Ransomware is een schadelijke payload die het beste kan worden omschreven als malware die de databestanden van gebruikers versleutelt, met als doel om deze later te ontsleutelen in ruil voor losgeld. Hierbij wordt meestal gevraagd om betaling in cryptovaluta.
De aanvaller kan meerdere aanvalsvectoren gebruiken en als er niet wordt betaald, kan dit onder andere de onderstaande gevolgen hebben:
Kwaadwillenden zullen over het algemeen betaling eisen omdat hun acties IT-systemen in gevaar kunnen brengen en negatieve gevolgen kunnen hebben voor de normale activiteiten van hun slachtoffers. Hoewel malware een van de belangrijkste aanvalsmethoden is, zijn er ook verschillende ransomware-incidenten geweest zonder het gebruik van malware, bijvoorbeeld incidenten met cyberafpersing door het dreigen met een DoS-aanval (denial of service) of het platleggen van een website. Ook is Ransomware as a Service (RWaaS) in opkomst. Hierbij creëeren aanvallers een bedrijfsmodel om een gerichte aanval te doen tegen een individu of bedrijf als een service in ruil voor een vergoeding.
Ransomware wordt vaak geleverd via phishing-e-mails of zogenaamde 'drive-by' downloads. Phishing-e-mails lijken legitiem en betrouwbaar en verleiden het slachtoffer om op een schadelijke link te klikken of een bijlage te openen. Een drive-by download is een programma dat automatisch wordt gedownload via internet zonder toestemming van de gebruiker en zonder dat hij of zij dit weet. Het is mogelijk dat de schadelijke code na het downloaden wordt uitgevoerd zonder interactie van de gebruiker. Nadat de schadelijke code is uitgevoerd, is de computer van de gebruiker geïnfecteerd met ransomware.
De ransomware identificeert vervolgens de stations op een geïnfecteerd systeem en begint de bestanden op elk station te versleutelen. De versleutelde bestanden krijgen doorgaans unieke extensie, zoals .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault of .petya. Zodra de versleuteling is voltooid, maakt en toont de ransomware een bestand of set bestanden met informatie en instructies over de voorwaarden van de ransomware-aanval. Wanneer het slachtoffer aan de voorwaarden van de ransomware heeft voldaan, biedt de aanvaller een cryptografische sleutel waarmee het slachtoffer de versleutelde bestanden kan ontgrendelen.
Veiligheidsmaatregelen en goede operationele werkwijzen kunnen organisaties helpen om ransomware-incidenten te voorkomen en financiële schade, uitvaltijd en verstoringen te beperken.
De eigen gebruikers van een organisatie hebben enkele zwakke punten. Organisaties zouden hun individuele gebruikers moeten voorlichten over veilig gebruik van e-mail en internet. Ook voorlichting over veilig gebruik van social media is belangrijk, zodat gebruikers zich ervan bewust zijn dat aanvallers publiek beschikbare informatie over hen kunnen gebruiken tegen de gebruiker zelf of anderen binnen de organisatie.
Om veilig werken te stimuleren, kunnen organisaties technische controles gebruiken voor de verschillende systemen die door aanvallers worden gebruikt om malware te verspreiden. Voorbeelden van technische controles zijn:
Naast het gebruik van actuele producten voor eindpuntbeveiliging moeten organisaties IAM-systemen (Identity and Access Management) met zero-trust beveiliging implementeren. Met krachtige verificatie en toekenning van alleen strikt noodzakelijke rechten kunnen organisaties strikte controle houden over kritieke systemen en de opslag van gevoelige data.
Naast strenge toegangscontrole moeten organisaties beperkingen afdwingen voor samenwerkingstools, resources voor het delen van bestanden en andere veelgebruikte systemen. Organisaties kunnen indien gewenst aanvullende verificatie vereisen. Het elimineren van anonieme logins, generieke accounts en het gebruik van zwakke aanmeldingsgegevens, in combinatie met strikt beheer van accounts met bijzondere rechten zoals beheeraccounts voor besturingssystemen, is essentieel voor een sterke beveiliging.
Organisaties moeten uitgangswaarden voor beveiligingsconfiguratie definiëren en onderhouden en moeten systemen implementeren in overeenstemming met de richtlijnen voor beveiligingsconfiguratie. Omdat schadelijke payloads vaak gericht zijn op bekende kwetsbaarheden in software, is het belangrijk dat beveiligingspatches snel worden toegepast.
Een andere best practice voor herstel na een ransomware-aanval is het afzonderlijk opslaan van back-ups en opslag op een ander besturingssysteem, zodat ze niet toegankelijk zijn via het netwerk.
Zodra organisaties ransomware ontdekken, moeten ze proberen het verspreiden van de schadelijke payload te beperken door:
Om de impact van een ransomware-aanval te beperken, moeten de herstelplannen van een organisatie een voorziening bevatten voor frequente en veilige back-ups met effectieve en geverifieerde herstelprocedures. Voordat systemen worden hersteld, moeten organisaties bepalen wanneer en hoe de initiële aanval heeft plaatsgevonden. Als organisaties niet zorgvuldig te werk gaan, zouden ze de infectie per ongeluk opnieuw kunnen introduceren tijdens het initiële herstel. Houd hier rekening mee en maak een kosten-batenanalyse voordat u bepaalt of u een systeem wilt herstellen naar een oudere, maar bekende veilige staat of naar een recentere, maar mogelijk geïnfecteerde staat om verstoring van de bedrijfsprocessen tot een minimum te beperken. Omdat bepaalde malware zich richt op back-upbestanden en -resources, moeten organisaties ook back-ups effectief controleren.