Blog
Meest recent
bg
Beveiligingstips

Wat is ransomware? Een inleiding voor het werkende leven

LastPassJune 20, 2024
Wat is ransomware? Een inleiding voor het werkende leven

Ransomware

Iedereen kent de routine: u pakt even uw smartphone om uw e-mails te bekijken of om de groeps-app van kantoor te lezen. Maar dit keer ziet uw scherm er anders uit, met een dreigende boodschap dat al uw gegevens en de toegang tot uw apparaat geblokkeerd zijn. Cybercriminelen hebben uw apparaat overgenomen. U kunt het losgeld betalen, of de consequenties voor lief nemen.

U bent het slachtoffer geworden van een ransomware-aanval. Hackers gebruiken deze “gijzelsoftware” om mensen, bedrijven en organisaties af te persen.

Wat is ransomware?

Ransomware-aanvallen komen steeds vaker voor, ook omdat steeds meer mensen hun smartphones, tablets en computers voor werk en privé tegelijk gebruiken.

Definitie en uitleg van ransomware

Wat is ransomware precies, en wat maakt deze vorm van cybercriminaliteit zo schadelijk? Ransomware is een vorm van malware, waarbij de hackers eerst de beveiligingsmechanismen van uw apparaat en uw netwerk omzeilen.

Hierna stelen ze echter niet simpelweg uw gegevens, maar ze versleutelen uw apparaat en voorkomen dat u het kunt gebruiken.

Vervolgens eisen de aanvallers losgeld om de bestanden te ontsleutelen en u weer toegang te geven tot uw systemen. Gaat u hier niet op in? Dan dreigen ze om uw gegevens te stelen, openbaar te maken of te wissen.

Het bericht van de hackers geeft aan hoe u het losgeld moet betalen, bijvoorbeeld via een anoniem e-mailaccount of via een cryptovaluta als Bitcoin.

Over de hele wereld zijn er minstens 4400 ransomware-aanvallen gemeld in 2023, en de betalingen overtroffen voor het eerst 1 miljard dollar.

Veel voorkomende soorten ransomware

Ransomware voorkomen is belangrijk, want als aanvallers binnen zijn, is het eigenlijk te laat. Het helpt om de verschillende soorten ransomware te leren kennen. Een paar voorbeelden:

  • Scareware – malware om mensen bang te maken of te intimideren – werkt vooral psychologisch. Slachtoffers zien een bericht dat hun apparaat een virus heeft, of hun scherm komt simpelweg vol met pop-ups. Via een link om dit “op te lossen” ontvangen ze de eis om losgeld.
  • Zogeheten “encryptors” versleutelen uw bestanden en gegevens. Zoals in de inleiding beschreven, moeten de slachtoffers vervolgens losgeld betalen om de sleutel te krijgen en weer toegang te krijgen tot hun systemen.
  • Lockers vergrendelen uw besturingssysteem. Uw gegevens worden dus niet per se versleuteld, maar u kunt uw apparaat niet meer gebruiken.
  • Leakware of doxware dreigt om gegevens te publiceren of te verspreiden, die slachtoffers in verlegenheid kunnen brengen of anderszins kunnen schaden. Vaak werken deze aanvallen ook met encryptors.
  • Ransomware-as-a-service (RaaS): net als bij legale Software as a Service (SaaS) huren de aanvallers hier malware of andere schadelijke technologieën van een externe leveranciers.

Hoe werken deze ransomware-aanvallen?

De zwakste schakel in de beveiliging is vaak de mens, en daar maken cybercriminelen handig misbruik van. En denk niet dat u hier nooit in zal trappen: de hackers slaan toe als mensen afgeleid zijn door stress of snel moeten beslissen, en dat kan iedereen gebeuren.

