van Buitenlandse Zaken bezig om wetgeving tussen landen te krijgen, maar aangezien veel bendes vanuit Rusland opereren is het nog maar de vraag wat er aan dreigingszijde gedaan kan worden.

Wat is ransomware?

Ransomware is schadelijke software, of malware, die je computers en bestanden gijzelt. Vandaar dat we het in Nederland ook wel gijzelsoftware noemen. Criminelen versleutelen of blokkeren je bestanden, computers of soms zelfs het hele netwerk en geven de boel pas weer vrij als je losgeld betaalt.

Dat losgeld moet vaak betaald worden in cryptovaluta zoals Bitcoin.

Soorten ransomware

We kennen twee vormen van ransomware: een cryptor die bestanden in je systeem versleutelt en een locker die je toegangsscherm vergrendelt. Er zijn ook geavanceerde ransomware soorten die databases, back-ups, USB-sticks en data in de cloud kunnen versleutelen.

Hoe komt ransomware je bedrijf binnen?

Dat kan op verschillende manieren en apparaten. We zien vaak kwaadaardige macro’s in Microsoft Office, die binnenkomen via Office documenten die in de bijlage van een e-mail zitten. Wanneer je macro’s inschakelt, raakt je systeem gemakkelijk besmet.

Maar het kan ook misgaan via een foute link in een phishing mail, door een malafide bijlage of via een besmette download of advertentie op een website.

Praktijkvoorbeelden van ransomware mails

Er gaan talloze nepmails rond vanuit KPN, Ziggo, Intrum Justitia en transportbedrijven. Deze mails bevatten een besmette bijlage of malafide link.

Maar wij zien de laatste tijd ook wat anders. Zo zien we regelmatig mails voorbij komen die zogenaamd vanuit collega’s zijn gestuurd, met de opmaak van Microsoft Teams:

Cybercriminelen doen zich voor als collega’s en klanten en het echt van levensbelang dat je bij iedere bijlage of link het e-mailadres van de afzender checkt. Die verraadt het namelijk altijd direct.

De feiten en cijfers

2021 is het meest lucratieve jaar voor cybercrime ooit geweest. In juli bracht SonicWall een onderzoek naar buiten met indrukwekkende cijfers. In de eerste zes maanden van 2021 bereikte het wereldwijde ransomware volume een ongekende 304,7 miljoen aanvalspogingen.

In heel 2020 waren dat 304,6 miljoen pogingen.

Daar stopte het nog lang niet. In het derde kwartaal werd wederom een record gebroken: er waren 190,4 aanvalspogingen. In totaal kwam het aantal pogingen op 495,1 miljoen, een toename van 148% ten opzichte van vorig jaar. 2021 is het duurste en gevaarlijkste jaar ooit.

Ransomware voorspellingen voor 2022

Het spreekt voor zich dat de ellende alleen maar groter wordt.

Beveiligingsbedrijf Sophos heeft een rapport uitgebracht met voorspellingen en die zijn niet mals.

De afgelopen 18 maanden zagen we een verandering in tactiek: steeds vaker zijn grote organisaties het doelwit en het bedrijfsmodel dat dicteert hoe ransomware-aanvallen plaatsvinden, is geëvolueerd.

Het is aan IT-professionals om proactief met onderstaande trends om te gaan om de uitdagingen aan de horizon het hoofd te bieden.

Ransomware as a Service (RaaS)

Ransomware as a Service klinkt niet best en dat is het ook absoluut niet. Ransomware groepen kopen diensten op het Dark Web en zoeken daar specialisten om ransomware aanvallen op te zetten.

Er zijn zelfs speciale handleidingen te vinden hoe bedrijven zijn aangevallen, om zo andere bendes te ‘inspireren’.

Dit model is zorgelijk. Waar voorheen dezelfde groep eigen ransomware ontwikkelde en gebruikte, wordt er nu gespecialiseerd.

Zo kan de een zich specialiseren in misbruik van kwetsbare internetdiensten, zoals Remote Desktop Protocol (RDP), terwijl een andere groep specialist is in het kopen van toegang tot organisaties.

In het RaaS-model zijn al deze details vertroebeld, waardoor het lastiger is om precies vast te stellen wie er achter een aanval zit.

De RaaS-trend is ingezet in 2021, we zagen aanvallen op Conti en DarkSide.

Sophos gelooft het RaaS-model in 2022 en later het dreigingslandschap voor ransomware blijft domineren.

Het model stelt experts namelijk in staat te blijven bouwen aan hun product, terwijl specialisten in het verkrijgen van toegang daarop kunnen blijven focussen.

RaaS-bedreigers vonden al nieuwe manieren om in te breken in steeds beter beveiligde netwerken en dat wordt in 2022 alleen maar erger.

