Wat is ransomware?
Meer informatie over ransomware, hoe het werkt, en hoe je jezelf en je bedrijf kunt beschermen tegen dit type cyberaanval.
Ransomware gedefinieerd
Ransomware is een type schadelijke software, of malware, waarbij wordt gedreigd kritieke gegevens of systemen van een slachtoffer te vernietigen of de toegang ertoe te blokkeren totdat losgeld is betaald. In het verleden waren ransomware-aanvallen meestal gericht op individuen, maar recentelijk is door mensen beheerde ransomware een grotere en lastigere bedreiging om te voorkomen en terug te draaien. Bij door mensen beheerde software gebruikt een groep aanvallers hun collectieve intelligentie om toegang te verkrijgen tot het bedrijfsnetwerk van een organisatie. Sommige aanvallen van dit type zijn zo geavanceerd dat de aanvallers interne financiële documenten waar ze de hand op hebben gelegd, gebruiken om de prijs van het losgeld te bepalen.
Ransomware-aanvallen in het nieuws
Helaas zijn ransomwarebedreigingen op het moment vaak in het nieuws. Recente ingrijpende ransomware-aanvallen raakten kritieke infrastructuur, de Gezondheidszorg en IT-serviceproviders. Doordat deze aanvallen steeds gedurfder zijn, worden hun gevolgen steeds onvoorspelbaarder. Hier kun je lezen over enkele ransomware-aanvallen en welk effect deze hadden op organisaties:
- In maart 2022 werd het Griekse postbedrijf slachtoffer van ransomware. De aanval verstoorde tijdelijk de postbezorging en had gevolgen voor de verwerking van financiële transacties.
- Een van de grootste luchtvaartmaatschappijen van India kreeg in mei 2022 te maken met een ransomware-aanval. Het incident leidde tot vertraagde en geannuleerde vluchten en tot honderden gestrande passagiers.
- In december 2021 werd een groot HR-bedrijf getroffen door een ransomware-aanval. De aanval trof het salaris- en verlofsysteem voor klanten die gebruikmaken van zijn cloudservice.
- In mei 2021 werd een Amerikaanse brandstofleiding stilgelegd om verdere schendingen te voorkomen nadat de persoonlijke gegevens van duizenden medewerkers waren gecompromitteerd vanwege een ransomware-aanval. Door de gevolgen stegen de benzineprijzen aan de oostkust tot grote hoogten.
- Een Duits distributiebedrijf van chemicaliën leed in april 2021 onder een ransomware-aanval. De geboortedatums, burgerservicenummers en rijbewijsnummers van meer dan 6000 mensen werden gestolen, naast een aantal medische gegevens.
- De grootste vleesproducent ter wereld werd in mei 2021 het doelwit van een ransomware-aanval. Na de website tijdelijk offline te hebben gehaald en de productie te hebben gestopt, betaalde het bedrijf voor USD $11 miljoen aan Bitcoin als losgeld.
Hoe werkt ransomware?
Bij een ransomware-aanval wordt het beheer van gegevens of een apparaat/apparaten van een individu of organisatie overgenomen, met als doel het eisen van geld. De afgelopen jaren kwamen social engineering-aanvallen het meest voor, maar recentelijk is door mensen beheerde ransomware populair geworden bij criminelen, vanwege de kans op enorm hoge uitbetalingen.
Social engineering-ransomware
Deze aanvallen maken gebruik van phishingom slachtoffers ertoe te verleiden te klikken op een koppeling, of om een e-mailbijlage te openen, waarna ransomware wordt geïnstalleerd op hun apparaat. Phishing is een vorm van bedrog waarbij een aanvaller zich voordoet als een legitiem bedrijf of een legitieme website. De aanvallen bestaan vaak uit alarmerende berichten die het slachtoffer doen handelen uit angst. Een cybercrimineel kan zich bijvoorbeeld voordoen als een bekende bank, en personen een e-mail sturen met daarin een waarschuwing dat hun rekening is geblokkeerd vanwege verdachte activiteiten. Deze personen wordt dan gevraagd op een koppeling in de e-mail te klikken om het probleem te verhelpen. Zodra iemand op de koppeling klikt, wordt de ransomware geïnstalleerd.
