Ransomware is steeds vaker in het nieuws. Het is namelijk een vorm van cybercrime welke zeer succesvol is. Waarom is ransomware zo succesvol? En welke voorbeelden zijn er van Ransomware in de historie te vinden? Deze vragen komen aan bod in dit artikel.
Wat is ransomware?
Ransomware is schadelijke software (malware) die gegevens of een computersysteem onbereikbaar maakt voor de bevoegde gebruiker.
Met andere woorden; de hacker installeert malware op de systemen waardoor de eigenlijke gebruikers niet langer bij hun bestanden kunnen. Door middel van het betalen van losgeld (Ransom in het Engels) aan de hacker, zal hij de bestanden vrijgeven. Als het slachtoffer het losgeld niet tijdig kan betalen, dreigt men vaak de gegevens permanent te vernietigen of de vraagprijs te verhogen.
Hoe werkt ransomware?
Ransomware verspreidt zich meestal via phishing-e-mails, schadelijke downloads of via kwetsbaarheden in software. Zodra de ransomware een systeem binnendringt, begint het met het versleutelen van bestanden met behulp van een unieke encryptiesleutel. De gegevens worden ontoegankelijk gemaakt en de gebruiker krijgt een bericht te zien waarin wordt uitgelegd dat hun bestanden zijn vergrendeld en dat ze een bepaald bedrag aan losgeld moeten betalen om de decryptiesleutel te verkrijgen.
Is ransomware hetzelfde als malware?
Nee, ransomware is niet hetzelfde als malware, maar het valt wel onder de bredere categorie van kwaadaardige software (malware). Malware is een overkoepelende term die wordt gebruikt om verschillende soorten schadelijke software te beschrijven die bedoeld zijn om computersystemen te infiltreren, gegevens te beschadigen of te stelen, of andere schadelijke activiteiten uit te voeren.
Ransomware is een specifieke vorm van malware die gericht is op het versleutelen van bestanden of het blokkeren van toegang tot computersystemen, met als doel slachtoffers onder druk te zetten om losgeld te betalen. Het belangrijkste kenmerk van ransomware is dat het de gegevens van gebruikers ‘gijzelt’ en deze pas vrijgeeft nadat het losgeld is betaald.
Andere vormen van malware kunnen verschillende doelen hebben, zoals het stelen van persoonlijke gegevens, het bespioneren van gebruikers, het beschadigen van bestanden of het verstoren van computersystemen. Voorbeelden van andere malwarevarianten zijn spyware, adware, trojans, wormen en virussen.
Hoewel ransomware een specifieke vorm van malware is, is het belangrijk om te begrijpen dat niet alle malware ransomware is.
Is ransomware een groot gevaar?
Ransomware-aanvallen komen tegenwoordig maar al te vaak voor. Het heeft grote gevolgen gehad voor bedrijven in de hele wereld. Momenteel zijn voornamelijk grotere bedrijven en belangrijke instanties het slachtoffer, maar deze trend verschuift ook steeds meer naar het midden- en kleinbedrijf.
Uw bedrijf beschermen tegen ransomware
Ransomware-aanvallen kunnen aanzienlijke financiële schade, reputatieschade en operationele verstoringen veroorzaken. Het beschermen tegen deze dreiging vereist een combinatie van proactieve maatregelen en bewustzijn. Hier zijn enkele belangrijke stappen die u kunt nemen om uw bedrijf te beschermen tegen dit probleem:
- Houdt uw systemen up-to-date: Zorg er voor dat uw systemen van de laatste updates zijn voorzien. Zeker wanneer het om patches omtrent beveiliging gaat, is het belangrijk dat u deze zo snel als mogelijk installeert.
- Back-ups: Afhankelijk van de behoeften van uw organisatie dient u back-ups te hebben. Mocht het misgaan, kunt u op deze manier uw operaties weer snel herstarten. Uiteraard is het belangrijk om er zeker van te zijn dat uw back-ups schoon zijn van enige vorm van infectie.
- Zorg voor een plan: Welke stappen neemt u zodra uw bedrijf getroffen wordt door ransomware? De waarheid is helaas dat bedrijven daar pas over nadenken als het te laat is. En als het te laat is, wordt er vaak voor gekozen om het losgeld te betalen. Zorg dat dit u niet overkomt en stel proactief een plan op voor het geval uw bedrijf getroffen wordt. Het is tevens raadzaam om, bijvoorbeeld eens per jaar, de stappen in het plan uit te voeren. Zodoende bent u optimaal voorbereid tijdens het meest ernstige scenario.
- Detectie-software: Er is software beschikbaar welke u kunt inzetten om bekende malware en andersoortige malafide software te herkennen. U kunt hierbij tevens kiezen voor bijvoorbeeld een Intrusion Detection System of Intrusion Prevention System.
- Bewustzijn: Social engineering is een van de meest voorkomende technieken waardoor ransomware geïnstalleerd kan worden op systemen. Onderwijs uzelf (en uw werknemers) op het gebied van het identificeren van spam, malafide websites en andere soorten fraude. Emploware kan u hierbij ondersteunen met onze cyber security awareness trainingen en phishing simulaties.
