Ransomware (of gijzelsoftware) is schadelijke software die belangrijke bestanden en systemen in het computernetwerk van een organisatie versleutelt en ontoegankelijk maakt. Hoewel dit type malware oorspronkelijk was bedoeld voor individuele computers, is het tegenwoordig meestal gericht op grotere, essentiële systemen zoals servers en databases, waardoor het probleem nog erger wordt. Om hun bestanden en systemen terug te krijgen, moeten de slachtoffers meestal losgeld betalen, vaak in cryptovaluta's.

 

De afgelopen jaren is ransomware steeds complexer geworden. Sommige nieuwere versies vergrendelen niet alleen bestanden, maar stelen ook gevoelige informatie zoals wachtwoorden. Criminelen gebruiken deze gestolen informatie vervolgens om nog meer druk uit te oefenen op slachtoffers om het losgeld te betalen. Dit type cyberaanval treft een groot aantal sectoren, zoals overheden, zorgorganisaties en openbare diensten, met grote financiële verliezen en verstoringen als gevolg.

Hoe het werkt?

hoe ransomware werkt

Ransomware is zeer effectief vanwege de inzet van asymmetrische versleuteling, een methode die gebruikmaakt van tweetallen publieke en private sleutels.

 

De malware infiltreert in een systeem meestal via misleidende e-mails, kwaadaardige links of door gebruik te maken van bestaande beveiligingslekken. Na binnenkomst start de ransomware programmacode die de versleuteling initieert, waardoor waardevolle bestanden zoals documenten, afbeeldingen en databases worden vergrendeld. De private sleutel die nodig is om de bestanden weer te ontgrendelen, wordt meestal pas vrijgegeven na betaling van het losgeld.

Meer info

 

 

Er zijn verschillende soorten ransomware, waaronder encryptors, die zich voornamelijk richten op het versleutelen en vergrendelen van bestanden, en screen lockers, die de gebruikerstoegang blokkeren door een vergrendelingsscherm weer te geven. In beide gevallen worden de slachtoffers gevraagd om losgeld te betalen, vaak in digitale valuta's zoals Bitcoin, om de controle over hun bestanden of systemen terug te krijgen. 

 

Het is echter belangrijk om op te merken dat het betalen van losgeld geen garantie is dat de bestanden weer worden ontgrendeld. In sommige gevallen krijgen slachtoffers ook na betaling geen sleutel om de bestanden te ontsleutelen, of blijkt dat er nog meer malware op hun systemen is geïnstalleerd.

 

Het risico van ransomware is toegenomen met de opkomst van Ransomware as a Service (RaaS), een model waarmee veel meer mensen de mogelijkheid krijgen om dit soort aanvallen uit te voeren. Bovendien is moderne ransomware in staat om kwetsbaarheden in systemen te misbruiken om zich overal binnen een organisatie te verspreiden, waardoor een gelokaliseerd probleem escaleert tot een grootschalige crisis die onmiddellijke aandacht vereist. 

 

Ransomware as a Service (RaaS) heeft de toegang tot ransomware vergemakkelijkt, waardoor het ook voor personen met weinig technische expertise mogelijk wordt om aanvallen uit te voeren. Dit model werkt net als traditionele Software as a Service en biedt criminelen de benodigde tools om geavanceerde cyberaanvallen te lanceren.

 

In het RaaS-model werken twee groepen samen: de makers van de ransomware en de cybercriminelen, ook wel 'affiliates' genoemd. De makers bouwen de ransomware en de benodigde systemen om deze te verspreiden. De affiliates worden online aangeworven en zijn verantwoordelijk voor het inzetten van de ransomware. Sommige RaaS-groepen geven zelfs grote bedragen uit aan het werven van nieuwe affiliates. Zodra ze zijn aangesloten bij het RaaS-systeem, kunnen deze criminelen hun eigen ransomware-campagnes starten met behulp van de kant-en-klare infrastructuur.