Door mensen beheerde ransomware
Door mensen beheerde ransomware begint vaak met gestolen accountreferenties. Zodra de aanvallers op deze manier toegang hebben gekregen tot het netwerk van een organisatie, gebruiken ze het gestolen account om de referenties van accounts met een breder toegangsbereik te bepalen, en te zoeken naar gegevens en bedrijfskritieke systemen die een groot financieel voordeel zouden kunnen opleveren. Vervolgens installeren ze ransomware op deze gevoelige gegevens of bedrijfskritieke systemen, bijvoorbeeld door gevoelige bestanden te versleutelen, zodat een organisatie pas weer toegang tot de bestanden heeft nadat er losgeld is betaald. Cybercriminelen willen vaak worden betaald in cryptovaluta, vanwege de anonimiteit ervan.
Deze aanvallers richten hun pijlen op grote organisaties die meer losgeld kunnen betalen dan het gemiddelde individu. Soms vragen ze om miljoenen dollars. Vanwege de grote belangen die zijn gemoeid met een schending op deze schaal kiezen veel organisaties ervoor om het losgeld te betalen, zodat hun gevoelige gegevens niet worden gelekt en ze niet het risico lopen op meer aanvallen van cybercriminelen, zelfs al biedt betalen hier geen enkele garantie voor.
Nu het aantal door mensen beheerde ransomware-aanvallen is toegenomen, zijn de criminelen achter deze aanvallen beter georganiseerd. Voor veel ransomwarebewerkingen wordt nu zelfs een Ransomware as a Service-model gebruikt. Dit betekent dat een groep criminele ontwikkelaars de ransomware ontwerpen, en vervolgens andere cybercriminelen als partner inhuren om het netwerk van een organisatie te hacken en de ransomware te installeren. Vervolgens worden de inkomsten tussen beide groepen verdeeld volgens vooraf overeengekomen percentages.
Verschillende typen ransomware-aanvallen
Ransomware heeft twee hoofdtypen: cryptoransomware en vergrendelingsransomware.
Cryptoransomware
Wanneer een individu of organisatie het slachtoffer is van een cryptoransomware-aanval, heeft de aanvaller gevoelige gegevens of bestanden van een slachtoffer versleuteld, en verleent de aanvaller pas weer toegang als het gevraagde losgeld is betaald. In theorie ontvangt het slachtoffer nadat deze heeft betaald een versleutelingssleutel die toegang biedt tot de bestanden of gegevens. Maar zelfs als een slachtoffer het losgeld betaalt, is er geen enkele garantie dat de cybercrimineel de versleutelingssleutel geeft of het beheer opgeeft. Doxware is een vorm van cryptoransomware waarmee wordt versleuteld en gedreigd de persoonlijke gegevens van een slachtoffer openbaar vrij te geven. Het doel is meestal om het slachtoffer te vernederen zodat deze uit schaamte het losgeld betaalt.
Vergrendelingsransomware
Bij een vergrendelingsransomware-aanval wordt het apparaat van een slachtoffer vergrendeld en kan deze zich niet meer aanmelden. Het slachtoffer ziet op het scherm een notitie over losgeld waarin wordt uitgelegd dat de toegang is geblokkeerd, inclusief instructies voor het betalen van het losgeld om weer toegang te krijgen. Deze vorm van ransomware betreft meestal geen versleuteling. Zodra het slachtoffer dus weer toegang heeft tot het apparaat, zijn eventuele gevoelige bestanden en gegevens ook toegankelijk.
