De vele gezichten van ransomware

Ransomware domineert sinds eind vorig jaar opnieuw de krantenkoppen, met onder meer in eigen land de aanvallen op Picanol en de gemeente Willebroek, en in Nederland de Universiteit Maastricht die slachtoffer werd. Gijzelsoftware leek even plaats te ruimen voor nieuwe bedreigingen, maar is weer helemaal terug van nooit echt weggeweest. De ransomwarefamilies die vandaag het meeste schade aanrichten, doen dat elk op hun eigen manier.

In principe kan iedereen slachtoffer worden van ransomware, maar recent is er een duidelijke verschuiving merkbaar van zoveel mogelijk gebruikers te infecteren voor weinig losgeld, naar gerichtere aanvallen waarbij hogere sommen geld worden gevraagd. In praktijk komt het erop neer dat vooral bedrijven en andere organisaties steeds meer in het vizier lopen van de cybercriminelen.  

Dat ervaart ook Arnout Van de Meulebroucke, oprichter van Phished, specialist in security awareness. “Bedrijven zijn lucratiever dan particuliere internetgebruikers. Het losgeld ligt gevoelig hoger en ook de kans dat effectief betaald wordt na een geslaagde aanval is groter”, vertelt hij aan Techzine. “Het is puur pragmatisme. Bedrijfsgeheimen of jarenlange data zijn meer waard dan jouw recentste vakantiefoto’s.”

Vele gezichten

Ransomware is een verzamelnaam voor verschillende malwarefamilies, die allemaal hetzelfde doel voor ogen hebben: de data van het slachtoffer versleutelen, om die pas weer vrij te geven wanneer een losgeld betaald is. Tussen de verschillende soorten bestaan evenwel nog subtiele verschillen, omdat aanvallen gerichter worden. “Recente ransomware-aanvallen zijn zo gebouwd om een bepaald type organisatie te pakken te krijgen”, weet Van de Meulebroucke.

Recente ransomware-aanvallen zijn zo gebouwd om een bepaald type organisatie te pakken te krijgen.

Hij geeft het voorbeeld van SamSam, een ransomware die ook in ons land al duchtig de ronde deed en onder meer het werk van ziekenhuizen, scholen en steden verstoort. “SamSam slaat niet meteen na de inbraak toe. De dwell time geeft de aanvallers ruim de tijd om het geïnfecteerde netwerk te verkennen en te analyseren hoe ze nog dieper in de systemen kunnen doordringen om zoveel mogelijk schade aan te richten”, legt Van de Meulebroucke uit. Die trage aanpak geeft de aanvallers bovendien de tijd om in alle stilte back-ups te saboteren, waardoor de druk op het slachtoffer om te betalen verder wordt verhoogd.

Van de Meulebroucke noemt het geen toeval dat SamSam net zoveel toeslaat bij ziekenhuizen en overheidsinstellingen. “De gegevens die zij bezitten zijn uiteraard heel gevoelig en bijgevolg veel geld waard op het dark web. Uit onderzoek blijkt dat ziekenhuizen vaak bereid zijn om losgeld te betalen. Aanvallen op de zorgsector stegen de afgelopen jaren met 63 procent. Die stijging is niet toevallig.”

Lees ook: Hoe het succes van de SamSam-ransomware WannaCry doet verbleken

Eén doel: geld

Ook Sodinokibi, tevens bekend onder de naam Revil, maakte naam in ons land. “Bij Sodinokibi-aanvallen zoeken de cybercriminelen naar bedrijfsgeheimen of zelfs naar persoonlijke gegevens van klanten van de gedupeerden, en dreigen die openbaar te maken”, vertelt Van de Meulebroucke. Bij de Sodinokibi-ransomware wordt gemiddeld 260.000 dollar losgeld gevraagd, maar de bedragen kunnen enorm verschillen. “Wanneer de aanvallers een compleet netwerk kunnen versleutelen, vragen ze tot 470.000 dollar losgeld. Gaat het om een enkele computer, bedraagt het losgeld gemiddeld 47.000 dollar”, weet Van de Meulebroucke.

Pas nog bleek uit onderzoek van de Amerikaanse FBI dat cybercriminelen maandelijks miljoenen dollars ophalen met ransomware. Dat komt enerzijds doordat ze meer gericht op zoek gaan naar slachtoffers onder bedrijven, maar ook omdat ze slimmer worden in het bepalen van hun losgeld. Hoewel het advies luidt om nooit te betalen, omdat je zo in de kaarten van de criminelen speelt, is het soms wel de beslissing die economisch het meeste steek houdt voor een bedrijf. Wanneer een ransomware de activiteit van het bedrijf stillegt, kost dat geld. Als de prijs van het losgeld lager ligt dan een paar dagen extra downtime, is de afweging voor een bedrijf snel gemaakt, hoe wrang de beslissing ook smaakt.