 

RaaS kent verschillende manieren om geld te verdienen. Soms betalen de affiliates een regelmatige abonnementsvergoeding, een eenmalige betaling of een percentage van de behaalde winst aan de ransomware-makers. Dit proces is vaak transparant en wordt beheerd via online dashboards waar affiliates statistieken kunnen bijhouden, zoals het aantal geslaagde infecties en de gegenereerde inkomsten. Betalingen vinden meestal plaats via cryptovaluta's zoals Bitcoin, zodat ze anoniem kunnen plaatsvinden.

 

Wat RaaS nog lastiger te bestrijden maakt, is de aanwezigheid op het Dark Web, waar het werkt zoals elke andere concurrerende markt. Net als legitieme softwarediensten kunnen RaaS-platforms klantbeoordelingen, 24-uurs support en speciale pakketten aanbieden. Ze gebruiken zelfs marketingtechnieken die zijn afgekeken van reguliere bedrijven. 

 

 

 

Soorten ransomware-aanvallen

 

 

De wereld van ransomware verandert snel en wordt ingewikkelder terwijl er steeds weer nieuwe soorten opduiken. Het begrijpen van deze verschillende vormen is van cruciaal belang voor het opzetten van een sterke en flexibele verdediging tegen cyberaanvallen. 

 

Er zijn verschillende ransomware-families, zoals WannaCryptor, Stop/DJVU en Phobos, die elk hun unieke eigenschappen hebben. Kennis van deze varianten helpt bij de strategische ontwikkeling van gespecialiseerde verdedigingsmechanismen die doelgerichter en effectiever zijn. 

 

Hieronder staat een overzicht van de meest voorkomende soorten ransomware, ingedeeld naar hun werkwijze.

 

· Crypto-ransomware / encryptors: Crypto-ransomware is een bekende tool in de gereedschapskit van cybercriminelen, gespecialiseerd in het versleutelen van bestanden en gegevens, vaak met behulp van geavanceerde encryptie-algoritmen. Deze tactiek maakt de gegevens ontoegankelijk totdat een ontsleutelingscode wordt toegepast, die meestal alleen verkrijgbaar is na betaling van losgeld in de vorm van cryptovaluta. Binnen deze categorie zijn ransomware-families zoals WannaCryptor berucht geworden vanwege hun verreikende en verwoestende gevolgen.

· Lockers: deze vergrendelingstools richten zich op systeeminteracties in plaats van gegevensintegriteit en schakelen belangrijke functies van een computer uit, waarbij vaak een losgeldbrief wordt weergegeven op een vergrendeld scherm. Hoewel ze misschien geen gegevens versleutelen, is de verstoring die ze veroorzaken voelbaar. Van de Phobos-ransomwarefamilie is bijvoorbeeld bekend dat ze naast versleutelingsmethoden ook locker-tactieken gebruiken.

· Scareware: deze vorm van ransomware werkt voornamelijk via psychologische manipulatie en doet zich voor als legitieme antivirussoftware. Scareware overspoelt gebruikers met onophoudelijke waarschuwingen over denkbeeldige malware-infecties en eist vaak betaling voor 'verwijderingsdiensten'. Sommige geavanceerde varianten kunnen ook de computer vergrendelen, waarbij locker-technieken worden ingezet. Vaak is scareware een toegangspoort voor de beruchte fraude waarbij cybercriminelen zich voordoen als technische supportmedewerkers.

· Doxware / leakware: deze vorm van ransomware presenteert een dreiging door gevoelige gegevens in handen te krijgen en te dreigen om deze informatie openbaar te maken. Hierbij speelt het reputatierisico een grote rol. Soms wordt ransomware met een politiethema aangetroffen: deze ransomware beweert dat het slachtoffer justitiële vervolging kan vermijden door een boete te betalen. 

· Mobiele ransomware: smartphones en tablets zijn alomtegenwoordig geworden in het dagelijks leven, op de voet gevolgd door mobiele ransomware. Deze aanvallen zijn gericht op de bruikbaarheid van het apparaat of de gegevens die erop zijn opgeslagen. De slachtoffers moeten betalen om hun apparaten weer te kunnen gebruiken.

