Computercriminaliteit – De dreiging van Ransomware

Gepubliceerd op: 15-03-2021

De dreiging van Ransomware, neemt wereldwijd toe! Bent u al beschermd tegen deze ingrijpende vorm van Computercriminaliteit?

Computercriminaliteit, cybercriminaliteit of cybercrime is criminaliteit met ICT als middel én doelwit. De meeste telefoons en bankpassen bevatten computerchips, die kunnen worden gemanipuleerd door cybercriminelen. Maar ook bedrijfssystemen, moderne auto’s en chipkaarten zijn vatbaar voor cyber-crime. Een van de meest voorkomende vormen van computercriminaliteit is Ransomware. In deze blog gaan wij hier dieper op in, want wat is het nu precies en wat kunt u doen om het te voorkomen?

Wat is ransomware?
Ransomware is een type malware, ofwel kwaadaardige software, die een computer blokkeert of bestanden versleutelt. Pas wanneer u losgeld (ransom) betaalt zou u de computer of de bestanden weer kunnen gebruiken. Of dit klopt, en welke mogelijkheden er zijn leest u in deze blog…

Ransomware kent vele vormen en variaties (alsof het, net als COVID-19, muteert). Enkele bekende vormen zijn Netwalker, Locky, Polymorf, WannaCry, Ruyk, Bad Rabbit, Troldesh, Jigsaw, CryptoLocker, Petya, GoldenEye, GandCrap, en ga zo maar door. Iedere vorm en variant van ransomware heeft zijn eigen encryptie methodiek, manier van verspreiden, en eveneens een eigen kans van slagen voor het decrypten van de data.

Hoe herkent u ransomware
Als gebruiker komt u er vrij snel achter dat u getroffen bent door Ransomware. Het eerste wat u opvalt, is dat de meest voorkomende bestandextenties (word, excel, powerpoint, foto’s, etc) zijn aangepast naar “een vreemde extensie” en dat (daardoor) ook het bijbehorende Word of PDF, icoon niet langer meer zichtbaar is. Wanneer u dit ziet gebeuren, dan is de kans groot dat u het slachtoffer bent van ransomware.

Ook u loopt kans op ransomware?
U kunt op verschillende manieren besmet raken met ransomware op uw PC. Wij hebben de top 3 even voor u uitgelicht. Met stip op 1 staat de gebruiker zelf. De mens is helaas op dit moment de zwakste schakel, en de beste preventie is dan ook om te allen tijde alert te blijven:

  1. Foute e-mails
    Zogenaamde Phishing mails. Deze verwijzen u vaak naar een malafide website. Wanneer u de mail opent, en de link volgt naar een website, is de kans groot dat u daarmee een ransomware besmetting oploopt.
  2. Surfen op het internet (malafide websites)
    Verkeerde linkjes, foute webpagina’s. Feitelijk is de manier van verspreiden gelijk aan het bovenstaande scenario (via een website). Wees dan ook alert bij het bezoeken van pagina’s, is dit daadwerkelijk de pagina waarnaar u op zoek bent en kunt u deze vertrouwen?
  3. Windows systeemapplicaties
    Inderdaad, “Windowsapplicaties”. Het feit is dat 91% van de ransomware aanvallen gericht zijn op “Windows” apparaten/gebruikers. Daarmee wordt impliciet gezegd dat Mac-gebruikers minder snel getroffen worden door ransomware (statistisch klopt dat). Onderschat echter niet de menselijke rol (de zwakste schakel), Mac-gebruikers zijn zeker niet immuun voor ransomware.

Wat zijn de kosten bij besmetting door ransomware?
Voor de particulier geldt dat vaak uw documenten en foto’s (emotionele waarde) worden gegijzeld. U computer dient opnieuw te worden geïnstalleerd, wanneer u getroffen bent door ransomware. Wanneer u gehecht bent aan de gegevens en geen back-up hebt, houdt dan rekening met bedragen tussen de 800 en 6000 euro aan losgeld voor “kleine” computernetwerken. Dit kan echter ook een veelvoud worden (het is aan de crimelen om het losgeld tarief te bepalen). En .. er is helaas na betaling ook geen enkele garantie op het daadwerkelijk terug krijgen van uw data, zie ook “moet ik betalen?”

Voor bedrijven kan het oplopen van enkele duizenden euro’s tot bedragen die lopen tot de 6 cijfers en wellicht nog wel meer. Naast de directe kosten zullen hier ook de indirecte kosten meegerekend moeten worden (medewerkers die niet kunnen werken, klanten die niet geholpen kunnen worden, orders niet uitgeleverd, voorraden die bederven, verlies van intellectueel eigendom, reputatieschade, etc.).

