De in’s en out’s van Ransomware – deel 1

ransomware-logo Vrijwel wekelijks word ik geconfronteerd met vragen over Ransomware. En hoewel uit recente cijfers van ons onderzoeksbureau Trend Labs blijkt dat in Nederland gemiddeld 20 tot 40 besmettingen per maand plaatsvinden, wil dit niet zeggen dat het risico geïnfecteerd te worden laag is. In tegendeel zou ik bijna zeggen. Ransomware heeft zich namelijk snel ontwikkeld tot een grote en reële bedreiging voor organisaties van alle groottes. Ook in Nederland. We geven de komende periode daarom meer achtergrondinformatie en tips rondom de dreiging van Ransomware. In deel één van deze blogreeks gaan we in op de achtergrond van Ransomware.

De achtergrond
Ransomware is een vorm van malware die data en systemen blokkeert, encrypt of er op een andere manier voor zorgt dat het niet toegankelijk is voor de eigenaar. Wanneer de eigenaar weer toegang wil krijgen tot de data of het systeem, dient hij losgeld (‘Ransom’) te betalen. Dit losgeld wordt vaak geëist in bitcoins omdat deze moeilijk of niet te traceren zijn.

Verspreiding via spam en phishing-mails
Ransomware wordt voornamelijk verspreid via spam en phishing-mails die naar grote aantallen e-mailadressen worden verstuurd. Soms wordt het ook gebruikt voor een gerichte aanval op een gebruiker of een organisatie. Zodra een ontvanger zo’n kwaadaardige bijlage opent of op een gecompromitteerde link in het bericht klikt, wordt de malware geüpload op het systeem van de gebruiker. Vervolgens doorzoekt de malware de hardeschijf en het bijbehorende netwerk naar voorgedefinieerde bestanden of databases. Sommige varianten zoeken zelfs naar beschikbare backup-oplossingen, om vervolgens zowel het bestand als het backup-archief te blokkeren of te encrypten.

En dan… betalen
Wanneer de infectie heeft plaatsgevonden, ontvangen slachtoffers een melding dat hun bestanden zijn geëncrypt of geblokkeerd. De cybercriminelen geven hun slachtoffers veelal een kort tijdsbestek waarbinnen het bedrag betaald moet worden. Is de deadline verstreken, dan worden de data gewist. Met name voor kleinere organisaties of anderen met beperkte IT-middelen of expertise kan dit voor de nodige druk zorgen om daadwerkelijk tot betaling over te gaan.

Ransomware

Figure 1. TorrentLocker ransom note that uses CryptoLocker branding

Succesvolle methode
Het aantal Ransomware-aanvallen neemt toe. Dat betekent dat dergelijke aanvallen dus té vaak succes hebben. Dergelijke aanvallen leveren vaak slechts een paar honderd euro op, veel minder dan de potentiële inkomsten van een grote datalek. Maar Ransomware-aanvallen blijken relatief eenvoudig uit te voeren en de crimineel hoeft op die manier de gestolen data niet te verkopen op de zwarte markt of ergens anders.

Moeilijk te detecteren
Ransomware is zeer vaak moeilijk te detecteren. Vrijwel dagelijks verschijnen er nieuwe varianten, waardoor bescherming volgens een signature-gebaseerde benadering lastig is. Een nieuwe trend is dat Ransomware per target ontwikkeld wordt waarbij een signature-gebaseerde oplossing nog minder relevant is. Recent nog ontdekten we een nieuwe variant die in staat was wachtwoorden te stelen. En cybercriminelen staan natuurlijk ook niet stil, dus nieuwe varianten zullen blijven verschijnen. Je dient jezelf dus te beschermen tegen dergelijke aanvallen! Hiervoor zijn zeker technieken beschikbaar zoals Heuristics, virtual analyzers, ons cloud gebaseerde Smart Protection Network bijvoorbeeld. In de volgende blogs zullen we hier verder op ingaan.

Houd onze blog in de gaten voor tips rondom de bescherming tegen Ransomware.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.