Ransomware steeds groter probleem

Geplaatst op 13 september 2016


Het afgelopen jaar is ransomware van een vervelende bijkomstigheid uitgegroeid tot een grote bedreiging voor computersystemen. Criminele organisaties verdienen er miljoenen mee. Ze richten zich daarbij niet alleen op grote bedrijven, maar juist vaak op kleinere ondernemingen en zelfs particulieren. Iedereen kan dus slachtoffer worden en een aantal klanten van V&K hebben dat al aan den lijve ondervonden.

Wat is ransomware?
Het Team High Tech Crime van de Nationale Politie definieert ransomware als volgt: Dit is malware (kwaadaardige software) waarmee de computer van een slachtoffer ontoegankelijk wordt gemaakt. De computer toont een melding dat deze alleen zal worden ontgrendeld als het slachtoffer geld betaalt. Bij de variant cryptoware is het doel van de gijzeling niet de computer zelf, maar de bestanden op de computer. Het kan gaan om bestanden op de harde schijf van de computer zelf, maar ook externe harde schijven, usb-sticks en (gedeelde) bestanden die zijn opgeslagen in bedrijfsnetwerken kunnen worden versleuteld. De versleuteling is onomkeerbaar, want de encryptie is van dusdanige kwaliteit dat kraken geen optie is.

Hoe verloopt een besmetting?

In de meeste gevallen vindt de besmetting plaats via een link in of een bijlage bij een e-mail. Door daar op te klikken wordt de malware uitgevoerd. Dat kan echter ook via het bezoeken van een (gehackte) website, waarbij de malware dan verstopt zit in advertenties of pop-ups. Ook kan de ransomware verspreid worden via malware die al veel eerder op de computer van het slachtoffer terecht is gekomen; dan wordt bijvoorbeeld gebruik gemaakt van een botnet. Dat is een verzameling besmette computers die op afstand door een crimineel kunnen worden bediend. Een dergelijk “zombienetwerk” kan uit honderdduizenden computers bestaan.

Soms is een besmette e-mail afkomstig van een onbekende of in slecht Nederlands of Engels, maar dat hoeft niet. Bij een wat gerichtere aanval kan de e-mail afkomstig lijken van een collega, bekende, leverancier of klant. De gegevens van de verzender kunnen door de criminelen immers eenvoudig vervalst worden.

Zodra de besmetting heeft plaatsgevonden wordt eerst een encryptiesleutel opgehaald van één van de servers van de criminelen. Met behulp van die sleutel worden vervolgens allerlei belangrijke bestanden als Word-documenten, Excel spreadsheets, maar ook bijvoorbeeld foto-bestanden versleuteld. De Locky variant gaat op zoek naar meer dan 150 soorten bestanden, maar zorgt er wel voor dat bestanden die noodzakelijk zijn om Windows te laten werken ongemoeid worden gelaten.

Interessant is dat de laatste variant van Locky nog voordat tot encryptie wordt overgegaan eerst vaststelt of het besturingssysteem van de computer Russisch is. Als dat het geval is verwijdert de malware zichzelf zonder enige schade aan te brengen, wat doet vermoeden dat de malware uit een zeker Oost-Europees land afkomstig is…….

De vraag om losgeld

Nadat de besmetting heeft plaatsgevonden verschijnt een scherm met de mededeling dat bestanden zijn versleuteld. Soms lijkt het of de mededeling afkomstig is van een overheidsinstantie en dat de betaling een boete is voor het overtreden van bepaalde wettelijke regels, maar de meeste criminelen zijn directer en eisen voor het leveren van een decryptie-sleutel losgeld, meestal bitcoins omdat betalingen daarmee niet te traceren zijn.

Het gevraagde losgeld ligt meestal tussen de 0,5 en 4 bitcoins, wat tegen de koers van begin augustus 2016 neerkomt op ongeveer tussen de € 250 en € 2.000. Soms worden echter ook veel hogere bedragen geëist, die voor grotere organisaties in de tienduizenden, ja zelfs miljoenen kunnen lopen.

Vaak wordt gedreigd om decryptie-sleutels binnen enkele dagen te vernietigen, zodat ontgrendeling niet meer mogelijk is. Als wel tijdig wordt betaald wordt inderdaad soms een decryptie-sleutel verstrekt, maar niet altijd. Degene die betaalt maakt zichzelf echter voor de toekomst een aantrekkelijk doelwit en heeft bijgedragen aan het businessmodel van de criminelen.

De omvang van het probleem
F-secure, een Finse leverancier van antivirus software, zag normaal gesproken in het eerste halfjaar van 2016 bij haar klanten tussen de 4.000 en 10.000 e-mails met de Locky ransomware per dag. In juli liep dit snel op tot op een gegeven moment 120.000 per uur!

