Hoe vermijden dat je het slachtoffer wordt van Ransomware

Ransomware is niet meer weg te denken. Na C2 (command and control) aanvallen is ransomware de meest voorkomende malware aanval. Omdat de overgrote meerderheid van ransomware via e-mail wordt bezorgd, moeten we stoppen met het klikken op phishing links. Hoe doen we dat in hemelsnaam?

Wel, dat kan niet. Gebruikers zijn menselijk en phishing aanvallen azen op dat feit. Deze aanvallen worden niet alleen steeds handiger, maar ze bootsen ook een normale toon na en zijn heel gericht. We moeten ransomware op een andere manier aanpakken – tenzij we kunnen uitvinden hoe we kunnen voorkomen dat we ons menselijk gedragen terwijl we aan het werk zijn.

Cyberbewustzijnstraining voor werknemers werkt. Het is bewezen dat het de kans verkleint dat werknemers op kwaadaardige links of bijlagen klikken, maar dit moet aangevuld worden met andere maatregelen die inboxen beschermen tegen ransomware en andere malware.

Wat is ransomware?

Ondanks het feit dat ransomware aanvallen bijna dagelijks in het nieuws zijn, zijn veel mensen zich nog steeds gelukzalig onbewust van de dreiging.

Ransomware is een vorm van malware die al je gegevens versleutelt zodat je er niet meer bij kunt, en dat is het moment waarop het losgeldbericht zijn intrede doet. Als je nalaat het losgeld te betalen met Bitcoin die je naar het getoonde adres stuurt waar de gegevens zouden moeten zijn, dan kun je je gegevens niet meer gebruiken. Verder is het zelden “alleen dat” als een nasleep. Dit aanvalssymptoom schermt met wat er in de meeste/velen gevallen echt gebeurd is, je gegevens zijn ook geëxfiltreerd (gestolen).

Anatomie van een Ransomware aanval

Wanneer je door ransomware wordt aangevallen wordt dat een ‘meerfasen aanval’ genoemd. Hoewel het op verschillende manieren verpakt wordt, is de basis altijd hetzelfde in die zin dat alle ransomware probeert je IT infrastructuur te infiltreren, zoveel mogelijk van je gegevens te versleutelen, en dan een bericht te tonen dat je afperst om het losgeld te betalen. Laten we dit stap voor stap uitsplitsen.

Stap één – Infectie

De ransomware heeft eerst toegang nodig. Vaker wel dan niet begint dit met een phishing e-mail met een kwaadaardige bijlage. De e-mail is zo gemaakt dat de gebruiker op de bijlage klikt. Wanneer ze dat doen, infecteert de ransomware de machine. Eenmaal op de machine probeert hij dan alle lokale gegevens te versleutelen en verspreidt zich snel via het netwerk.

Stap Twee – Sleuteluitwisseling

De ransomware belt dan ‘naar huis’ naar de aanvallers om te melden dat de machine met succes geïnfecteerd is en om de cryptografische sleutels te downloaden die het nodig heeft om de gegevens te versleutelen.

Stap Drie – Gegevens Encryptie & Exfiltratie

Zodra het zijn cryptografische sleutel heeft, begint het bestanden te versleutelen, te beginnen met de lokale schijf en daarna op zoek naar gedeelde netwerkschijven met gegevens die het ook kan aanvallen. Aanvallers kunnen de gegevens ook exfiltreren voordat ze de schijf versleutelen voor extra losgeld eisen of om op de zwarte markt te verkopen.

Stap Vier – De afpersing begint

De meeste ransomware is zo ontworpen dat het een bericht toont zodra het klaar is met het versleutelen van gegevens. Het bericht bevat een losgeldbriefje dat de gebruiker informeert dat zijn gegevens versleuteld zijn en dat de gebruiker moet betalen om ze te ontsleutelen.

