Kaspersky: Back-up beste remedie tegen gevolgen ransomware
Ransomware-aanvallen komen steeds vaker voor, richten steeds meer schade aan, en worden steeds professioneler opgezet. Aan de andere kant wordt de bestrijding van ransomware ook steeds effectiever, onder meer door het internationale initiatief No More Ransom van Kaspersky. En ook organisaties zelf kunnen veel doen om schade te voorkomen.
Jornt van der Wiel, Security researcher bij Kaspersky, ziet een aantal opvallende bedreigingen op het gebied van cybersecurity waar organisaties op dit moment mee te maken hebben. “Wat we op dit moment het meeste zien zijn de targeted ransomware attacks op middelgrote bedrijven. Je hoort daar ook veel over in de media. Maar dat je er veel over hoort heeft ook te maken met het feit dat je een dergelijke aanval altijd waarneemt op je netwerk. Dit in tegenstelling tot bijvoorbeeld een spionage-aanval. Spyware wordt vaak helemaal niet opgemerkt.”
Geweten
Wat hij daarnaast ook steeds meer ziet zijn de zogenaamde ‘supply chain attacks’. “Daarbij worden softwareleveranciers aangevallen en wordt ransomware verstopt in de updates die zij uitleveren. Hun klanten installeren dan niets vermoedend zo’n update, maar installeren dan dus nietsvermoedend ook de malware mee.”
Over het algemeen worden vooral middelgrote tot grote bedrijven getroffen. “De allergrootste bedrijven hebben hun backups op orde, maar in het segment daar net onder is dat vaak niet het geval. En daar maken die bendes, want dan zijn het, gebruik van. Je ziet aan die daderkant trouwens ook nog grote verschillen. Sommige bendes lijken nog iets van een geweten te hebben, en die laten bijvoorbeeld ziekenhuizen en onderwijsinstellingen met rust, terwijl anderen minder scrupules hebben en domweg van alles aanvallen.”
Rusland
“Wanneer je verder in kaart probeert te brengen wie de daders zijn, dan zie je dat – enkele uitzonderingen daargelaten – de dreiging vooral komt uit Rusland en de voormalige Sovjetunie republieken. Dat heeft ook te maken met de wetgeving ter plaatse. Rusland levert bijvoorbeeld geen staatsburgers uit aan andere landen en in Rusland kan een Rus ook niet veroordeeld worden voor een misdaad die hij in een ander land begaan heeft. Dat maakt Rusland een ideaal land voor cybercriminelen om vanuit te opereren. En je ziet dan ook dat de Russische ransomware bendes eigenlijk nooit Russische doelen attaqueren.”
Ondanks alle aandacht voor security lukt het de bendes toch steeds weer om binnen te komen. “Dat kan op verschillende manieren. Eén manier is dat de bende alles zelf doet. Ze gaan dan op zoek naar een doelwit binnen een bedrijf en die sturen ze een zogenaamde spear phising email. Ze sturen dan bijvoorbeeld een Word-document als bijlage van een persoonlijke email, die ze baseren op iets wat ze hebben opgezocht over de ontvanger.”
“Een andere manier is gebruik te maken van reeds geïnfecteerde pc’s binnen een netwerk. In die ‘entry points’ wordt namelijk gewoon gehandeld. Je hebt daar hele marktplaatsen voor op het darkweb. En als de bende eenmaal binnen is, proberen ze zo snel mogelijk naar een domain controller te gaan. Want domain controllers zijn immers de computers waarmee de rest van het netwerk beheerd wordt. En als de bende eenmaal toegang heeft tot de domain controller kunnen ze eigenlijk alles doen wat ze maar zouden willen. Van het uitzetten van de back-ups tot het uitzetten van de antivirus-software. En dan wordt de ransomware uitgerold en zijn in no-time alle bestanden versleuteld.”
