Wat is ransomware?

Twee computers in een kantoor zijn geïnfecteerd met ransomware

Ransomware (of gijzelsoftware) is kwaadaardige software die een apparaat of zelfs een heel netwerk infecteert en vervolgens alle bestanden met encryptie versleutelt. Dit kan de bedrijfsvoering van een organisatie verstoren of zelfs geheel platleggen.

De cybercriminelen nemen vervolgens contact op met de getroffen organisatie om geld te vragen voor een oplossing. Pas wanneer het slachtoffer een geldbedrag overmaakt, worden de bestanden ontsleuteld.

In het begin werden vooral consumenten slachtoffer van ransomware aanvallen, maar in de loop der jaren hebben is het ransomware proces geprofessionaliseerd en zijn de aanvallen zo geraffineerd dat bendes cybercriminelen zich vooral op bedrijven en andere organisaties richten. Daar valt immers veel meer te verdienen dan met de vakantiefoto’s van tante Anja.

Maar hoe werkt het precies? Hoe gaan deze bendes te werk en waarom komt het de laatste tijd zo veel voor? VPNGids zet alles wat je moet weten over ransomware voor je op een rijtje.

Hoe werkt ransomware?

Ransomware is malware die bestanden versleutelt met encryptie, waardoor de bestanden niet meer toegankelijk zijn én eventuele programma’s en diensten ook onbruikbaar worden. De encryptie die bij ransomware gebruikt wordt is niet zomaar te doorbreken.

Sterker nog, het zou maanden of misschien wel jaren duren om de bestanden zelf te ontsleutelen. Een bedrijf, school of ziekenhuis kan natuurlijk nooit zo lang wachten tot het probleem is opgelost.

Bestanden versleuteld

De criminelen versleutelen individuele bestanden, waardoor ze in feite omgezet worden tot een lange reeks tekens. Jouw computer en jouw programma’s herkennen deze bestanden dus niet meer als wat het zijn, zoals bijvoorbeeld afbeeldingen of de bestanden die programma’s nodig hebben om goed te werken.

Vaak zorgen de criminelen dat de computer zelf nog wel te gebruiken is, omdat ze op deze wijze een waarschuwing op alle geinfecteerde computers kunnen tonen en nog met de organisatie kunnen communiceren. Het versleutelen van de bestanden duurt meestal een paar uur tot een paar dagen omdat het vaak om honderden of duizenden computers gaat.

Decryptie?

Na het versleutelen van de bestanden nemen de criminelen contact op met de organisatie om te onderhandelen over het losgeld. Betaalt de organisatie? Dan stuurt de bende de zogeheten decryption key, een speciale code waarmee de bestanden weer vrijgegeven kunnen worden. Deze codes worden speciaal voor het slachtoffer gegenereerd en zijn dus uniek. Andere slachtoffers van dezelfde ransomwarevariant kunnen deze dus niet hergebruiken.

Losgeld

Het losgeld varieert van duizenden tot miljoenen euro’s per slachtoffer. Organisaties betalen vaak het losgeld omdat dat goedkoper is dan een andere oplossing waarbij de bedrijfsvoering bijvoorbeeld een paar weken stil komt te liggen. Ook dreigen de criminelen om bijvoorbeeld gevoelige informatie over het bedrijf, klanten of, in schrijnende gevallen, patienten naar buiten te brengen als er niet wordt betaald. Sinds kort doen sommige groepen er nog een schepje bovenop met extra aanvallen als er niet snel genoeg wordt betaald.

Reverse engineering

Af en toe weten beveiligingsonderzoekers via reverse engineering uit te vogelen hoe de ransomware precies in elkaar steekt of weten autoriteiten een bende op te rollen, waardoor ze een een universele decryption key generator beschikbaar kunnen stellen. In zeldzame gevallen wordt het de criminelen te heet onder de voeten en publiceren ze deze informatie zelf voordat ze van het toneel verdwijnen.

De daadwerkelijke inzet van de ransomware zelf is echter vaak pas een van de laatste stappen van een gerichte aanval.