Reageren op een ransomware-aanval
Als je het slachtoffer bent geworden van een ransomware-aanval, heb je opties voor hulp en verwijdering.
Wees voorzichtig met het betalen van ransomware
Hoewel het verleidelijk kan zijn om losgeld te betalen in de hoop dat het probleem daarmee wordt opgelost, is er geen enkele garantie dat de cybercriminelen hun woord houden en je weer toegang geven tot je gegevens. Beveiligingsexperts en wetshandhavingsinstanties adviseren slachtoffers van ransomware-aanvallen om het gevraagde losgeld niet te betalen, omdat het slachtoffers kwetsbaar maakt voor toekomstige bedreigingen en criminele praktijken actief bevordert. Als je al hebt betaald, neem dan onmiddellijk contact op met je bank. Het is misschien mogelijk om de betaling tegen te houden indien je hebt betaald met een creditcard.
De geïnfecteerde gegevens isoleren
Isoleer zo snel mogelijk de gecompromitteerde gegevens om te helpen voorkomen dat de ransomware zich verspreidt naar andere delen van je netwerk.
Een antimalwareprogramma uitvoeren
Veel ransomware-aanvallen kunnen worden afgehandeld door een antimalwareprogramma te installeren om de ransomware te verwijderen. Zodra je een gerenommeerde antimalwareoplossing hebt gekozen, bijvoorbeeld Microsoft Defender, moet je ervoor zorgen dat je deze up-to-date houdt en altijd uitvoert, zodat je bent beschermd tegen de meest recente aanvallen.
De aanval melden
Neem contact op met je lokale of nationale wetshandhavingsinstanties om de aanval te melden. In de Verenigde Staten zijn dit de plaatselijke vestiging van de FBI, de IC3 of de Geheime dienst. Hoewel hiermee je eigen dringende problemen waarschijnlijk niet zijn verholpen, is dit wel belangrijk, omdat deze autoriteiten verschillende aanvallen actief bijhouden en bewaken. Als je de details van je ervaring deelt, kan dit helpen een vollediger beeld te vormen voor het opsporen en vervolgen van een cybercrimineel of een groep cybercriminelen.
Bescherming tegen ransomware
Nu er meer ransomware-aanvallen dan ooit zijn en zoveel persoonlijke gegevens van mensen digitaal worden bewaard, is potentiële uitval vanwege een aanval heel intimiderend. Gelukkig zijn er veel manieren om je digitale leven veilig voor jezelf te houden. Hier zie je hoe je gemoedsrust kunt krijgen met proactieve bescherming tegen ransomware.
Een antimalwareprogramma installeren
De beste vorm van beveiliging is preventie. Veel ransomware-aanvallen kunnen worden gedetecteerd en geblokkeerd met een vertrouwde antimalwareservice, zoals Microsoft Defender voor Eindpunt, Microsoft Defender XDR of Microsoft Defender voor Cloud. Wanneer je een antimalwareprogramma gebruikt, scant je apparaat eerst alle bestanden of koppelingen die je probeert te openen, om te controleren of ze veilig zijn. Als een bestand of website schadelijk is, waarschuwt het antimalwareprogramma je en adviseert je om het niet te openen. Deze programma's kunnen ook ransomware verwijderen van een apparaat dat is geïnfecteerd.
Regelmatig trainingen organiseren
Houd medewerkers via regelmatige trainingen op de hoogte over hoe ze de signalen voor phishing en andere ransomware-aanvallen kunnen oppikken. Hierdoor leren ze niet alleen om veiliger te werken, maar ook hoe ze hun persoonlijke apparaten op een veiligere manier kunnen gebruiken.
Overstappen op de cloud
Wanneer je je gegevens verplaatst naar een cloudservice, zoals Azure Cloud Backup Service of Azure Block Blob Storage Backup, kun je eenvoudig back-ups maken van gegevens om deze veilig te bewaren. Mochten je gegevens ooit gecompromitteerd raken door ransomware, dan zorgen deze services voor onmiddellijk en uitgebreid herstel.
