Ransomware

Wat is ransomware / gijzelsoftware?

Ransomware is software die zich illegaal op een computer nestelt en bestanden 'gijzelt', vandaar de naam gijzelsoftware. De vergrendelde bestanden -of zelfs de complete pc- worden tegen betaling vrijgegeven. Ransomware is een vorm van malware. Het speciale ervan is dat er losgeld betaald moet worden om er vanaf te komen, het is een vorm van chantage.
Er wordt gesproken van cryptoware of crypto-ransomware als de bestanden zijn versleuteld ('ge-encrypt'). Het verwijderen van de gijzelsoftware zelf voorkomt verdere verspreiding, maar de bestanden zijn nog steeds onbruikbaar omdat ze versleuteld zijn. Daarnaast kan er gedreigd worden met het openbaar maken van gekopieerde data.
De bestanden worden meestal vrijgegeven na betaling. Als de 'gijzelnemers' dat niet deden, zouden ze hun eigen businessmodel kapotmaken omdat niemand meer zou betalen. Voor betaling wordt veelal gebruikgemaakt van bitcoins en andere cryptovaluta vanwege de anonimiteit.
De aandacht van de criminelen is inmiddels verschoven van consumenten naar bedrijven. Dat heeft te maken met omvang en belang van de te gijzelen data en de bedragen die kunnen worden geëist. Er is een overlap met cyberspionage: de informatie van gegijzelde data kan verkocht worden aan concurrenten. Er kan ook gedreigd worden met het openbaar maken van de informatie.

Hoe raak je besmet met een gijzelvirus

Er is een aantal manieren waarop een computer of smartphone besmet kan raken met gijzelsoftware. Vaak zijn phishing-mails, whatsappjes of andere berichten de aanleiding:

• Een e-mail met een bijlage die geopend wordt. Of een e-mail met een link waarop geklikt wordt.
• Bij een normale link zie je het internetadres direct en heb je een idee waar je heen geleid wordt. Bij een QR-code is die controle vooraf niet mogelijk, kijk dus goed naar het adres dat aangegeven wordt na het scannen. Wees extra voorzichtig met QR-codes op facturen en betaalverzoeken.
• Bezoek aan een website die geïnfecteerd of besmet is. Dat kan bijvoorbeeld via malafide advertenties gebeuren, zelfs als er niet op geklikt wordt.
• Starten van programma's die de kwaadaardige software installeren. Vaak betreft dit handige tools of zogenaamde updates. Een oude truc is het waarschuwen voor besmetting en met een geboden oplossing juist de kwaadaardige software installeren.
• Uitbuiten van zwakheden ('exploits') in programma's of besturingssysteem.
• Malware die wordt geïnstalleerd door programma's die gebruikt worden voor netwerkmonitoring, of door medewerkers die de netwerkmonitoring (via beheer op afstand) uitvoeren.
• Een andere mogelijkheid: partij X zorgt ervoor dat er toegang wordt verschaft tot het netwerk. Als die toegang er is wordt deze verkocht aan partij Y, die de daadwerkelijke ransomware installeert.