· DDoS-afpersing: hoewel dit geen conventionele vorm van ransomware is, hanteert DDoS-afpersing een vergelijkbare werkwijze: slachtoffers worden afgeperst om geld te betalen om verstoringen door een DDoS-aanval te voorkomen. Hier ligt de dreiging in het overweldigen van een netwerk of website met een stortvloed van dataverkeer, waardoor de functionaliteit tijdelijk wordt onderbroken.

 

 

 

 

 

Hoe kan een ransomware-infectie worden hersteld?

 

 

Om bestanden te ontsleutelen die door ransomware zijn gegijzeld, hebt u een geschikte ontsleutelingstool nodig. Identificeer de specifieke ransomware-variant die uw systeem heeft gegijzeld en informeer bij cybersecurity-experts naar de beschikbaarheid van tools. 

 

Veel van deze tools, zoals de hersteltools van Bitdefender Labs, worden gratis beschikbaar gesteld. Snelle en doortastende actie is cruciaal om verdere verspreiding van de ransomware te voorkomen, de impact ervan te beoordelen en de herstelprocedures te starten.

 

Gebruik het onderstaande actieplan als een routekaart voor het herstel na een ransomware-aanval, gevolgd door de implementatie van bescherming op lange termijn. De routekaart beschrijft de belangrijkste stappen, van de eerste tekenen van een aanval tot de analyse na het incident, om u te helpen de getroffen systemen te herstellen en uw cyberbeveiliging te versterken.

 

Isolatie en inperking

De eerste stap is het beperken van het vermogen van de malware om zich verder binnen uw infrastructuur te verspreiden.

· Isoleer getroffen apparaten: ontkoppel de aangetaste hardware onmiddellijk van het netwerk, het internet en andere aangesloten apparaten.

· Stop de verspreiding: beëindig alle vormen van draadloze connectiviteit (wifi, Bluetooth) en isoleer apparaten die onregelmatig gedrag vertonen om verdere verstoring binnen de organisatie te voorkomen.

 

Beoordeling en identificatie:

Analyseer vervolgens grondig de impact en herkomst van de aanval als basis voor de volgende stappen.

· Beoordeel de schade: onderzoek systemen op de aanwezigheid van versleutelde bestanden en abnormale bestandsnamen en verzamel meldingen van gebruikers over problemen met de toegankelijkheid van bestanden. Maak een complete lijst van gecompromitteerde systemen.

· Vind 'patiënt nul': onderzoek antivirusmeldingen, informatie van EDR-platforms (Endpoint Detection & Response) en door mensen gegenereerde leads zoals verdachte e-mails om de infectiebron te lokaliseren.

·Identificeer de ransomware-variant: gebruik ransomware-identificatietools zoals de Bitdefender Ransomware Recognition Tool of bestudeer de informatie in de losgeldbrief om de ransomware-variant te identificeren. 

 

Wettelijke verplichtingen:

Na de onmiddellijke technische respons is het van cruciaal belang dat u voldoet aan de wettelijke verplichtingen.

· Informeer de autoriteiten: meld het incident bij de juiste wetshandhavingsinstanties. Dit kan niet alleen helpen bij het herstellen van gegevens, maar is soms ook noodzakelijk voor de naleving van wet- en regelgeving zoals de AVG (EU) of CIRCIA (Verenigde Staten).

 

Herstel en reconstructie:

Nu de basisstappen zijn gezet, verschuift de focus naar het herstellen van gecompromitteerde systemen en het waarborgen dat de malware volledig wordt uitgeroeid.

· Beoordeel de backups: als er up-to-date backups beschikbaar zijn, start u het systeemherstel en zorgt u dat antivirus- en antimalwaretools alle overblijfselen van de ransomware verwijderen vóórdat u het systeem herstelt.