Een Zero Trust-model in gebruik nemen
Met een Zero Trust-model scan je alle apparaten en gebruikers op risico's, voordat je hen toegang verleent tot toepassingen, bestanden, databases en andere apparaten. Dit vermindert de kans dat een kwaadwillende identiteit of een schadelijk apparaat toegang krijgt tot resources en ransomware kan installeren. Ter illustratie: er is aangetoond dat de implementatie van meervoudige verificatie, één onderdeel van een Zero Trust-model, de impact van identiteitsaanvallen met meer dan 99% vermindert. Als je de Zero Trust-ontwikkelingsfase van je organisatie wilt evalueren, voer je de evaluatie voor Zero Trust-ontwikkeling van Microsoft uit.
Deelnemen aan een groep voor het delen van informatie
Groepen voor het delen van informatie, vaak op basis van branche of geografische locatie, moedigen vergelijkbaar gestructureerde organisaties aan om samen te werken aan oplossingen voor cyberbeveiliging. De groepen bieden organisaties daarnaast verschillende voordelen, zoals services voor incidentreactie en digitale analyses, nieuws over de meest recente bedreigingen, en het bewaken van openbare IP-adresbereiken en domeinen.
Offline back-ups onderhouden
Omdat bepaalde ransomware probeert online back-ups die je mogelijk hebt, te vinden en verwijderen, is het een goed idee om offline een bijgewerkte back-up met gevoelige gegevens te bewaren die je regelmatig test om te controleren of deze kan worden teruggezet, mocht je ooit worden getroffen door een ransomware-aanval. Helaas wordt het probleem, wanneer je bent getroffen door een cryptoransomware-aanval, niet opgelost als je offline een back-up hebt. Maar dit kan wel een effectief middel zijn om te gebruiken bij een vergrendelingsransomware-aanval.
Software up-to-date houden
Zorg ervoor, naast het bijgewerkt houden van oplossingen voor antimalware (overweeg automatische updates te kiezen), dat je eventuele andere systeemupdates en softwarepatches downloadt zodra deze beschikbaar zijn. Dit helpt om eventuele beveiligingsproblemen te minimaliseren waarvan een cybercrimineel misbruik kan maken om toegang te krijgen tot je netwerk of apparaten.
Een reactieplan bij incidenten maken
Net zoals dat het veilig is om een noodplan te hebben voor het geval er brand uitbreekt en je snel je huis moet verlaten, zorgt het maken van een reactieplan bij incidenten ervoor dat je weet wat je moet doen bij een ransomware-aanval. Het biedt de stappen die je moet ondernemen in verschillende scenario's, zodat je zo snel mogelijk weer je bedrijf normaal en veilig kunt runnen.
Help het allemaal te beschermen met Microsoft Beveiliging
Microsoft Sentinel
Krijg een volledig overzicht van je hele organisatie met een cloudeigen SIEM-oplossing (Security Information and Event Management).
Microsoft Defender XDR
Beveilig je eindpunten, identiteiten, e-mail en apps met uitgebreide detectie en reactie (XDR).
Microsoft Defender voor Cloud
Verdedig je multicloud-omgeving en hybride omgeving van ontwikkeling tot runtime.
Microsoft Defender Bedreigingsinformatie
Begrijp bedreigingsactors en hun gereedschappen dankzij een volledige kaart van het internet die voortdurend wordt bijgewerkt.
Ransomware-bedreigingen bestrijden
Blijf dreigingen vóór met automatische verstoring van en reactie op aanvallen met Microsoft Beveiliging.
Microsoft Digital Defense Report
Zorg dat je het huidige dreigingslandschap kent en weet hoe je een digitale verdediging bouwt.
Bouw een anti-ransomwareprogramma
Verken hoe Microsoft de optimale veerkracht tegen ransomware bouwde om ransomware uit te roeien.