Kom je een onbekende of verdachte url (link) tegen? Test hem op: urlscan.io

Stappenplan ransomware - wat te doen bij besmetting

• Reageer snel. De malafide software geeft vaak een melding via een pop-upscherm dat er een besmetting plaatsvindt. Dat is meestal als de malware actief wordt. Terwijl de melding wordt getoond, worden op de achtergrond bestanden geïnfecteerd.
• Wanneer je werkt in een bedrijf of organisatie, waarschuw in zo'n geval meteen de systeembeheerder en je collega's.
• Noteer belangrijke gegevens van de melding die verschijnt. Beter nog: maak een foto van de melding met je telefoon.
• Zet de pc uit.
• Koppel de pc los van het eigen netwerk en verbreek de internetverbinding. De malware heeft contact nodig met zijn thuisbasis, dus het is belangrijk om dat te blokkeren. Met het verbreken van de internetverbinding wordt ook een eventuele besmetting van bestanden in de cloud gestopt.
• Overweeg of er verdere infectie mogelijk is of was (in een netwerk).
• Maak geen paniekback-ups tijdens de besmetting 'om te redden wat er te redden valt' terwijl de computer aanblijft en de malware zich steeds verder nestelt. Iets anders is het maken van een kopie van de schijf zodra de pc is uitgezet.
• Voordat je met een eventueel herstel begint: overweeg of je dit zelf kunt doen. Zeer waarschijnlijk heb je hulp nodig van specialisten op beveiligingsgebied.
• Het terugzetten van een back-up is gevaarlijk omdat ook de back-up aangetast kan zijn als hij toegankelijk was voor de malware. Dit geldt met name als bestanden via synchronisatie zijn gekopieerd.
• Start de computer weer op vanaf een veilige herstel-cd of usb-stick (geen herstel-partitie op de pc). Met de juiste anti-malwaresoftware -en een dosis geluk- is de besmette schijf te benaderen en te ontdoen van de ransomware.
• Als het gelukt is om de malware te verwijderen, controleer dan andere schijven en netwerkstations. Start de pc op zonder netwerkconnectie en internettoegang.
• Controleer of andere systemen in je netwerk besmet zijn. Wanneer programma's voor synchronisatie worden gebruikt kan de infectie zich verder hebben verspreid.
• Stel de oorzaak van de infectie vast om herhaling van de ellende te voorkomen.
• Pas als je zeker bent dat alles naar behoren werkt en herhaling van het incident onmogelijk is kun je de pc weer koppelen aan andere systemen en internet.
• Overweeg om aangifte te doen bij de politie.



Wat doen als alles geblokkeerd is

Als alle systemen geblokkeerd zijn of veel belangrijke bestanden niet meer toegankelijk zijn, ook niet via back-ups, zijn er weinig opties. Het meest voor de hand liggend is het losgeld te betalen. Weet dat het gevraagde bedrag een vraagprijs is, er valt vaak te onderhandelen. Ben je verzekerd voor ransomware-aanvallen, laat het onderhandelingsproces dan over aan de verzekeringsmaatschappij. De verzekering zal mogelijk specialisten inschakelen voor afhandeling van het geheel. Denk ook aan het doen van aangifte bij de politie.
Na betaling van het losgeld worden de bestanden in de regel door de hackers vrijgegeven. Vaak geven ze daarbij een rapport van de zwakheden in het systeem die ze zijn tegengekomen. Soms is het mogelijk om daarna nog gerichte vragen te stellen over de exploits die gebruikt zijn. Maak de rapportage onderdeel van de onderhandeling over het geld.

Voorkomen

Om ransomware te voorkomen of de gevolgen ervan te minimaliseren geven we de volgende adviezen:

• Maak regelmatig back-ups.
• Bewaar de back-ups op een niet-gekoppeld systeem. Wanneer de back-ups op hetzelfde netwerk staan (bijv. op een NAS) dan kunnen ook die geïnfecteerd worden. Ook toegang tot back-ups in de cloud moet vermeden worden. Het beveiligen van back-ups met een wachtwoord is sowieso een goed idee. Je blokkeert er ook de toegang mee voor ransomware.
• Maak ook af en toe back-ups die op een andere (dan de gebruikelijke) plaats worden bewaard. In geval van extreme calamiteit is er dan nog iets om op terug te vallen.
• Open geen verdachte e-mails, en open uitsluitend bijlagen van e-mails waarvan je de afzender kent - en ook dan alleen als er anti-virussoftware actief is. Informeer de gebruikers hierover.
• Update het besturingssysteem regelmatig. Gebruik actuele anti-virus- en anti-malwaresoftware.
• Anti-virusprogramma's die verdachte websites blokkeren verkleinen de kans op online-besmetting. Ook hier geldt dat de software up-to-date moet zijn.
• Gebruik alleen bekende software. Wantrouw spontane waarschuwingen op websites en het aanbod om je pc schoon te maken.
• Kies een eigen provider die malware-verkeer filtert. xs4all was in mei 2018 de eerste provider met een realtime-malwarefilter voor al het in- en uitgaande dataverkeer.