Voorbeelden uit de praktijk
Door meer te weten te komen over een aantal belangrijke ransomware aanvallen, verkrijgt u meer inzicht in hoe uw organisatie slachtoffer kan worden van dit voorval. Lees vooral ook onze tips hoe u uw organisatie kunt beschermen tegen ransomware.
WannaCry
Maar liefst 250,000 computers over de hele wereld waren geïnfecteerd met het ransomware-virus WannaCry voordat het werd uitgeschakeld door een killswitch. Proofpoint heeft geholpen bij het vinden van de killswitch-sample en de deconstructie.
CryptoLocker
CryptoLocker codeert de harde schijf en netwerkapparaten van een gebruiker en vereist betaling in bitcoin. Cryptolocker werd via e-mailbijlagen verspreid, vermomd als FedEx en UPS tracking-meldingen. In 2014 werd hiervoor een decodeer-tool uitgebracht. CryptoLocker zou tot $27 miljoen aan schade hebben aangericht.
NotPetya
NotPetya wordt beschouwd als een van de meest schadelijke ransomware-aanvallen en treedt in de voetsporen van zijn naamgenoot Petya. Deze aanval infecteerde en versleutelde de master boot record van Microsoft Windows-computers. Het verspreidde zich snel omdat het dezelfde kwetsbaarheid als WannaCry uitbuitte en een bitcoin-betaling eiste om de wijzigingen die het had aangebracht te wissen. NotPetya is in feite geen ransomware, omdat de computer niet meer te herstellen was. De codes, om de gebruiker te identificeren, werden willekeurig gegenereerd. In Engelse termen noemen we dit een ‘wiper’.
Bad Rabbit
Bad Rabbit werd beschouwd als een verwant van NotPetya en leek zich zichtbaar te richten op mediabedrijven in Rusland en Oekraïne. Het werd gedistribueerd met dezelfde code en kwetsbaarheden. In tegenstelling tot NotPetya stond Bad Rabbit decodering toe als het losgeld werd betaald. Volgens de meeste rapporten werd het verspreid via een neppe Flash Player-update die gebruikers via een drive-by-aanval kon infecteren.
Ryuk
Ryuk is een ander type dat steeds vaker voorkomt. Nieuwe varianten van dit virus ontwikkelen zich en zijn, volgens het Franse agentschap voor cybersecurity (ANSSI), in staat zichzelf te verspreiden naar Windows-machines op een lokaal netwerk. Door de geïnfecteerde gebruiker te verwijderen of zijn/haar wachtwoord aan te passen, lijkt het virus tegengegaan te kunnen worden.
Hoe kan ik ransomware verwijderen?
Het verwijderen van ransomware kan een uitdagend proces zijn, maar er zijn stappen die u kunt nemen om de schadelijke software van uw systeem te verwijderen. Hier zijn enkele algemene stappen die u kunt volgen:
- Isolatie: Schakel de geïnfecteerde computer of het geïnfecteerde apparaat onmiddellijk los van het netwerk om verdere verspreiding te voorkomen.
- Identificatie: Probeer te achterhalen welke variant uw systeem heeft geïnfecteerd. Dit kan u helpen bij het vinden van specifieke verwijderingsinstructies of decryptie tools, indien beschikbaar.
- Antivirussoftware: Zorg ervoor dat uw beveiligingssoftware up-to-date is en voer een volledige systeemscan uit. Deze software kan helpen bij het detecteren en verwijderen van de malafide software van uw systeem. Volg de instructies van uw beveiligingssoftware voor het verwijderen.
- Gebruik antimalware tools: Overweeg het gebruik van gespecialiseerde antimalware tools die specifiek zijn ontworpen om ransomware te detecteren en te verwijderen. Deze tools kunnen extra mogelijkheden bieden om het probleem effectief te elimineren.
- Herstel vanaf een betrouwbare back-up: Als u regelmatige back-ups van uw bestanden heeft gemaakt, kunt u overwegen om uw systeem te herstellen vanaf een betrouwbare back-up die vóór de infectie is gemaakt. Dit kan helpen bij het herstellen van uw bestanden naar een eerdere, niet geïnfecteerde staat.
Het is belangrijk om te onthouden dat de verwijderingsstappen kunnen variëren, afhankelijk van de specifieke variant van ransomware en de omvang van de infectie. Bij twijfel is het altijd het beste om professionele hulp te zoeken.
FAQ Ransomware
Het wordt over het algemeen afgeraden om losgeld te betalen bij een dergelijke aanval. Het betalen van losgeld moedigt cybercriminelen aan om door te gaan met hun kwaadaardige activiteiten en houdt het dit ecosysteem in stand. Bovendien is er geen garantie dat het betalen van het losgeld daadwerkelijk leidt tot het herstellen van uw versleutelde bestanden of het ontgrendelen van uw systeem.
Ransomware bestaat in verschillende vormen, waaronder encryptie-, locker-, master boot record (MBR) en mobile ransomware, alsmede scareware. Encryptie ransomware versleutelt bestanden, terwijl locker ransomware het systeem vergrendelt. MBR-ransomware richt zich op de opstartsector, terwijl mobile ransomware mobiele apparaten treft. Scareware gebruikt valse meldingen om gebruikers te misleiden.
Ransomware wordt vaak omschreven als een vorm van malware, maar het is niet precies hetzelfde als een traditioneel computervirus. Hoewel beide schadelijke software zijn, zijn er diverse verschillen.