Ransomware en cryptoware: hoe beschermt u zich ertegen?

Kent u het begrip ransomware al? Het is een verzamelnaam voor virussen die computers en servers ‘gijzelen’ voor losgeld. Het levert ict-managers de laatste tijd veel kopzorgen. Reden voor ons om u inzicht in het reële gevaar van ransomware te geven, en concrete tips te bieden hoe u zich ertegen kunt weren.

Ransomware in het nieuws

U heeft er tegenwoordig regelmatig mee te maken: een scala aan bedreigingen waarmee u rekening moet houden in het ontwerp en beheer van uw ict-omgeving. Inmiddels hoort ransomware, ook wel gijzelvirussen genoemd, daar zeker bij.

Om een paar voorbeelden te noemen: begin dit jaar werd de twee jaar oude, op particulieren gerichte KLPD-ransomware in een nieuw jasje gestoken en deze maand is er een nieuwe variant opgedoken die games en iTunes versleutelt. Niet alleen particulieren, maar ook organisaties krijgen er steeds vaker mee te maken. Zoals de politie van het Amerikaanse Dickson County, die haar data pas terugkreeg na het betalen van losgeld. En vorige week was een Nederlandse universiteit aan de beurt.

Ransomware wordt als een groeiend bedrijfsrisico onderkend door steeds meer bedrijven. Maar waar komt ransomware vandaan? En waarom lijkt dit steeds vaker voor te komen?

Waar komt de bedreiging vandaan?

Ransomware is in de hackerswereld een game changer, omdat het nu de eindgebruiker is die betaalt. Vóór de komst van ransomware verdienden hackers namelijk voornamelijk geld met het onderling leveren van diensten. De ene hacker richtte zich op het overnemen van computers, de andere hacker betaalde om zijn malware te installeren op deze computers en een volgende hacker richtte zich op het doorverkopen van gevoelige data. Op deze manier werden er continu onderling zaken gedaan en zo werd er geld verdiend.

Ransomware pakt dit net even anders aan. Door de computer te “gijzelen’’ wordt de eindgebruiker gedwongen te betalen. Juist hierin zit verschil. Op de traditionele manier verdienen de hackers geld van elkaar, op de ransomware-manier verdient een hacker geld van de eindgebruiker. Juist dit maakt ransomware interessant voor hackers: het is een snel verdienmodel. Daardoor is het niet waarschijnlijk dat deze trend snel zal passeren. Ransomware is here to stay.

Hoe werkt ransomware?

Ransomware is een verzamelnaam voor alle soorten malware die een computer gijzelen. Ransomware valt op te splitsen in drie categorieën:

• Cryptoware: Cryptoware versleutelt alle bestanden op een computer en dwingt de gebruiker te betalen om toegang tot de bestanden te herstellen.
• Ransomware: Ransomware versleutelt niet de bestanden, maar belet toegang tot het systeem totdat er een bedrag is betaald.
• Scareware: Scareware doet zich voor als cryptoware en/of ransomware maar is dit niet. Door zich voor te doen als crypto- of ransomware wordt de gebruiker overtuigd om te betalen.

Het principe is eenvoudig. Een kwaadwillende ontwikkelt een stuk software dat hij via verschillende methoden verspreidt (vaak middels e-mailbijlages, drive-by-downloads of USB-sticks) onder gebruikers. Wanneer de ransomware operationeel is (meestal door activatie van de gebruiker), zal de software de betreffende pc én netwerkshares scannen op data. Alle data waar de gebruiker bij kan, is ook beschikbaar voor de ransomware. Vervolgens versleutelt de ransomware alle data in zijn bereik. Daarom wordt ransomware ook wel cryptolocker genoemd. De data wordt zo onbruikbaar. Als er vervolgens geen losgeld betaald wordt, zal deze data na een bepaalde periode (meestal een paar dagen) voor altijd verwijderd worden. Een vorm van afpersing dus.

Wat kunt u doen?

Betalen wordt over het algemeen sterk afgeraden. Er is namelijk totaal geen garantie dat na betaling uw bestanden weer terug zijn. Betalen moet enkel gezien worden als een laatste redmiddel. Het beste is dan ook om uw systemen zo in te richten dat ransomware geen kans bij u maakt. Maar hoe doet u dat zonder al te grote investeringen te doen? Hieronder de basics die wij aanraden.

Voorzorgsmaatregelen

• Installeer endpoint protection (antivirussoftware) op uw devices en zorg dat deze up-to-date is.
• Hanteer het principe van least privilege: beperk de toegang die een medewerker heeft tot alleen die data die hij/zij echt nodig heeft.
• Verwijder alle (local) admin-rechten op normale gebruikersaccounts.
• Maak regelmatig een back-up van uw data. Zorg alle belangrijke data dáár opgeslagen wordt.
• Zorg dat alle systemen up-to-date zijn en relevante patches bevatten.
• Zorg dat eindgebruikers weten hoe ze veilig met data en ict-middelen omgaan.
• Hou altijd een aantal werkstations op reserve. Mocht een computer geïnfecteerd zijn, dan kan een medewerker doorwerken op een schone computer.

Maatregelen na een infectie

• Reageer niet op dreigementen van de hackers.
• Wis alle data op de geïnfecteerde machines en zet de laatste back-ups van vóór de infectie terug.
• Doe aangifte van afpersing en volg instructies van de politie op.