Combinatie aanvallen

Het bedrijf voorspelt ook dat criminelen in 2022 een combinatie van afpersingstechnieken in gaan zetten, om meer druk uit te oefenen op slachtoffers.

In 2021 waren er al tien verschillende afpersingstechnieken, waaronder datadiefstal, dreigtelefoontjes, publieke bekendmaking en DDoS-aanvallen.

Technieken combineren is ook nog eens lucratief: in de eerste helft van 2021 vroegen criminelen 570.000 dollar voor de gegijzelde data.

Dat is een stijging van 82% vergeleken met het jaar ervoor!

Een ransomware aanval, wat nu?

Oh nee, je apparatuur is versleuteld. Wat nu? Raak vooral niet in paniek. Het is namelijk nog niet allemaal verloren.

• Betaal niet! Dat geeft het signaal dat dit soort activiteiten winstgevend zijn.
• Kom er met de Crypto Sherrif achter welke malware je schijf heeft geïnfecteerd. Het zou namelijk zomaar kunnen dat er al een decryptor is, waardoor je je gegevens zo terug hebt. Deze website wordt ondersteund door Europol.
• Is er geen decryptor beschikbaar? Blijf de website van No More Ransom dan controleren, want die weet komt er snel een beschikbaar.

Wat kun je om een ransomware aanval te voorkomen?

Volgens Forrester stijgen de premies voor cyberverzekeringen met 30% en zijn er zelfs verzekeraars die uit de markt moeten stappen. De eisen voor afpersing stijgen, wat een deuk heeft geslagen in een ooit zeer winstgevende branche.

Forrester verwacht ook dat ten minste één van de top 10 cyberverzekeraars zal stoppen met new business.

Genoeg redenen dus om op je hoede te zijn. Helemaal voorkomen kun je het helaas niet, maar je kunt er wel voor zorgen dat je fort goed beveiligd is.

Dit kun je doen met een cybersecurity checklist, zo kom je niet voor verrassingen te staan.

Hieronder verzamelen we een paar do’s en don’ts rondom ransomware.

1. Betaal geen losgeld!

Want dat moedigt de criminelen alleen maar aan en financiert ze.

En zelfs als het losgeld is betaald heb je geen garantie dat je weer toegang krijgt tot je bestanden, want wie weet valt er bij jou nog wel meer geld te halen.

Hand op de knip dus. Als we allemaal stoppen met betalen is de lol er zo af.

2. Zorg dat je een goede back-up hebt

Zorg dat je altijd een goede back-up van al je bestanden hebt. Dit is echt de snelste manier om weer toegang te krijgen tot al je gegevens.

Versleutel de back-ups, zodat je ze uit de handen van cybercriminelen houdt.

Met een versleutelde schone back-up kun je voorkomen dat de ransomware je back-up bereikt en heb je snel je data weer terug.

Dit zijn een aantal best practices om je back-ups te beschermen tegen ransomware:

Houd een tweede offline back-up bij

Wanneer ransomware toeslaat, kan de malware alles aanvallen waartoe het geïnfecteerde systeem toegang heeft.

Het is onwaarschijnlijk dat je eindgebruikers back-upbeheerders zijn, maar er zijn indirecte paden waarlangs back-ups kunnen worden geïnfecteerd.

Als dit gebeurt, is er geen manier om te herstellen omdat zowel de hoofdkopie van de gegevens als de back-up versleuteld zullen zijn. Het bewaren van een offline back-up kan dit risico verkleinen.

Een eenvoudige manier om dit te doen is het gebruik van traditionele back-uptapes, die voor ransomware onmogelijk te kraken zijn.

Gebruik onveranderbare opslag

Ook bekend als WORM (Write-Once-Read-Many), onveranderbare objectopslag kan gegevens opslaan in een bucket en deze vergrendelen om verdere wijziging te voorkomen.

De meeste schijfgebaseerde back-upsystemen beschermen gegevens op blokniveau en gebruiken bewaking van gewijzigde blokken om bestanden te beveiligen wanneer ze worden gewijzigd.

Het probleem is dat ransomware veel opslagblokken wijzigt, zodat je back-upsysteem uiteindelijk een back-up kan maken van de nu versleutelde bestanden.

Onveranderbare opslag zorgt ervoor dat back-ups ongewijzigd blijven.

Endpointbeveiliging op back-upservers

Moderne endpointbeveiligingsplatforms zijn in staat ransomwareprocessen te detecteren zodra ze een systeem beginnen te infecteren.

Door hun abnormale gedrag te herkennen, zelfs als het type ransomware nieuw en onbekend is voor beveiligingsspecialisten.

Ze kunnen de geïnfecteerde systemen onmiddellijk vergrendelen en isoleren van het netwerk om te voorkomen dat ransomware zich verder verspreidt.

Dit is nuttig voor alle eindpunten van de organisatie, maar is vooral belangrijk op de back-upserver zelf.