Cijfers
Het is lastig dit verschijnsel te kwantificeren. “Ik denk dat er wel schattingen zijn, maar het probleem met dit onderwerp is dat het losgeld dat uiteindelijk al dan niet betaald wordt vaak onderhandelbaar is. Wat er werkelijk betaald wordt weten we niet, vooral ook omdat het vaak onder de pet gehouden wordt als er überhaupt betaald wordt. Dat zou immers niet goed zijn voor de reputatie van een bedrijf. In een enkel geval wordt de hele infrastructuur in beslag genomen door de politie na een ransomware aanval. Dan kunnen ze precies zien welke schade is aangebracht en welk losgeld er geëist is. Vaak blijkt in die gevallen dat er al enige tijd onderhandeld werd met de bendes voordat de politie werd ingeschakeld.”
No More Ransom
Kaspersky is zelf betrokken bij een internationaal initiatief, No More Ransom. “Dat begon in Zweden. Daar werkte iemand bij een grote meubelketen bij wie op een dag zijn pc op slot zat. Hij bleek geïnfecteerd met ransomware. Het slachtoffer zelf wist op te sporen dat de server waar die ransomware mee communiceerde in Nederland stond. Zo werd de Nederlandse politie ingeschakeld, die vervolgens contact opnam met ons. Samen met de politie hebben we toen de makers van die ransomware weten op te sporen; dat bleken twee Nederlanders te zijn.”
“Dit laat zien dat het met internationale samenwerking met de politie mogelijk moet zijn om ransomware uit te bannen. McAfee en Europol kregen we meteen mee, maar veel andere partijen waren eerst afwachtend. We hebben ons daar echter niet door laten afschrikken en zijn volop doorgegaan met het ontwikkelen van een website waar slachtoffers van ransomware zelf kunnen opzoeken door welke plaag zij getroffen zijn, en ook kunnen kijken of er misschien al een ‘ontsleutel app’ voor die specifieke ransomware bestaat.”
Sleutel
“En door onze samenwerking met de politie hebben we ook voor elkaar gekregen dat je vanaf die website een bijna kant-en-klare aangifte kunt downloaden. Het toeval wilde dat we net in die tijd samen met de politie een server in Duitsland hadden gevonden, waar meer dan 200.000 sleutels bleken te staan. In samenwerking met de Duitse autoriteiten is die server toen in beslag genomen en fysiek naar Nederland gehaald. Wij hadden toen wat wij wilden hebben: niet alleen een mooie website waarop je kon opzoeken door welke ransomware je getroffen was, maar in veel gevallen ook meteen de ontsleutelcode erbij. Dit is inmiddels al bijna vijf jaar geleden en sindsdien hebben heel veel andere partijen zich ook bij dit initiatief aangesloten.”
Discipline
Het voorkomen van een ransomware aanval is een combinatie van technologie en discipline. “Als je kijkt naar de infectiemethoden dan is het aanklikken van linkjes en het openen van bijlages in email nog steeds het meest voorkomend. Maar middels het ‘raden’ van zwakke username/password combinaties komen bendes ook nog heel veel binnen. En het hacken van een browser vanaf een dubieuze website wordt ook nog steeds toegepast, al zijn de browsers tegenwoordig een stuk beter beveiligd.
Het maken van een goede back-up is volgens hem de belangrijkste manier om de gevolgen van ransomware-aanvallen te beperken. “En met ‘goed’ bedoel ik dan dat er ook is nagedacht over het voorkomen dat er van versleutelde bestanden ook een back-up gemaakt wordt. Daarom is versiecontrole bij back-ups belangrijk. En de oplossing moet getest zijn, met name ook de recovery procedures. Als je goede en altijd recente back-ups hebt, ben je veel minder kwetsbaar voor de schadelijke gevolgen van een aanval. De bendes hebben dan eigenlijk niets om je mee te chanteren. Daar valt nog heel veel winst te behalen.”
Auteur: Anne van der Berg