· Onderzoek de ontsleutelingsopties: in situaties waarin backups geen optie zijn, overweeg dan om gratis ontsleutelingstools te gebruiken, zoals de eerder genoemde tool van Bitdefender. Verifieer dat alle sporen van malware zijn verwijderd vóórdat u overgaat tot ontsleuteling.

 

Desinfectie en beveiligingsupgrades:

Nu de directe dreigingen zijn geneutraliseerd, moet de nadruk liggen op het identificeren van zwakke punten en het versterken van uw cyberbeveiligingsarchitectuur.

· Elimineer de dreiging: maak een analyse van de hoofdoorzaken, bij voorkeur onder leiding van een vertrouwde cybersecurity-expert, om alle kwetsbaarheden in het systeem te identificeren en de dreiging volledig uit uw netwerk te verwijderen.

· Bepaal prioriteiten voor het herstel: focus eerst op het herstellen van de meest bedrijfskritische systemen, rekening houdend met de impact op de productiviteit en de inkomstenstromen.

 

Laatste stappen en toekomstplanning

Terwijl u werkt aan verdere normalisatie, houdt u de langetermijnstrategieën in het oog om de kans op toekomstige aanvallen te verkleinen.

· Herstel de fabrieksinstellingen of bouw het systeem opnieuw op: als backups of ontsleutelingscodes geen remedie bieden, kan het onvermijdelijk zijn om de systemen terug te zetten naar de fabrieksinstellingen of volledig opnieuw op te bouwen.

· Maak het systeem toekomstbestendig: houd er rekening mee dat slachtoffers van ransomware in de toekomst een hoger risico lopen op nieuwe aanvallen. Daarom moet na het incident een audit plaatsvinden om mogelijke beveiligingsupgrades te vinden voor het beperken van toekomstige risico's.

 

Kortom: een gecoördineerde, goed geïnformeerde aanpak van het herstel kan de schade beperken en de terugkeer naar normaal versnellen.

Hoe kunnen ransomware-aanvallen worden voorkomen?

 

Individuen en organisaties van elke omvang worstelen met de toenemende frequentie en geavanceerdheid van ransomware-aanvallen. Toch kan de impact van ransomware aanzienlijk worden beperkt door middel van een uitgekiende mix van technologische interventies en cybersecuritytraining.

· Zorg voor actuele cyberbeveiligingsoplossingen: een doorlopend bijgewerkte oplossing voor cyberbeveiliging die actief scans uitvoert en realtime bescherming biedt tegen verschillende vormen van cyberdreigingen, waaronder ransomware (anti-ransomwaretechnologie).

· Wees voorzichtig met e-mail: let op bij het ontvangen van e-mails met links of bijlagen. Implementeer geavanceerde e-mailfilters en anti-spamtechnologieën om uw e-mailbeveiliging te versterken.

· Robuuste backupstrategie: maak consequent een backup van vitale gegevens met behulp van de zogenaamde 3-2-1-strategie (dat wil zeggen: drie kopieën van uw gegevens, twee verschillende soorten opslagsystemen en één kopie op een offline opslagmedium), om snel herstel mogelijk te maken in geval van een aanval. 

· Gelaagde endpoint- en netwerkbeveiliging: maak gebruik van geavanceerde eindpuntbescherming in combinatie met netwerksegmentatie en realtime monitoring. Deze aanpak beperkt de verspreiding van ransomware en identificeert abnormale netwerkactiviteit vroegtijdig.

· Het principe van het minste privilege en multi-factor authenticatie: implementeer het 'principe van het minste privilege' in toegangsbeheer voor gebruikers en dwing multi-factor authenticatie af om een extra beveiligingslaag toe te voegen.

· Regelmatige beveiligingsaudits en incidentplanning: evalueer regelmatig uw beveiligingspostuur door middel van uitgebreide audits, inclusief sandbox-testen, en houd een regelmatig geoefend incidentresponsplan bij om kwetsbaarheden aan te pakken en effectief te reageren op mogelijke inbreuken.