Ransomware-aanvallen kunnen gebruik maken van overtuigende phishing-berichten per mail of sms, of bijvoorbeeld via WhatsApp of Telegram. Inmiddels zijn veel berichten nauwelijks meer van echt te onderscheiden. U denkt echt dat het bericht afkomstig is van een bekende of van een vertrouwde organisatie. Met één druk op de knop begint vervolgens de infectie van uw systeem. Ook bepaalde advertenties online kunnen bijvoorbeeld ransomware lanceren.

In andere gevallen komt de gevreesde gijzelsoftware binnen via toepassingen voor een extern bureaublad (ook wel Remote Desktop Protocol of RDP) die geen goede beveiliging hebben, of een zwak wachtwoord. En aanvallers zijn er ook in geslaagd om medewerkers telefonisch of via online chatrooms te overtuigen om aanmeldingsgegevens door te geven, waarmee ze vervolgens het systeem konden overnemen.

De verschillende fasen van een ransomware-aanval

Soms verloopt een aanval razendsnel, maar vaak hebben hackers diverse stappen nodig om uw gegevens en uw systeem te kunnen gijzelen.

De opbouw van een aanval

Stel, iemand in uw bedrijf klikt op een link in een phishing-bericht. Dit start de communicatie tussen geïnfecteerde apparaten en een zogeheten “Command & Control-server”, die ergens online draait.

Afhankelijk van het soort aanval zullen de cybercriminelen vaak proberen om extra apparaten te infecteren, voordat ze de bestandsversleuteling activeren.

Hierna begint de afpersing, waarbij slachtoffers het bericht met de losgeldeis ontvangen.

Als de organisatie niet betaalt, is er maar een optie: hopen dat de politie kan helpen, en tegelijkertijd proberen om het systeem te herstellen met behulp van back-ups.

Methoden waarmee cybercriminelen kwetsbaarheden misbruiken

Naast nepwebsites, phishing-berichten en telefonische misleiding, kunnen hackers ook aanvallen met brute rekenkracht uitvoeren. Hierbij proberen ze wachtwoorden voor uw bedrijfssystemen te raden of te kraken.

Soms zoeken aanvallers naar toepassingen die niet zijn bijgewerkt met de meest recente beveiligingsupdates. En soms helpen uw eigen medewerkers of ex-werknemers de aanvallers van binnenuit.

Impact en gevolgen van een geslaagde ransomware-aanval

Als uw gegevens en toepassingen worden gegijzeld door ransomware, is dat niet alleen frustrerend of vervelend. Het kan paniek veroorzaken bij uw volledige personeelsbestand. En als een aanval niet snel wordt afgehandeld, kan die paniek zich ook buiten uw organisatie verspreiden. Zo ontstaat al snel grote reputatieschade.

Voor veel leidinggevenden vormen de financiële gevolgen de grootste bron van zorg. En daar zijn goede redenen voor, want ransomware kan alle processen stilleggen. Een bedrijf kan dan geen producten meer verkopen, diensten verlenen of salarissen uitbetalen.

Bescherming tegen ransomware en mogelijke reacties

Ransomware-aanvallen zijn een forse uitdaging. Maar organisaties kunnen proactief hun risico verminderen, door mogelijke kwetsbaarheden en zwakke plekken in kaart te brengen en maatregelen te nemen. Daarnaast is het goed om een draaiboek te maken voor als het toch mis gaat.

Best practices om ransomware-aanvallen te voorkomen

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een gids #StopRansomwareuitgebracht. Eén suggestie: vergelijk de beveiliging tegen cyberaanvallen met de manier waarop een bewakingsdienst een fysiek gebouw patrouilleert. Denk bijvoorbeeld aan regelmatige updates voor kwetsbaarheden in software, uitgebreide voorlichting aan medewerkers en altijd actuele virusbeveiliging.

Zet vervolgens een “zero trust” architectuur op, waarbij systemen en gegevens alleen toegankelijk zijn voor mensen die deze toegang ook echt nodig hebben voor hun werk. Ga ook na hoe veel uw organisatie gebruik maakt van technologieën als Remote Desktop Protocol (RDP).

