Ransomware is in opkomst. Doen we genoeg?

De meesten van ons hebben wel eens gehoord over ransomware-aanvallen en zit je in de IT-branche dan heb je hoogstwaarschijnlijk klanten die meer dan eens zijn getroffen. Het aantal getroffen bedrijven neemt toe en de methoden worden steeds geavanceerder. Het minste wat we kunnen doen is proberen te begrijpen hoe het werkt en ons daaraan aan te passen.

De ransomware-aanval ontleed

De meesten van ons hebben wel eens gehoord over ransomware-aanvallen en zit je in de IT-branche dan heb je hoogstwaarschijnlijk klanten die meer dan eens zijn getroffen. Er zijn veel verschillende soorten ransomware-aanvallen, maar de basis is vrij eenvoudig:

1. Een bedrijfsnetwerk onopgemerkt besmetten met een ransomware-virus
2. Laat de ransomware zich een weg banen door bestanden of zelfs complete systemen, waarbij ze zoveel mogelijk versleutelen voordat ze worden gedetecteerd
3. Wacht tot het slachtoffer merkt dat er geen toegang meer is tot de bestanden.
4. Zorg ervoor dat de ransomware helpdesk open is voor zaken. Ja, ze hebben zelfs supportmedewerkers die je helpen met de betaling en de ontsleuteling achteraf.

De hele business van ransomware is afhankelijk van vertrouwen. Dat is een beetje vreemd als je bedenkt dat je een crimineel gaat betalen om je bestanden weer te ontsleutelen, maar zonder te weten dat de betaling leidt tot het terughalen van gedecodeerde bestanden, zou niemand daadwerkelijk betalen. En omdat de ransomware betalingen zo groot zijn, kun je niet negeren dat dit big business is.

Infecties zullen over het algemeen plaatsvinden via enkele bekende basisprincipes:

Het ontvangen van virus/malware via e-mail. Bijlagen van een valse bron, die er meestal vrij betrouwbaar uitzien, zullen een gecomprimeerd (zip/rar) bestand of alleen een bijlage bevatten. Soms lees je iets over een trojaans paard – een virus dat vermomd is als iets wat er legitiem uitziet. Na het openen lijkt er niet veel te gebeuren. De inhoud lijkt niets bijzonders en je kunt gewoon verder werken. Echter dit is wanneer het virus aan het werk gaat. Soms opent men het bestand en heeft men wel meteen door dat er iets niet klopt. Een actie die je dan direct kunt doen, is je werkstation loskoppelen zodat het virus zich niet kan verspreiden.

Kwaadaardige code op websites. Tijdens het browsen wordt er op allerlei manieren geprobeerd om persoonlijke gegevens, trackinggegevens en andere gebruikelijke internet data te verkrijgen. Soms zit er helaas ook kwaadaardige code verborgen in banners of websites die zelf het slachtoffer zijn geworden van een hack. Op deze manier wordt er een hulpbron gebruikt om een virus op jouw computer te installeren en van daaruit zal het netwerk worden versleuteld of simpelweg worden verspreid als een virus op het netwerk, afhankelijk van het type ransomware/virus.

Er is nog een derde en meer sluwe manier: social engineering, spearfishing en andere vormen van specifiek targetten van individuele bedrijven en mensen. In plaats van random iedereen proberen te besmetten door middel van spamming of het besmetten van websites, zal dit zich richten op mensen binnen een bedrijf. Met als doel zoveel mogelijk relevante informatie van die mensen te krijgen en zien of je ze specifiek kunt targeten en hen zelf de ransomware kunt laten installeren. Hoe meer ze weten, hoe beter de aanval zal zijn en hoe meer mensen niet zullen merken dat het nep is.

Dus je zou verwachten dat iedereen erg bezorgd is en aan dit onderwerp werkt, toch?

We hebben een gijzelingssituatie, dames en heren.

Dus stel je voor dat je in de IT werkt en dat je wakker wordt door een eindeloze stroom berichten op je telefoon: er is iets mis met ‘de systemen’. Dit gebeurt soms en je zult eerst moeten uitzoeken wat er aan de hand is. Het duurt maar een paar momenten na ontvangst van de eerste screenshots dat… nou ja… je bent niet meer verantwoordelijk voor de IT. Iemand heeft IT-systemen en specifiek kostbare data gegijzeld. Wat nu?

Uiteraard ga je direct proberen de verspreiding van verdere encryptie van bestanden te stoppen, wat verschillende dingen kan betekenen – afhankelijk van het virus. Er zijn allerlei manieren om de toegang te beperken, dit kan door de geïnfecteerde machine(s) af te sluiten, de netwerkverbinding uit te schakelen of gewoon alles af te sluiten.