Ransomware en datalekken

Bij gijzelsoftware wordt verondersteld dat derden toegang tot computers en randapparatuur hebben gekregen. Voor een organisatie geldt dat er waarschijnlijk sprake is van een datalek, tenzij uitgesloten kan worden dat er persoonsgegevens bij de gijzelactie betrokken zijn.
Een aanval met gijzelsoftware kan in de regel tot twee soorten datalek leiden. Op de eerste plaats kan de beschikbaarheid van de data gecompromitteerd zijn geraakt. Hiervan is algauw sprake als er geen back-up is gemaakt of als deze eveneens gegijzeld is. Op de tweede plaats kan vaak niet worden uitgesloten dat de gijzelnemers zich toegang hebben verschaft tot de (inhoud van de) data. Hierdoor is de vertrouwelijkheid van de data aangetast.
Meer informatie: wat is een datalek?
In haar jaarrapportage over datalekken 2021 geeft de Autoriteit Persoonsgegevens aan dat datalekken door ransomware (vrijwel) altijd moeten worden gemeld aan de Autoriteit Persoonsgegevens en de slachtoffers.

Double extortion - wanneer is een goede back-up niet genoeg

De eerste manier van afpersing betreft het vrijgeven of ontsleutelen van de data. De tweede manier betreft het feit dat de aanvaller een kopie heeft gemaakt van de data. Die kopie kan ingezet worden als bewijs dat het deze groep was die de hack heeft uitgevoerd. Maar het is ook een pressiemiddel, men dreigt deze data openbaar te maken.
Zelfs als je een goede back-upstrategie hebt en alle gegijzelde data kunt herstellen, kan de dreiging van publicatie genoeg zijn om losgeld te betalen.

Concrete hulp - decryptie

Er zijn twee stappen in het herstelproces. De eerste is het verwijderen van de malware om nieuwe besmetting te voorkomen. De tweede stap is het ontgrendelen of decrypten van de besmette bestanden.
Voor het onschadelijk maken van gijzelvirussen is een aantal tools beschikbaar. Kaspersky is erg actief op het gebied van ransomware en biedt een aantal hulpmiddelen.
NoMoreRansom is een samenwerkingsverband van Kaspersky, politiediensten en andere organisaties. Men biedt o.a. gratis decryptietools en decryptiesleutels.

Internet of Things (IoT)

De opmars van Internet of Things biedt een extra speelveld aan malware die gericht is op het verstoren van de werking van apparaten. Bij infectie met ransomware wordt de toegang tot de apparaten geblokkeerd. Deze vorm van cybercrime is hinderlijk in bedrijfssituaties, maar kan ook in thuissituaties tot serieuze problemen leiden. Nu steeds meer mensen aan de slag gaan met domotica zijn de gevolgen van een gijzeling groot. Huisautomatisering of smart living wordt nog als een speeltje beschouwd, maar als de airco, verlichting, tv, verwarming en andere apparaten geblokkeerd zijn, kan de neiging groot zijn om snel het losgeld te betalen.
Een complicerende factor bij de kwetsbaarheid van IoT zijn de grote aantallen. Veel apparatuur of gebruikte software komt uiteindelijk van slechts enkele leveranciers. Zo werd in augustus 2021 een hack bekend die ruim 80 miljoen IoT-apparaten betrof.

Opmerkingen over Ransomware

• De meest geplaagde systemen zijn Windows-computers, maar langzaamaan worden ook andere besturingssystemen getroffen door gijzelsoftware, en malware in het algemeen. Dat geldt eveneens voor mobiele apparaten.
• Er zijn snoodaards die een dreigement plus verzoek tot betaling sturen zonder dat ze daadwerkelijk iets hebben gedaan. Pure bangmakerij dus.
• Naast directe schade van gijzelsoftware (het tot stilstand komen van je business) is er ook indirecte schade voor een organisatie, zoals het risico van een datalek en reputatieschade. Daar komt een dreiging van het openbaar maken van gekopieerde gegevens bij.
• Niet in alle gevallen is het terugzetten van een back-up afdoende. Er kan worden gedreigd met het openbaar maken van de gevonden informatie.
• Er bestaat ook ransomware die zich nestelt in het systeem, back-ups aantast en de boel verkent. Zeer geavanceerde software zoekt zelfs naar financiële gegevens om zo de hoogte van het losgeld te bepalen.
• Wanneer het gaat om het betalen van grote bedragen blijkt in de praktijk onderhandeling over het losgeld mogelijk, net als bij een kidnapping van mensen.
• Er bestaan verzekeringen voor malware. Heb je zo'n verzekering dan zal de verzekeringsmaatschappij de onderhandelingen over het losgeld voeren.
• Zo lang alle systemen in een netwerk niet zijn hersteld, is er schade door improductiviteit doordat werknemers niet kunnen werken. Een verzekering kan ook hier uitkomst bieden.