Sterke beleidsregels voor de digitale beveiliging kunnen ook helpen om incidenten te voorkomen. Denk hierbij aan iets relatief eenvoudigs als het afdwingen van sterke wachtwoorden en een goed beheer van aanmeldingsgegevens.

Het belang van regelmatige back-ups en strategieën voor gegevensherstel

Kan ransomware worden verwijderd? Soms wel, maar het is hoe dan ook complex. En in de tussentijd kunnen back-ups een enorm verschil maken.

Hackers kunnen natuurlijk forse schade aanrichten door uw gegevens te lekken, maar met goede back-ups en herstelprocedures kan een bedrijf in ieder geval redelijk vlot weer verder werken. Daarnaast maken back-ups het ook een stuk makkelijker om met de autoriteiten te werken om incidenten aan te pakken.

In sommige sectoren worden back-ups dagelijks of zelfs ieder uur gemaakt. Er zijn ook gespecialiseerde dienstverleners die back-ups en opslag op een externe locatie aanbieden, die altijd toegankelijk is in geval van nood.

Stappen die u moet nemen bij een incident met ransomware

De meeste grote organisaties houden brandoefeningen om evacuaties te trainen voor als dat ooit nodig is. Op diezelfde manier kunt u ook een plan maken voor cyberincidenten en paniek verminderen, door duidelijk te maken welke acties er wanneer genomen moeten worden, en wie welke verantwoordelijkheden heeft.

Een handleiding van de Cyber Management Alliance geeft een paar overkoepelende principes om mee van start te gaan. Een paar belangrijke punten: aanvallen snel herkennen, betrokken apparaten en systemen isoleren om mogelijke schade te beperken, juridische bijstand en autoriteiten inschakelen. U kunt ook alvast concepten opstellen van communicatiemateriaal om klanten, leveranciers en andere stakeholders snel te kunnen informeren.

Belangrijke ransomware-varianten

Net als legale softwarebedrijven ontwikkelen ook cybercriminelen steeds weer nieuwe versies van hun malware. Deze varianten maken het vaak lastiger om een aanval te herkennen, of ze brengen meer schade aan.

Overzicht van bekende ransomware-varianten en hun specifieke eigenschappen

CryptoLocker is in 2013 of zelfs nog eerder gemaakt, en wordt verspreid via e-mailbijlagen. Door het vernieuwende gebruik van C&C-infrastructuur en sterke versleuteling konden de makers – waarschijnlijk Russische hackers – honderdduizenden apparaten besmetten.

WannaCry uit 2017 is één van de beruchtste ransomware-aanvallen, die gegevens op Windows-besturingssystemen versleutelt. Rapporten suggereren dat WannaCry nog steeds actief is en de originele broncode van deze variant is nog niet gevonden.

Net wat later verscheen ook LockBit, dat minstens sinds 2019 actief is. De broncode wordt in licentie gegeven aan een team van “onderaannemers” dat helpt om de aanvallen uit te voeren. LockBit werkt bovendien niet alleen als ransomware, maar voert ook DDoS-aanvallen uit.

Bekende ransomware-aanvallen uit het verleden

Sony Pictures Entertainment was één van de meest beroemde slachtoffers van een ransomware-aanval. De hackers sloegen toe in 2014, en dit incident blijft een casestudy met vele lessen en afgeleide best practices.

Een aanval op Colonial Pipelines in 2021 zette een belangrijke gasleiding stil. Sindsdien is er beleid ingevoerd om de kwetsbaarheid van deze sector te verminderen.

Cybercriminelen hebben ook losgeld geëist van overheidsinstellingen en andere organisaties. Onlangs werd bijvoorbeeld een Brits laboratoriumbedrijf getroffen door een ransomware-aanval, en konden bloedtransfusies niet doorgaan.

Opkomende trends en nieuwe ontwikkelingen op het gebied van ransomware

Veel van de vroege bedreigingen en aanvallen leken afkomstig te zijn van uit Oost-Europa, maar experts zien inmiddels dat data wereldwijd gegijzeld wordt. Er worden ook meer tools gebruikt om verschillende varianten te maken, en cybercriminelen zoeken naar manieren om verschillende organisaties tegelijk te gijzelen.