Verhoog de back-upfrequentie

Kijk hoe vaak je een back-up maakt van je eigen gegevens, die bepalend is voor je recovery point objective (RPO).

De frequentie van back-ups bepaalt hoeveel gegevens verloren kunnen gaan bij een ransomware-aanval.

Zelfs als je één keer per dag of één keer in de paar uur een back-up maakt, moet je bedenken wat het kost als je alle gegevens sinds de vorige back-up verliest.

Overweeg om ten minste één keer per uur een back-up te maken van bedrijfskritische gegevens.

De 3-2-1 back-up regel om ransomware risico’s te beperken

De 3-2-1 regel is een algemene best practice voor herstel en back-up, die kan helpen bij het beperken van ransomware risico’s.

Geen enkele back-upstrategie is waterdicht, maar het volgen van de 3-2-1 regel is best een krachtige aanpak om verlies van je data te voorkomen.

Dit is hoe 3-2-1 back-up regel werkt:

• Zorg voor ten minste drie kopieën van je data – een hoofdkopie en twee back-ups
• Gebruik twee verschillende media-indelingen, bijvoorbeeld een SSD-schijf en cloud-opslag
• Bewaar één van deze kopieën buiten het bedrijf. De veiligste optie is om gegevens op een tape op te slaan en deze op een zeer veilige locatie te bewaren. Een andere optie is het automatisch maken van snapshots van gegevens naar een locatie voor noodherstel.

3. Wees voorzichtig met het delen van persoonlijke informatie

Geef geen persoonlijke informatie bij het beantwoorden van een e-mail, ongevraagd telefoontje, sms of instant message.

Phishers proberen zowel werknemers als individuen te verleiden tot het installeren van malware, of informatie in te winnen voor aanvallen door zich voor te doen als IT-medewerker of een gerenommeerd bedrijf.

Geef nooit je persoonlijke informatie aan ongevraagde personen.

Verstuur ook nooit wachtwoorden via de mail, maar maak gebruik van een passwordmanager.

4. Gebruik gereputeerde antivirussoftware en een firewall

Het onderhouden van een sterke firewall en het up-to-date houden van je beveiligingssoftware zijn van cruciaal belang.

Gebruik antivirussoftware van een gerenomeerd bedrijf, want helaas bestaat er erg veel nepsoftware.

5. Scan en filter je mailservers

Scan al je inkomende e-mails op bekende bedreigingen en zorg ervoor dat je e-mailservers alle soorten bijlagen blokkeren die een bedreiging kunnen vormen.

6. Houd je software up-to-date

Zorg ervoor dat alle systemen en software zijn bijgewerkt met relevante patches. Exploitkits die op gecompromitteerde websites worden gehost, worden vaak gebruikt om malware te verspreiden.

Regelmatige patching van kwetsbare software is noodzakelijk om infectie te helpen voorkomen.

7. Een VPN is een basisbehoefte

Gebruikmaken van een openbaar WiFi-netwerk is niet verstandig, maar soms kun je er niet omheen. Zorg dat je een betrouwbare VPN gebruikt als je surft via een openbaar netwerk.

Maak je voor je bedrijf veel kilometers? Zorg er dan voor dat je IT-afdeling hiervan op de hoogte is.

Het spreekt voor zich dat je nooit inlogt bij je bank via een openbaar netwerk, maar we vertellen het toch nog maar even.

8. Gebruik multi-factor authentication

Bij multi-factor authentication gebruik je een combinatie van factoren om toegang te valideren. Dit kan met inloggegevens plus een tweede (of meer) tijdsgevoelig wachtwoord, biometrische gegevens of een beveiligingssleutel.

Wanneer iemand probeert in te breken op je account, wordt dat met MFA knap lastig. Met een wachtwoord ben je er namelijk niet.

Zelf maken wij gebruik van de YubiKey. Dankzij deze sleutel heb je geen app meer nodig, je hoeft enkel de sleutel maar in te pluggen. Ideaal!

9. Versterk je zwakste schakel: je medewerkers

We noemden hem al eerder: je medewerkers zijn je zwakste schakel in je cyberbeveiligingsbeleid.

Eigenlijk moet deze dan ook bovenaan staan, want het is een van de meest belangrijke punten.

Zorg ervoor dat je medewerkers cyberexperts zijn. Maar dan ook echt. Voorzie ze regelmatig in trainingen en zorg ervoor dat je het gesprek openhoudt.

Wij delen elke malafide mail intern en bespreken het regelmatig in onze meetings. Better safe than sorry.

Ransomware evolueert

Cybercriminelen worden steeds slimmer en ransomware geavanceerder. Zorg ervoor dat je op de hoogte bent van de laatste ontwikkelingen en deel alles met je collega’s. Voorkomen is in dit geval altijd beter dan genezen.