Volgens recente cijfers van Forbes besmet de Locky variant per dag wereldwijd 90.000 computer­systemen. Zelfs als nog geen 3% van de slachtoffers een halve bitcoin (ongeveer € 250) betaalt ontvangt het criminele netwerk per jaar honderden miljoenen euro’s. Er lijkt daarbij steeds meer sprake te zijn van een “franchise-organisatie”, waarbij andere criminelen de ransomware mogen verspreiden en waarbij de oorspronkelijke makers daarvan een deel van de opbrengst krijgen.

Naast dit model (waarbij dagelijks veel relatief kleine bedragen worden buitgemaakt) richten andere criminele bendes zich gericht op wat grotere ondernemingen en instellingen met het doel minder vaak maar wel veel hogere bedragen per aanval buit te maken. Zo werd van een ziekenhuis in de VS in eerste instantie $ 3 miljoen geëist.

Er wordt daarbij o.a. gebruik gemaakt van een ransomware variant met de naam SamSam. Bij dit type aanvallen wordt gedurende langere tijd gericht toegang gezocht tot het computersysteem van het slachtoffer, waarbij gebruik wordt gemaakt van bekende beveiligingsgaten om na de eerste toegang ook uitgebreidere (beheerders-) rechten op het systeem te kunnen krijgen. Deze rechten maken het niet alleen makkelijker om later de ransomware te verspreiden, maar bieden ook de mogelijkheid om eerst de systemen die back-ups maken op te sporen, deze onklaar te maken en bestaande back-ups te vernietigen. Als dit laatste slaagt, heeft het slachtoffer na de verspreiding van de ransomware eigenlijk maar één optie en dat is betalen.

De verwachting is dat de criminelen door het succes van hun businessmodel, waardoor ze kunnen beschikken over enorme geldbedragen, in de toekomst in staat zullen zijn om steeds geavanceer­dere vormen van ransomware te ontwikkelen.

Ransomware voorkomen
De nachtmerrie van een ransomware aanval kan dus iedere organisatie, van klein tot groot, overkomen. Maar hoewel 100% beveiliging niet mogelijk is zijn er wel een aantal maatregelen die genomen kunnen worden. Die verkleinen de kans op een succesvolle aanval flink en mocht die zich toch voordoen beperken ze de gevolgen:

  1. Schakel het gebruik van macro’s in Office uit, want volgens Microsoft maakt 98% van de bedreigingen gebruik van Office-macro’s. Wijs medewerkers/collega’s regelmatig op de gevaren van macro’s en sta deze functionaliteit alleen toe als dit beslist noodzakelijk is. Hoe nieuwer de versie van Office hoe beter de beveiligingsmogelijkheden, dus als het even kan upgraden naar de laatste versie.
  2. Zorg voor het zo snel mogelijk installeren van beveiligingsupdates (“patches”), het liefst automatisch. Dat geldt niet alleen voor Windows systemen, maar ook voor Mac-systemen van Apple, want ook daarvoor is onlangs ransomware (met de naam KeRanger) opgedoken. Zodra patches uitkomen zijn de kwetsbaarheden die zij oplossen bekend en wordt de mogelijkheid om die te misbruiken opgenomen in bepaalde tools die hackers gebruiken; soms duurt dat een aantal weken, soms een aantal dagen, maar soms slechts enkele uren. Vergeet naast het besturingssysteem niet andere kwetsbare software als browsers (zoals Chrome), Java, en Adobe Reader. Ook voor allerlei apparatuur als switches, (wifi-)routers en zelfs printers komen regelmatig belangrijke beveiligingsupdates uit.
  3. Controleer de beveiligingsinstellingen voor binnenkomende e-mail, zodat bijvoorbeeld bijlagen die een uitvoerbaar programma (.exe bestanden, scripts etc.) bevatten worden tegengehouden.
  4. Bescherm de e-mail met uw domeinnaam (zoals in ons geval <naam>@kromhout.com) tegen phishing door het toepassen van technieken als Sender Policy Framework (SPF) en DomainKeys Identified Mail (DKIM). Moeilijke technische termen, maar relatief eenvoudig toe te passen. Ze zorgen er voor dat het criminelen moeilijker wordt gemaakt om e-mails te verzenden die vanuit uw bedrijf afkomstig lijken te zijn; dat beschermt u vooral tegen reputatieschade. Daarnaast wordt gecontroleerd of binnenkomende e-mail wel afkomstig is van de mailserver waarvan het doet voorkomen dat het afkomstig is. Dat houdt een hoop spam, met en zonder ransomware, buiten de deur.
  5. Installeer een “next-generation firewall” (NGFW) om uw netwerk te beschermen. Een dergelijke firewall controleert niet alleen het gebruik van bepaalde poorten maar onderzoekt het netwerkverkeer zelf ook. Zo kan deze bijvoorbeeld voorkomen dat ransomware eenmaal binnen contact opneemt met de server van de criminelen om de encryptiesleutel op te halen.
  6. Gebruik geavanceerde antivirus software, die niet alleen bekende virussen tegenhoudt (meestal op basis van hun “signature”) maar juist ook onbekende virussen, want ransomware wordt vaak net iets veranderd, zodat ook de “signature” wijzigt. Geavanceerde antivirus software gebruikt hiervoor technieken als het monitoren van verdacht gedrag, maar bijvoorbeeld ook het (tijdelijk) blokkeren van ieder onbekend programma.
  7. Back-up, back-up, back-up! Zorg daarbij niet alleen dat ten minste een maal per dag van alle gegevens back-ups worden gemaakt, maar controleer ook regelmatig of het mogelijk is vanaf die back-ups bestanden terug te zetten. Zorg voor een goed back-up schema, waarbij ook oudere bestanden (bijvoorbeeld van een aantal weken, of zelfs maanden geleden) terug kunnen worden gezet. Bewaar de back-ups ook op een andere locatie, liefst op twee aparte.
  8. Geef gebruikers op netwerkschijven met gedeelde bestanden alleen de strikt noodzakelijke rechten. Ransomware kan immers alleen de bestanden versleutelen waar de gebruiker rechten toe heeft. Het veranderen van schrijfrechten in alleen leesrechten kan veel ellende voorkomen. Let daarbij ook op gebruikers met speciale rechten, zoals systeembeheerders. Voor hun dagelijkse werk zouden ze gebruik moeten maken van een user-account met normale rechten en alleen als dit strikt noodzakelijk is van het account met speciale rechten.
  9. Zorg voor een goed toegangsbeheer met sterke wachtwoorden en (in ieder geval vanaf het internet) 2-weg authenticatie met bijvoorbeeld een sms-code. Ook cyber-criminelen zijn lui: heeft uw onderneming goede sloten, maar zijn die van de (virtuele) buurman van veel mindere kwaliteit dan heeft u grote kans dat ze naar die buurman gaan. Sterke wachtwoorden wil zeggen dat ze maximaal 60 dagen geldig zijn, ten minste uit 8 posities bestaan en ten minste tekens bevatten uit 3 van de 4 categorieën, te weten hoofdletters, kleine letters, cijfers en speciale tekens (zoals !, $, #, %). Dit wachtwoordbeleid is eenvoudig in Windows als standaard in te stellen.
  10. Pas het “zero-trust” model toe, waarbij het interne netwerk wordt onderverdeeld in meerdere aparte netwerken. De servers met belangrijke gegevens (de “kroonjuwelen” van uw bedrijf) komen dan ieder in een apart segment, zodat een next-generation firewall (NGFW) de toegang kan controleren en beperken. Het voert te ver om in het kader van dit artikel dit verder uit te werken, maar u kunt het het best vergelijken met een huis waar niet alleen de buitendeur voorzien is van goede sloten, maar ook de binnendeuren.
  11. En voor als de voorgaande maatregelen allemaal niet geholpen hebben: maak een plan voor als u toch het slachtoffer van ransomware wordt. Leg daarin bijvoorbeeld ook vast op welke externe deskundigen u kunt terugvallen, inclusief hun telefoonnummers buiten kantooruren. Het zou toch heel jammer zijn als u uw IT-leverancier bij een ransomware-aanval op vrijdag aan het eind van de werkdag pas maandagmorgen om 9 uur te pakken kunt krijgen. En ….. bewaar het plan niet alleen in digitale vorm op uw computer!

Samenvattend:
Ransomware is een serieuze bedreiging waar iedere particulier en bedrijf rekening mee moet houden. De tegenstanders zijn geen kruimeldieven maar internationale criminele organisaties die over heel veel geld beschikken. Toch zijn er voldoende mogelijkheden om op soms eenvoudige en soms op technisch wat complexere manieren een aanval met ransomware te voorkomen, of, als die zich toch voordoet, de gevolgen te beperken. Neem over de te nemen maatregelen gerust contact op met uw relatiebeheerder, die helpt u samen met de IT-specialisten van V&K graag verder. Nu handelen is noodzakelijk, niets doen is geen optie!

Heeft u naar aanleiding van dit artikel nog vragen, neem dan contact op met:

Rolf Rudolphy

Van der Veen & Kromhout

Daar kun je op sturen