Ransomware families

Er zijn verschillende soorten ransomware die allemaal hun eigen technische werkwijze hanteren. Deze varianten worden ook steeds verder door ontwikkeld, waardoor er verschillende zogehete ransomware families ontstaan. Deze ransomware families worden vaak vernoemd naar de groep die de hoofdvariant heeft ontwikkeld, zoals bijvoorbeeld REvil. Soms krijgt de malware van beveiligingsonderzoekers een naam mee, zoals bij WannaCry of StuxNet het geval is.

Zo gaan criminelen te werk bij ransomware aanvallen

In principe zijn er 2 soorten ransomware aanval: gericht en ongericht. Bij een ongerichte aanval gebruiken de cybercriminelen een grootschalige sleepnet phishing campagne om bij apparaten en netwerken binnen te komen.

Andere threat actors pakken het professioneler aan. Zij kiezen, al dan niet in opdracht van een overheid, een bedrijf of meerdere bedrijven in een bepaalde sector uit en doen er alles aan om bij die bedrijven binnen te komen. De bedrijven worden uitgekozen omdat ze gevoelige of waardevolle informatie beheren of simpelweg omdat ze een bepaalde schaal hebben bereikt.

Social engineering en phishing zijn nou eenmaal de makkelijkste manieren voor criminelen om bij een grote organisatie op het netwerk binnen te komen. De beveiliging van je netwerk kan nog zo goed zijn: als een medewerker in een phishing mailtje trapt hebben criminelen alsnog snel toegang tot het bedrijfsnetwerk.

De fasen van een ransomware aanval

In vogelvlucht verloopt een ransomware aanval ongeveer zo:

  • Zoektocht: Criminelen verkrijgen toegang tot een bedrijfsnetwerk via phishing of een andere technische kwetsbaarheid.
  • Verkennen: De criminelen brengen het netwerk in kaart en proberen meer rechten te verkrijgen.
  • Infectie: Het netwerk wordt zo voorzichtig mogelijk geinfecteerd met ransomware en andere type malware. Ze gaan op zoek naar gevoelige of andere waardevolle informatie en proberen toegang te krijgen tot eventuele backups. Als ze de backups kunnen infecteren is de aanval bijzonder moeilijk af te slaan omdat ze deze ook kunnen encrypten of ook na het terugzetten van een backup nog steeds toegang hebben tot het netwerk.
  • Geduld: Als de criminelen na een aantal weken of zelfs maanden zeker weten dat ze genoeg informatie en controle hebben, slaan ze toe.
  • Ransomware: Het netwerk gaat op slot en de criminelen zoeken contact met het slachtoffer.
  • Onderhandeling: De criminelen eisen losgeld, wat betaald moet worden via crypto currency (vaak Bitcoin of Monero). Hier wordt vaak over onderhandeld met de organisatie.

De werkwijze is ondertussen een geöliede machine, waardoor bendes meerdere bedrijven tegelijk kunnen aanvallen.

Waarom is ransomware zo populair onder cybercriminelen?

Tegenwoordig hoor je bijna elke week wel dat er ergens in de wereld een groot bedrijf slachtoffer is geworden van ransomware. Ook in Nederland zijn er regelmatige grote organisaties die hun gegevens verliezen. Maar waarom is het fenomeen ransomware nou zo populair?

Laaghangend fruit

Het uitvoeren van ransomware is voor criminelen redelijk eenvoudig. Er valt veel geld te verdienen terwijl het hen niet bijzonder veel werk kost en de pakkans relatief laag is.

Een aanzienlijk aantal prominente ransomware bendes lijkt te vanuit Rusland te opereren. Vanuit het westen is het dan ook erg lastig om deze criminelen op te pakken. Je zou zeggen dat de Russische overheid dit zou doen, maar vaak worden deze bendes door Putin met rust gelaten zolang ze geen aanvallen op de Russen en hun bondgenoten uitvoeren.

Er zijn verschillende soorten malware gevonden waarbij experts zagen dat de malware van te voren controleert of de betreffende computer in het Russisch staat ingesteld. Is dit zo? Dan doet de malware niets.

Daarnaast hebben veel bedrijven hun cyber security simpelweg niet op orde en gebruiken computers en software die vaak niet van de laatste updates zijn voorzien. Als je weet hoe je daar misbruik van kan maken en je weet hoe je zelf geen digitale sporen achterlaat, dan is het losgeld wat je binnenhaalt in principe gewoon laaghangend fruit.