De impact van ransomware

De gevolgen van een ransomware-aanval zijn ook afhankelijk van de sector waarin een organisatie werkt.

De impact van ransomware op verschillende sectoren

In de financiële sector kan ransomware ervoor zorgen dat medewerkers en klanten niet meer bij hun rekeningen kunnen. Ook processen als kredietaanvragen of uitbetalingen werken vaak niet.

In de zorg kan de patiëntenzorg in gevaar komen, omdat artsen en andere medewerkers geen toegang hebben tot essentiële gegevens, zoals medische dossiers.

De maakindustrie kan door ransomware vertragingen oplopen in de productie, wat doorwerkt in de volledige leverketen.

Gangbare doelwitten voor ransomware-aanvallen en kwetsbare sectoren

Geen enkele sector is volledig immuun voor gijzelsoftware. Maar een rapport van de FBI suggereert dat 40% van de gemelde aanvallen gericht is op kritieke infrastructuur.

Uit hetzelfde onderzoek komt ook naar voren dat gezondheidszorg, maakindustrie, overheden en logistieke dienstverleners vaak worden getroffen door ransomware.

Financiële schade en reputatieverlies door ransomware

Ook na het ontsleutelen van gegevens is er vaak een forse investering vereist om systemen weer volledig te herstellen. Het Amerikaanse Department of Health and Human Services heeft berekend dat het herstel na een aanval gemiddeld 1,27 miljoen dollar kost.

Het losgeld is hierbij slechts het topje van de ijsberg. Onderbrekingen in het normale bedrijf kunnen ook kosten veroorzaken, en het is geen uitzondering dat een bedrijf klanten verliest als de aanval in de media komt.

Ook na een aanval moeten organisaties veel werk verrichten om het vertrouwen van hun stakeholders terug te winnen.

Ransomware voorkomen en gevolgen verminderen

Gelukkig zijn organisaties niet machteloos: ze kunnen hun verdediging tegen dit soort aanvallen versterken en een noodplan maken voor als cybercriminelen toch toeslaan.

Effectieve strategieën die infecties met ransomware voorkomen

Natuurlijk moet u uw IT-beveiliging regelmatig tegen het licht houden en consequent back-ups maken. Ook een (gedeeltelijke) overstap naar de cloud kan het gegevensherstel ondersteunen.

Maak het lastiger voor aanvallers om systemen binnen te komen door ze uit te schakelen als ze niet actief zijn, of door de netwerkverbinding te verbreken.

Het belang van voorlichting en bewustzijn bij medewerkers

Een goede verdediging tegen cyberaanvallen is teamwerk: uw hele team moet de risico's begrijpen en weten welke rol ze spelen om incidenten te voorkomen.

Houd regelmatige voorlichtingssessies of trainingen om alert te zijn op phishing en zorg dat mensen niet zomaar op een bijlage klikken.

Als een nieuwe variant het op uw sector heeft voorzien, deel dan informatie met uw medewerkers en moedig uw mensen aan om verdachte activiteiten of berichten te melden.

De rol van beveiligingssoftware en versleuteling om ransomware-aanvallen tegen te gaan

Er is ook allerlei technologie beschikbaar om uw digitale beveiliging te versterken. Passkeys vormen bijvoorbeeld een alternatief voor het invoeren van gebruikersnamen en wachtwoorden, en kunnen een extra beveiligingslaag vormen tegen verschillende cyberaanvallen.

En ongeacht wat voor organisatie u heeft: uw gegevens en apparatuur zijn extreem waardevol. Met de juiste kennis, strategieën en tools kunt u niet alleen ransomware buiten de deur houden, maar ook andere veel voorkomende cyberbedreigingen.

Ga vandaag nog aan de slag en start een proefperiode van LastPass.