Een Ransomware aanval werkt met Malware. Malware is een klein programmaatje wat automatisch op je computer wordt geïnstalleerd. Vaak merk je hier niets van. Manieren waarop je Malware per ongeluk kan installeren is door een bijlage te openen van iemand die je niet kent. Vaak is dat Malware programmaatje verborgen in een word document of afbeelding of een pdf. De Malware maakt gebruik van encryptie om je computer te vergrendelen. Vaak komt er dan een boodschap in beeld met de mededeling dat je laptop of computer niet meer te gebruiken is, tenzij je een groot geldbedrag over maakt naar degene die het Malware programma op je computer heeft gezet.

Wat doet Malware?

Malware zorgt dat de kritieke gegevens van een gebruiker, of organisatie, worden versleuteld zodat ze geen toegang hebben tot bestanden, databases of toepassingen. Vervolgens wordt losgeld gevraagd om toegang te krijgen. Ransomware is vaak ontworpen om zich over een netwerk te verspreiden en zich te richten op database- en bestandsservers, en kan zo snel een hele organisatie lamleggen. Het is een groeiende bedreiging, die miljarden euro’s aan betalingen aan cybercriminelen genereert, en aanzienlijke schade en kosten voor bedrijven en overheidsorganisaties met zich meebrengt.

Hoe werkt een ransomware aanval?

Een ransomware aanval gebruikt asymmetrische encryptie. Dit is cryptografie waarbij een sleutel wordt gebruikt om een bestand te versleutelen en te ontgrendelen. De sleutel wordt door de aanvaller op unieke wijze gegenereerd voor het slachtoffer, waarbij de sleutel een unieke code is, die alleen voor die gebruiker werkt. Deze sleutel heb je nodig om je bestanden te ontgrendelen en wordt opgeslagen op de server van de aanvaller. De aanvaller stelt de sleutel pas ter beschikking van het slachtoffer nadat het losgeld is betaald, maar zoals in recente ransomwarecampagnes is gebleken, is dat niet altijd het geval. Zonder toegang tot de sleutel, is het vrijwel onmogelijk om de bestanden die voor losgeld worden vastgehouden, te ontgrendelen.

Er bestaan veel varianten van ransomware. Vaak wordt ransomware (en andere Malware) verspreid via e-mailspamcampagnes of via gerichte aanvallen. Malware heeft een aanvalsvector nodig om aanwezig te zijn op een laptop of computer. In computerbeveiliging is een aanvalsvector een specifiek pad, methode of scenario dat kan worden gebruikt om in te breken in een IT-systeem. Nadat zijn aanwezigheid is vastgesteld, blijft de Malware op het systeem totdat zijn taak is volbracht.

Waarom is een ransomware aanval gevaarlijk voor een ondernemer?

Na een succesvolle aanval, laat ransomware een schadelijke code op het geïnfecteerde systeem vallen en voert deze uit. Deze code doorzoekt en versleutelt vervolgens waardevolle bestanden, zoals Microsoft Word-documenten, afbeeldingen, databases, enzovoort. De ransomware aanval kan ook misbruik maken van systeem- en netwerkkwetsbaarheden om zich naar andere systemen en mogelijk naar hele organisaties te verspreiden.

Zodra bestanden zijn versleuteld, vraagt ransomware de gebruiker om losgeld dat binnen 24 tot 48 uur moet worden betaald om de bestanden te ontgrendelen, anders zijn ze voorgoed verloren. Als er geen gegevensback-up beschikbaar is of als die back-ups zelf zijn versleuteld, moet het slachtoffer het losgeld betalen om zijn persoonlijke bestanden terug te krijgen.

Hoe komt het dat ransomware zich zo snel verspreidt?

Ransomware aanvallen en varianten hier op, ontwikkelen zich om verschillende redenen snel om preventieve technologieën tegen te gaan:

• Er zijn is veel beschikbaarheid van Malware kits die kunnen worden gebruikt om op verzoek nieuwe Malware samples te creëren,
• Er bestaan goede generieke “vertaalprogramma’s”, zodat je makkelijk je ransomware aan kan passen voor verschillende besturingssystemen. Zo kun je ervoor zorgen dat, de software werkt, ongeacht welk besturingssysteem je gebruikt. (Ransom32 gebruikt bijvoorbeeld Node.js met een JavaScript payload),
• Het gebruik van nieuwe technieken, zoals het versleutelen van de volledige harde schijf, in plaats van alleen een aantal bestanden.

Malware instapmodel

Tegenwoordig hoeven cybercriminelen niet eens technisch onderlegd te zijn. Er zijn online marktplaatsen voor ransomware ontstaan, waar Malwarestammen worden aangeboden aan cybercriminelen die nog niet zoveel kunnen, en die extra winst opleveren voor de makers van de Malware, die vaak een deel van de opbrengst van het losgeld vragen.

Waarom is het zo moeilijk om cybercriminelen op te sporen?

Het gebruik van anonieme cryptocurrency voor betalingen, zoals Bitcoin, maakt het moeilijk om het geldspoor te volgen, en criminelen op te sporen. Steeds vaker bedenken cybercriminele groepen nieuwe ransomware aanvallen, om snel winst te maken. De gemakkelijke beschikbaarheid van open-source code en drag-and-drop platforms om ransomware te ontwikkelen heeft de creatie van nieuwe ransomware varianten versneld, en helpt “baby criminelen” met het maken van hun eigen ransomware. Geavanceerde Malware zoals ransomware is meestal polymorf van opzet. Polymorfe virussen muteren voortdurend de code die in ransomware en andere Malware wordt gebruikt, waardoor ze moeilijk op te sporen zijn. Hiermee kunnen cybercriminelen de traditionele antivirus software gemakkelijk omzeilen.

Fastbyte helpt!

Wil jij jouw organisatie ook beschermen tegen de allernieuwste beveiligingen? Afhankelijk van hoe groot je bedrijf is, in hoeverre je gevoelige data gebruikt en of je alle back-ups op een lokale server op slaat en/of in een Cloud omgeving, heb je misschien meer of minder beveiliging nodig. Fastbyte lever alleen maatwerk oplossingen met onze Watchguard partner. Wij inventariseren eerst wat je nodig hebt en denken met je mee. Wat zijn jouw groeidoelstellingen? Wil je veel flexibiliteit? Ook deze factoren nemen wij mee in ons advies. Neem vooral eens vrijblijvend contact met ons op.