Als je organisatie met gevoelige gegevens werkt en de aanvallers beseffen dit, kunnen ze ook proberen je af te persen door te dreigen je gegevens publiekelijk vrij te geven.

Stap Vijf – Gegevensherstel

Aangenomen dat men het losgeld betaalt, sturen de aanvallers daarna de decryptiesleutel en instructies om de gegevens te ontsleutelen. Dit doen ze meestal altijd, want als bekend wordt dat ze niet helpen bij het herstellen van gegevens na een aanval, zijn slachtoffers minder geneigd te betalen.

Professionele ransomware aanvallers werken als een bedrijf, en bieden hun slachtoffers ‘klantenondersteuning’. Als je geluk hebt, is je ransomware een soort die NoMoreRansom op hun website heeft staan. Het NoMoreRansom project biedt ontcijferingshulpmiddelen aan, zodat je je gegevens kunt ontcijferen zonder het losgeld te betalen.

De enige andere manier om gegevens te herstellen zonder te betalen is vanaf back-ups. Deze methode veronderstelt natuurlijk dat je regelmatig back-ups van je gegevens maakt en dat de back-ups hersteld kunnen worden.

Hoe kun je voorkomen dat je het slachtoffer wordt van Ransomware?

We hebben een aantal eenvoudige tips samengesteld die je kunt gebruiken om te voorkomen dat je het slachtoffer wordt van ransomware. Verder helpen we bij het ontwikkelen van een levensvatbare verdediging in de vorm van een dienst (met onderliggende technologie) om je tegen deze aanvallen te verdedigen. Hier zijn enkele van de dingen die we je aanraden om veilig te blijven:

Stop met klikken op vreemde links & bijlagen

Klik niet meer op een link of bijlage in een e-mail tenzij geverifieerd is dat de bron te vertrouwen is. Train medewerkers om wantrouwig te zijn tegenover links en bijlagen in e-mails door ze in te schrijven voor een trainingsprogramma.

Investeer in software voor e-mail- en eindpuntbeveiliging

Uiteindelijk zullen de meeste mensen ergens op klikken wat ze niet zouden moeten doen, dus kun je het beste investeren in e-mail en eindpunt beschermingssoftware. Overweeg ook te investeren in browser isolation software om alle links of bijlagen waarop medewerkers klikken fysiek te isoleren, zodat ze veilig van hun lokale machine en je IT infrastructuur afgesloten zijn.

Je kunt ook investeren in beveiligingssoftware die de e-mails van je gebruikers scant op malware en ransomware (bekende stammen) en hun firewall up to date houdt. Laat gebruikers een waarschuwing zien als een e-mail van iemand van buiten hun netwerk komt, zodat ze weten dat ze extra voorzichtig moeten zijn.

Maak een back-up van gegevens

De beste manier om van een ransomware aanval te herstellen is het bewaren van back-ups van alle gegevens en ervoor zorgen dat die back-ups betrouwbaar zijn en gemakkelijk hersteld kunnen worden als dat nodig is.

Aanbevolen: AVG proof data opslag in Nederland

Bij een aanval hoef je alleen maar je harde schijven te reimagen en de gegevens te herstellen. Dit vergt planning en oefening. Onthoud dat back-ups de laatste verdedigingslinie tegen ransomware zijn en zorg ervoor dat je back-upproces integer is.

Wees sceptisch

Als mensen willen we elkaar kunnen vertrouwen – dat is ons door de evolutie ingeprent. Het is een van de redenen waarom onze soort op deze planeet heeft kunnen gedijen. Maar dat basisniveau van vertrouwen dat we elkaar schenken is waar aanvallers op azen. Het is wat ze gebruiken om ons te verleiden hen informatie te geven die ze niet zouden mogen hebben. De belangrijkste boodschap is dat je altijd sceptisch moet zijn over links en bijlagen in e-mails. De standaard houding zou moeten zijn: “eerst controleren, dan vertrouwen”.