Ryuk is zo’n voorbeeld van een ransomware die zich specifiek op grote bedrijven richt, die zich geen downtime kunnen veroorloven, zoals productiebedrijven. Afgaande op de cijfers van de FBI is het wellicht de meest winstgevende ransomware van het moment. “Van dergelijke bedrijven wordt verwacht dat zij hun acitivteiten zo snel mogelijk weer kunnen opstarten, waardoor ze een aantrekkelijk doelwit vormen”, vertelt Van de Meulebroucke.

Lees ook: Slachtoffer van ransomware: betalen of niet?

Duivels dilemma

In het geval van de Universiteit Maastricht werd overgegaan tot het betalen van bijna 200.000 euro losgeld, omdat het opnieuw opbouwen van alle systemen maanden werk zou hebben gekost en heel wat data van studenten en onderzoekers anders verloren was gegaan, zo schrijft NRC. De universiteit sprak van een “duivels dilemma”, maar wanneer het om bedrijfskritieke data gaat en er geen degelijke back-ups zijn, is het makkelijker om een slachtoffer in de positie te dwingen om toch te betalen.

Dat is ook de strategie achter bijvoorbeeld PureLocker, dat bewust op zoek gaat naar productieservers van bedrijven. “PureLocker wil bedrijven raken waar het echt pijn doet: databases waarin de belangrijkste informatie van de organisatie is opgeslagen”, verklaart Van de Meulebroucke. “Hoe gevoeliger de informatie, hoe hoger het losgeld natuurlijk.” De onmiddellijke impact van zo’n aanval op de bedrijfsvoering kan enorm zijn, maar je moet daarnaast ook denken aan onrechtstreekse gevolgen, zoals reputatieschade.

Hoe gevoeliger de informatie, hoe hoger het losgeld.

De manier waarop cybercriminelen zich organiseren en ransomware vandaag verspreid wordt, toont een grote mate van professionalisering. “Hackers zijn niet meer uitsluitend script kiddies. In 2020 gaat het om professionals die krachten bundelen in hackerscollectieven, hun activiteiten als een echte business beschouwen en andere ondernemingen onder vuur nemen”, besluit Van de Meulebroucke. “Ook onze kmo’s moeten mee zijn in het verhaal en zichzelf voldoende tegen deze bedreigingen beschermen.”

Voorkomen beter dan genezen

Het goede nieuws is dat bescherming tegen ransomware niet zozeer een aparte aanpak vereist. De maatregelen die helpen tegen cyberdreigingen in het algemeen, werken ook in geval van ransomware. Het draait voornamelijk om een goede security-hygiëne en je werknemers bewust maken van de gevaren. Het federale Computer Emergency Response Team (CERT.be) heeft recent een whitepaper over ransomware gedeeld, met onder meer een overzicht van enkele best practices om een aanval te voorkomen.

  • Zorg voor een actieve bescherming van toestellen, netwerk en e-mail. Gebruik complexe wachtwoorden en verificatie in twee stappen waar mogelijk.
  • Zorg voor regelmatige en volledige back-ups om bestanden te herstellen na een incident. Beperk het aantal gebruikers dat toegang heeft tot deze back-ups.
  • Voer geregeld updates uit. Dat maakt het aanzienlijk moeilijker voor criminelen om malware te verspreiden op basis van een recente kwetsbaarheid.
  • Evalueer of het nodig is om Remote Desktop Protocol (RDP) open te hebben staan. Zo ja, beperk de verbindingen dan tot specifieke en betrouwbare hosts. Dat is een populaire aanvalsvector om toegang te krijgen tot een systeem, ook in de cloud.
  • Stel een opleidings- en sensibiliseringsprogramma rond cybersecurity op. Voer regelmatig phishingtests uit bij je medewerkers en leid informaticatpersoneel op een permanente basis op.
  • Houd actief toezicht op eventueel gecompromitteerde inloggegevens en ongebruikelijke activiteit. Verbeter de zichtbaarheid in veiligheidsincidenten en voer een intrusiepreventiesysteem in.
  • Beperk wie administratieve rechten heeft tot een systeem en het delen van die rechten. Elke werknemer, aannemer of persoon met toegang tot je systemen is een potentieel kwetsbaar punt.