Ransomware-as-a-service (RaaS)

Het meest arbeidsintensieve onderdelen van een ransomware aanval zijn de ontwikkeling van een eigen ransomware virus en het verkrijgen van toegang tot een netwerk. Technisch geavanceerde cybercriminelen weten dit en zijn daarom begonnen om juist deze elementen van het proces als dienst aan te bieden aan minder technische criminelen.

Door deze zogeheten Ransomware-as-a-service (RaaS) is ransomware als dreiging in een stroomversnelling beland, want nagenoeg elke groep criminelen kan relatief goedkoop een ransomware pakket aanschaffen om hun eigen campagne op te zetten. Alles wordt te koop aangeboden, van phishing pakketten tot aan de toegang tot kwetsbare (bedrijfs)netwerken. Vaak dragen deze affiliates, de afnemers van de software, een percentage van het binnengehaalde losgeld af aan de makers van het pakket.

Grote ransomware aanvallen

Meestal zijn het de grote ransomware bendes die zelfstandig opereren die ook de grootste aanvallen uitvoeren. Ze zijn zelf bijna als een bedrijf georganiseerd: ze hebben een klantenservice, onderhandelaars en zelfs een business intelligence afdeling die doelwitten analyseert op kwetsbaarheden (welke software gebruikt dit bedrijf?) en hoeveel losgeld een bedrijf zou kunnen betalen (wat is de omzet? Is het bedrijf verzekerd?).

De tweede groep die grote aanvallen uitvoert zijn de ransomware groepen die in opdracht van overheden werken. Deze staatgesteunde groepen vallen veelal onder landen als Rusland, China en Noord-Korea. Deze zogeheten Advanced Persistent Threat (APT) groepen richten zich vaak op belangrijke industriele sectoren, met als doel het stelen van bedrijfs- en staatsgeheime informatie en/of het ontwrichten van kritieke infrastructuur in andere landen.

Dit zagen we recentelijk bijvoorbeeld gebeuren bij een aanval op een oliepijplijn in de VS, waardoor er een benzinetekort onststond.

Wie het ook zijn, veel van deze groepen zijn ondertussen heel rijk geworden of krijgen staatssteun.  Daardoor hebben ze aanzienlijke budgetten te besteden aan het onderzoeken van en binnendringen bij een doelwit. Zelfs grote bedrijven met een apart beveiligingsteam kunnen daar niet altijd tegenop boksen.

De toekomst van ransomware

De meest zorgwekkende trend waar ransomware een grote rol bij speelt is duidelijk: ransomware criminelen en/of vijandelijke staatshackers voeren met succes gerichte aanvallen uit op grote spelers in de IT infrastructuur. Dit is zelfs al gebeurd, bijvoorbeeld bij de grote hacks bij Kaseya en SolarWinds.

Door zo’n zogehete supply chain-aanval werken bijvoorbeeld kassa’s van supermarkten niet meer. Ook hebben de criminelen via het slachtoffer ook toegang tot de IT infrastructuur en data van bedrijven die deze diensten gebruiken. In de ergste gevallen wordt essentiële infrastructuur in een land of regio ontwricht of zelfs een ziekenhuis platgelegd, met grote maatschappelijke of dodelijke gevolgen.

Hoe voorkom ik een ransomware aanval?

Alleen omdat voornamelijk bedrijven tegewoordig doelwit zijn van ransomware, betekent niet dat je als consument geheel veilig bent. Als reguliere burger voorkom je ransomware aanvallen door de maatregelen te treffen die je ook beschermen tegen allerlei andere virussen en malware. Wij geven je deze tips dus niet enkel om ransomware te vermijden, maar ook voor als je in het algemeen veilig wilt internetten.

Om de kans op ransomware aanvallen te minimaliseren en eventuele schade te beperken raden we je het volgende aan:

  • Installeer antivirus- en/of antiransomwaresoftware
  • Houd je software altijd up-to-date
  • Wees op je hoede tegen phishing en scams
  • Maak regelmatig online en offline back ups van essentiele data

Installeer antivirussoftware

Zorg ervoor dat er altijd een goed, up-to-date antivirusprogramma op je apparaten staat. Dit soort programma’s houden de meeste virussen buiten de deur zonder dat je er zelf iets voor te hoeft te doen. Veel bekende ransomware weet ook niet zomaar langs deze software te komen, zodat je bestanden versleutelen niet mogelijk is.