Een playbook gebruiken om ransomware te blokkeren
Vertel en visualiseer iedereens rol in het proces voor het blokkeren van ransomware.
Veelgestelde vragen
-
Helaas kan iedereen met aanwezigheid online het slachtoffer worden van een ransomware-aanval. Persoonlijke apparaten en bedrijfsnetwerken zijn beide frequente doelwitten van cybercriminelen.
Investeren in proactieve oplossingen, zoals services voor bedreigingsbeveiliging, is een handige manier om te voorkomen dat ransomware je netwerk of apparaten infecteert. Daarom is het minder waarschijnlijk dat individuen en organisaties die antivirusprogramma's en andere beveiligingsprotocollen, zoals een Zero Trust-model, hebben geïnstalleerd voordat een aanval plaatsvindt, slachtoffer worden van een ransomware-aanval.
-
Traditionele ransomware-aanvallen vinden plaats wanneer mensen ertoe worden verleid om te werken met schadelijke inhoud, zoals het openen van een geïnfecteerde e-mail of het bezoeken van een schadelijke website, waarna ransomware wordt geïnstalleerd op hun apparaat.
Bij een door mensen beheerde ransomware-aanval zijn de gevoelige gegevens van een organisatie doelwit van aanvallers die deze willen misbruiken. Meestal gaat het om gestolen referenties.
Meestal ontvangt, zowel bij social engineering-ransomware als door mensen beheerde ransomware, een slachtoffer of organisatie een losgeldbericht, met hierin de boodschap dat gegevens zijn gestolen en wat het kost om deze weer terug te krijgen. Het betalen van losgeld is echter geen garantie dat deze gegevens daadwerkelijk worden teruggegeven of dat schendingen in de toekomst kunnen worden voorkomen.
-
De effecten van een ransomware-aanval kunnen desastreus zijn. Zowel individuen als organisaties voelen zich als slachtoffer mogelijk gedwongen om hoge sommen losgeld te betalen, zonder enige garantie dat de gegevens worden teruggegeven of dat toekomstige aanvallen uitblijven. Als een cybercrimineel de gevoelige informatie van een organisatie lekt, kan dit de reputatie van de organisatie schaden en de organisatie onbetrouwbaar doen lijken. En afhankelijk van het type informatie dat is gelekt en de grootte van de organisatie, kunnen duizenden individuen het risico lopen om slachtoffer te worden van identiteitsdiefstal of andere cybermisdaden.
-
Cybercriminelen die de apparaten van slachtoffers infecteren met ransomware, willen geld. Meestal willen ze het losgeld in cryptovaluta, omdat dit anoniem is en niet kan worden getraceerd. Bij een ransomware-aanval via social engineering die gericht is op een individu, is het losgeld misschien honderden of duizenden dollars. Bij een door mensen beheerde ransomware-aanval die is gericht op een organisatie, kan het losgeld oplopen tot miljoenen dollars. Deze meer geavanceerde aanvallen tegen organisaties kunnen vertrouwelijke financiële informatie misbruiken die cybercriminelen hebben onderschept bij een schending van het netwerk. Deze informatie gebruiken ze om de hoogte van het losgeld te bepalen, waarvan ze denken dat de organisatie die kan betalen.
-
Slachtoffers wordt gevraagd om ransomware-aanvallen te melden bij hun lokale of nationale wetshandhavingsinstanties. In de Verenigde Staten zijn dit de plaatselijke vestiging van de FBI ,de IC3 of de Geheime dienst. Beveiligingsexperts en wetshandhavingsinstanties adviseren slachtoffers om geen losgeld te betalen. Als je wel hebt betaald, neem dan onmiddellijk contact op met je bank en lokale autoriteiten. Als je hebt betaald met een creditcard kan de bank deze betaling mogelijk blokkeren.
Microsoft volgen