Hierna start meestal een groot onderzoek: wat is versleuteld, wat kunnen we herstellen en welke diensten zijn aangetast. En nu komt het eigenlijke probleem. Zelfs als je backups hebt, kan het herstellen van zowel systemen als servers binnen een beperkt tijdsbestek een probleem zijn.

Het kan voorkomen dat als je de backuplogs controleert, merkt dat de bestanden van de afgelopen 2 weken al versleuteld zijn en de onversleutelde bestanden al uit de retentie periode zijn. Het is dan ook geen verrassing dat een groot deel van de geïnfecteerde bedrijven uiteindelijk losgeld betalen in plaats van ‘gewoon de gegevens te herstellen’.

Stel je voor dat je 500Tb aan gegevens hebt en dat je met een 10Gbit lijn op volle capaciteit 36Tb per uur of 864Tb per dag zou halen. Een systeem vinden die met dit soort snelheden kan werken en waar je backupgegevens kunt uithalen welke verspreid zijn over meerdere backups, is een hele opgave.

Dus dit is een beetje een grimmig uitzicht, maar we zijn dan ook begonnen met de vraag, doen we genoeg?

Dingen die iedereen zegt dat we moeten doen, of niet moeten doen.

In het algemeen is het advies om te voorkomen dat ransomware jouw gegevens te pakken krijgt niet heel ingewikkeld:

• Leer gebruikers om verdachte bijlagen niet te openen, deel geen informatie, of laat iemand die zich voordoet als helpdesk niet iets op jouw pc installeren.
• Maak backups, en dan backups van die backups: De 3-2-1-regel wordt bijvoorbeeld door Microsoft genoemd. De 3-2-1 back-up regel stelt dat je steeds 3 kopies hebt van al jouw belangrijke bestanden, op 2 verschillende opslagmedia en waarvan zeker 1 kopie offsite wordt bewaard. Zo ben je alvast 100% zeker dat er steeds een kopie van je bedrijfsgegevens beschikbaar is bij rampspoed.
• Houd alles up-to-date zodat het minder kwetsbaar is.
• Zorg voor een beveiligingsmodel waarbij er beperkte toegang is tot mappen, bestanden en systemen. De toegankelijk verhogen maakt het vrij eenvoudig om een stuk malware te verspreiden.

Maar, doen we ook genoeg?

Tot slot, de vraag die we ons aan het begin afvroegen. Doen we genoeg?

Nou, tot zekere hoogte niet aangezien het aantal getroffen bedrijven toeneemt en de methoden steeds geavanceerder worden. Het minste wat we kunnen doen is proberen te begrijpen hoe deze infecties werken en ons daaraan aan te passen. Dus wat kunnen we naast de basisbeginselen nog meer doen?

• Leer eerste hulp bij ongevallen. Open je dan toch per ongeluk die bijlage die niet te vertrouwen is, verbreek dan direct de verbinding met jouw pc en schakel iemand in die hier verstand van heeft. Grote kans dat je een ransomware-infectie krijgt maar ook een grote kans dat deze slechts een deel van je persoonlijke lokale bestanden versleuteld omdat je direct gehandeld hebt.
• Bouw monitoringsystemen om te controleren op veranderend gedrag. Op de een of andere manier moet het mogelijk zijn om het effect van een ransomware- infectie te detecteren: verandering van veel (oude) bestanden, belasting van CPU’s, I/O’s, etc.
• Detecteer een verandering van het backup gedrag. Er moet een waarschuwing uitgaan wanneer de backup plotseling is veranderd. Als je incrementele backups uitvoert, heb je opeens veel nieuwe backupgegevens wanneer een ransomware-infectie al jouw gegevens wijzigt terwijl hij ze versleutelt.

• Stoppen met het gebruik van fileshares en alles op een webbased omgeving plaatsen. Echter is dit voor veel bedrijven niet bruikbaar en waarschijnlijk niet altijd snel. Maar het zou een goede oplossing kunnen zijn.
• Schakel over naar het Zero Trust-model voor gebruikers- en toepassingsrechten. Een applicatie of persoon kan alleen die rechten hebben die hij of zij nodig heeft voor een specifieke taak.
• Een rapid response team die na een infectie de ransomware kan afwikkelen en de benodigde reparaties en herstelwerkzaamheden kan uitvoeren.
• Gebruik een IaaS dienst en ga terug naar een paar snaphots. Je kunt dan data eenvoudig restoren.
• Maak een noodplan voor wanneer je plotseling snel en veel data moet herstellen.

Er zijn dus genoeg mogelijkheden om Ransomware te voorkomen. Wil je ook weten of je genoeg doet, en hier advies over inwinnen. Laat het ons gerust weten, we helpen je graag.