Er zijn veel goede en goedkope (of zelfs gratis) antivirusprogramma’s die je kunt proberen. Deze stap lijkt misschien simpel, maar is essentieel als je veilig wilt internetten. Gebruik bijvoorbeeld Bitdefender, een van de best gewaardeerde antivirusdiensten van het moment.

Alles up-to-date

Het updaten van alle software op je computer is erg belangrijk. Vaak maken hackers gebruik van bekende zwakke plekken (exploits) in oudere versies van software om een systeem binnen te dringen. Eenmaal binnen gaan ze aan de slag met onder andere ransomware. Maak het ze dus niet te makkelijk en installeer altijd zo snel mogelijk de laatste updates.

Ook is het verstandig om legale versies van software te gebruiken, omdat deze vanzelf updates aanbieden. Bovendien bestaat er bij het illegaal downloaden van software de kans dat er al een achterdeur is ingebouwd, zodat hackers jouw apparaat extra eenvoudig binnen kunnen dringen.

Ga af op je onderbuikgevoel

Een andere methode om een apparaat of netwerk binnen te dringen is via e-mail. Open daarom nooit zomaar e-mails die je niet vertrouwt. Wanneer je onderbuikgevoel zegt dat er iets niet klopt, is het beter om de e-mail simpelweg te verwijderen. Open geen vreemde bijlages en klik niet op links in e-mails waarbij je niet zeker bent van de afzender.

Belangrijke instanties en organisaties sturen meestal geen links mee in hun e-mail communicatie. Met deze voorzichtigheid bespaar je jezelf en je werkgever veel narigheid . Voor meer informatie over zulke e-mails lees je ons in-depth artikel over phishing.

Download een anti-ransomware tool

Heb je het idee dat je, bijvoorbeeld als relatief kleine ondernemer, extra kwetsbaar bent voor een ransomware aanval? Dan zijn er programma’s op de markt die je specifiek ter preventie van ransomware op je computer kunt installeren. Zodra je computer besmet dreigt te raken met ransomware, zullen deze programma’s ingrijpen en de dreiging uitschakelen.

Let er wel op dat deze software nooit 100% bescherming biedt. Er wordt continu nieuwe ransomware gecreëerd en mogelijk tref je een variant waar nog geen passende oplossing voor is gevonden of simpelweg nog niet goed wordt herkend.

Goede anti-ransomware tools vind je onder andere bij Kaspersky en Ransomfree.

Schade beperken met een back-up

Het grootste risico bij ransomware-aanvallen is dat je in één klap een heleboel documenten kwijt kunt raken. Daarom is het verstandig om altijd een recente offline back-up van je bestanden achter de hand te hebben. Op deze manier kun je de schade van gijzelsoftware erg beperken omdat je jouw bestanden bij een aanval eenvoudig herstelt.

Helaas weten cybercriminelen dit ook! Bij bedrijven gaan cybercriminelen dan ook specifiek op zoek naar back-ups en wachten ze gerust een paar weken of maanden tot de schadelijke software meegenomen wordt in de back-upcyclus. Zorg dus dat een backup niet via het zelfde netwerk beschikbaar is of zelfs dat er bijvoorbeeld per maand aparte backups beschikbaar zijn. Hierdoor is het moeilijker voor de hackers om ook je backup te infecteren.

Een goede back-up maken

Er zijn verschillende manieren waarop je een back-up van je gegevens maakt. Als eerste kun je gebruikmaken van lokale opslag. Denk bijvoorbeeld aan een externe harde schijf waarop je eens in de zoveel tijd een back-up van je documenten plaatst. Dit is een fijne methode, al kan de harde schijf wel beschadigd raken bij bijvoorbeeld een brand of overstroming. Ook kan deze uiteraard gestolen worden.