· Voortdurende training en bewustwording: investeer in doorlopende beveiligingstrainingen voor uw medewerkers, zodat ze zich bewust worden van rode vlaggen zoals social engineering en phishing. 

 

Door deze gediversifieerde benaderingen in uw cyberbeveiligingsstrategie op te nemen, is uw organisatie beter toegerust om de risico's van steeds geavanceerdere ransomware-aanvallen te mitigeren.

 

Bescherm uw organisatie tegen ransomware

 

De hierboven beschreven tips en maatregelen zijn op zichzelf vaak niet afdoende. Daarom adviseren experts zowel thuis- als zakelijke gebruikers om ook geavanceerde zakelijke beveiligingsoplossingen te implementeren. Bitdefender levert bekroonde, door onafhankelijke testbureaus als beste geteste producten op maat voor zowel individuele als zakelijke behoeften.

In het zakelijke landschap bieden de Bitdefender GravityZone-producten schaalbare oplossingen voor ondernemingen van elke omvang. Deze oplossingen omvatten geavanceerde preventiemechanismen, waaronder Endpoint Detection & Response (EDR), gelaagde beschermingstechnologieën tegen phishing, ransomware en bestandsloze aanvallen, en geavanceerde preventie met dreigingscontext en rapportage.

 

Door de beveiligingsoplossingen van Bitdefender in uw netwerk te integreren, vergroot u de effectiviteit van bestaande beveiligingen zoals firewalls en inbraakpreventiesystemen. Dit resulteert in een holistische en robuuste verdediging tegen malwaredreigingen, waardoor het voor aanvallers een stuk moeilijker wordt om uw systemen binnen te dringen.

Steelt ransomware gegevens?

Ransomware is vooral gericht op het versleutelen van gegevens om ze ontoegankelijk te maken, in plaats van de informatie te stelen.

Nieuwere varianten van ransomware zijn echter uitgebreid met technieken zoals exfiltratie van data. De cybercriminelen dreigen deze gegevens openbaar te maken als er geen losgeld wordt betaald. Deze aanpak wordt dubbele afpersing genoemd.

Dus hoewel de hoofdfunctie van ransomware het versleutelen van data is, zetten sommige varianten ook gegevensdiefstal in een extra druk te kunnen uitoefenen.

Kan ransomware worden ontsleuteld?

Of de door ransomware getroffen bestanden kunnen worden ontsleuteld, is afhankelijk van verschillende factoren, waaronder de specifieke ransomware-variant en de beschikbaarheid van ontsleutelingstools.

Voor sommige oudere of minder geavanceerde ransomware-stammen hebben cyberbeveiligingsbedrijven en onderzoekers gratis ontsleutelingstools ontwikkeld die kunnen helpen bij het herstellen van gegevens. Voor nieuwere of meer geavanceerde varianten kan ontsleuteling zonder de unieke sleutel van de aanvaller echter buitengewoon moeilijk of vrijwel onmogelijk zijn.

U kunt hier de momenteel beschikbare gratis tools van Bitdefender bekijken.

Kan ransomware cloudopslag aanvallen?

Ja, ransomware kan zich ook richten op cloudopslag. Hoewel providers van cloudopslag robuuste beveiligingsmaatregelen implementeren om alle gegevens te beschermen, zijn ze niet volledig immuun voor ransomware-aanvallen. Als het eindpuntsysteem van een gebruiker is gecompromitteerd en synchronisatiebevoegdheden heeft met de cloudopslag, kunnen versleutelde of gecompromitteerde bestanden de gezonde bestanden in de cloud overschrijven.

Bovendien zijn sommige geavanceerde ransomware-varianten ontworpen om netwerkschijven en cloudopslagsystemen te vinden en te versleutelen waartoe het geïnfecteerde systeem toegang heeft. Daarom is het uitsluitend vertrouwen op cloudopslag als bescherming tegen ransomware geen onfeilbare strategie: aanvullende beschermende maatregelen zijn onmisbaar.