De tweede methode is een back-up maken in een betrouwbare cloudopslag. Wanneer je kiest voor een goede cloudservice, kun je ervan uitgaan dat je gegevens veilig worden opgeslagen. Zorg er dan ook voor dat je gaat voor een cloudaanbieder die goede beveiligingsmethodes (tweestapsverificatie, encryptie)gebruikt. Op deze manier kun je, als je door ransomware getroffen wordt, op een ander apparaat gemakkelijk al je documenten terughalen.

De beste methode is om zowel lokaal als in de cloud een back-up van je belangrijkste documenten te maken.

Wat te doen bij ransomware aanvallen

Mocht je computer toch besmet zijn met ransomware, dan wil je hier natuurlijk zo snel mogelijk iets aan doen. We raden aan om de hulp van een professional of de politie in te schakelen. Maar mocht je er zelf aan willen proberen te werken, bijvoorbeeld op je persoonlijke computer, dan kun je de volgende dingen doen:

  • Als je computer deel uitmaakt van een (gesloten) netwerk, koppel je computer dan los van het netwerk.
  • Maak, als mogelijk, een kopie van de harde schijf op een aparte harddisk. Pas op dat er op deze harddisk geen andere belangrijke bestanden staan die je wilt bewaren. Door een kopie te maken, kun je later een analyse van de versleutelde bestanden laten uitvoeren.
  • Als je backups van je systeem hebt gemaakt, probeer dan een backup te herstellen.
  • Heb je recentelijke backups van je belangrijke data en bestanden? Formatteer Windows en veeg je harde schijf schoon.
  • Gebruik eventueel Shadow Volume Copy Service en ShadowExplorer om vorige versies van je bestanden te herstellen.
  • Start de computer op in veilige modus en voer indien mogelijk een antivirusscan uit. In veel gevallen werkt dit niet, maar het is het proberen waard.
  • Probeer het soort ransomware te identificeren via de website van ID Ransomware.
  • Lukt het je de ransomware te identificeren? Kijk dan of je een eventuele oplossing voor die specifieke soort tegenkomt. De Windowsclub heeft een mooie lijst met ransomware decryption tools waar je eventueel terechtkan.
  • Mocht stap 7 niet werken omdat de ransomware je hele systeem blokkeert, probeer dan de Kaspersky WindowsUnlocker.
  • Optioneel: Gebruik CryptoSearch om te identificeren welke bestanden door ransomware getroffen zijn. Isoleer deze bestanden en zet ze over naar een nieuwe locatie om ze veilig te bewaren.
  • Mocht je de ransomware hebben kunnen verwijderen, gebruik dan RansomNoteCleaner om alle overgebleven gecorrumpeerde overblijfselen van de ransomware op te schonen.

Nooit betalen

We snappen dat sommige stappen in dit overzicht lastig en tijdrovend zijn. Het kan zeker nooit kwaad om een professional in te schakelen, zodat die je kan ondersteunen. Soms zal de verleiding om aan de criminelen toe te geven en te betalen ook erg groot zijn. Toch raden wij dit af.

Niet alleen worden de criminelen op deze manier beloond en gaan ze door met deze praktijken, maar je hebt ook geen garantie dat je echt de controle over je apparaat terugkrijgt.

Ben je het slachtoffer geworden van een ransomware-aanval? Doe dan altijd aangifte bij de politie. In sommige gevallen kunnen zij de daders vinden en bestraffen. Ook kun je melding maken bij de Fraudehelpdesk.

Auteur
Techredacteur
Auteur
Techredacteur
2
Reacties
Plaats een reactie
  1. Ben je met een VPN verbinding dan automatisch tegen ransomware en andere malware, virussen’ wormen’ rootkitwormen en andere trojaanse paarden beschermd?
    Hoe komt dat eigenlijk?
    Of…of…moet je voor VPN dan nog’s een extra , misschien wel speciale beschermsoftware aankopen?
    Mvg
    StefD

    • Hallo Stef,

      Met een VPN ben je niet automatisch beschermd tegen malware. Je moet altijd degelijk antivirus- en antimalwaresoftware op je apparatuur installeren (op zowel je computer, tablet en smartphone). Een VPN beschermt tegen andere type bedreigingen. Sommige VPN-aanbieders bieden wel een optie om ook een antimalware-pakket te leveren in combinatie met hun VPN-dienst, zoals GOOSE VPN (voor €1 extra per maand).

Een reactie plaatsen