Recente ransomware gevallen
Dagelijks zijn er nieuwe gevallen van ransomware. Onderstaand een aantal grote incidenten die afgelopen jaar zijn verschenen in de media.
27 februari 2021. Staring College (middelbare school te Lochem en Borculo) betaald losgeld
• 19 januari 2021. 80 servers van een Belgisch ziekenhuis zijn versleuteld.
• 29 december 2020. Corona test laboratorium uit België gegijzeld
• 3 december 2020. Randstad slachtoffer van ransomware
• 3 december 2020. Gemeente Hof van Twente getroffen door ransomware

Een belangrijke les van deze incidenten, is dat “het iedereen” kan overkomen. Zorg dan ook voor de juiste maatregelen (zoals een goede (en complete) back-up) om de impact van dergelijke scenario’s zo klein mogelijk te houden. Een andere tip (binnen bedrijfsnetwerken) is om de rechten van gebruikers te beperken, zodat niet iedereen, overal toegang tot heeft. Heeft de gebruiker geen toegang, dan is de kans groot dat die specifieke data niet wordt versleuteld. Heeft een gebruiker toegang tot alle data (bijv. een directeur), dan zal bij een ransomware besmetting het volledige systeem worden versleuteld. Een goede rechtenstructuur (en gebruikersmatrixen) is een must in de strijd tegen ransomware en computer criminaliteit in het algemeen.

De veranderende trend binnen ransomware
Er is een hele vervelende en vooral ingrijpende verandering gaande in het gedrag van ransomware criminelen. Daar waar de criminelen (vroeger) na betaling in de regel de sleutels weer aanleverde om de data te kunnen ontsleutelen, en bij geen betaling de data versleuteld op uw eigen machine bleef staan. Is het nu vaak het geval dat uw data niet alleen” versleuteld wordt, maar dat er ook data daadwerkelijk “gestolen” wordt. In het geval van de gestolen data, is de data op de eigen machine versleuteld, en beschikken de criminelen tevens ook over uw data.

Naast het betalen om de data terug (leesbaar) te krijgen d.m.v. het ontsleutelen, wordt tegenwoordig ook het openbaar maken van data als pressiemiddel gebruikt om over te gaan tot betaling. De recente hack van het Amerikaanse Solarwinds heeft tot gevolg dat van vele grote ondernemingen, waaronder een deel van de Fortune 500, de data online per opbod werd verkocht.

Wat moet u doen als u getroffen bent door ransomware?
Het beste advies wat wij u kunnen geven wanneer u getroffen bent door ransomware: bel een expert! Laat hen inschatten wat de kansen zijn om data terug te halen en u voorlichten wat de oorzaak is geweest van de infectie. Realiseer u ook dat de PC besmet is (geweest), en de beste remedie om herhaling te voorkomen is de getroffen computer compleet opnieuw te installeren (alle sporen van de criminelen te verwijderen). Daarna kan men de back-up terugzetten. In de praktijk wordt de disk (SSD) van de computer vaak veiliggesteld (vervangen) om op een later stadium eventuele diagnoses te doen. Dit is eveneens aan te raden wanneer men niet kan vertrouwen op de back-up (het regelmatig testen van de back-u is hierin essentieel).

Bij een bedrijfsmatig incident is het goed om te realiseren dat men te maken heeft met een datalek (AVG). De impact van dit incident hangt volledig af van de omvang van de onderneming, het soort getroffen data en hoe men hier zelf mee omgaat. Ook hier geldt: raadpleeg een expert om u te adviseren hoe u dient om te gaan met dergelijke incidenten. Overweeg ten aller tijde om melding te maken bij de Autoriteit Persoonsgegevens (kortweg: AP) https://www.autoriteitpersoonsgegevens.nl .

Moet u betalen wanneer u getroffen bent door ransomware
Betalen is het belonen van de criminelen, en daarmee is het antwoord in de eerste instantie altijd, NEE. Doordat er mensen betalen blijft deze vorm van criminaliteit lucratief en gaat men er mee door. Maar, wat als u nu erg gehecht bent aan de foto’s, of de bedrijfsgegevens essentieel zijn.

Wanneer u ervoor kiest om te gaan betalen voor het vrijgeven van uw gegevens, houdt u er dan rekening mee dat het vaak niet bij 1x blijft. Wanneer de eerste betaling is ontvangen door de criminelen kunt u een applicatie van hen ontvangen, waarmee de bestanden zijn te decrypten/ vrij te geven. Houdt u er echter wel rekening mee dat dit programma pas werkt wanneer de juiste code is ingevoerd. Om de code te verkrijgen, inderdaad u raadt het al: zult u weer contact moeten zoeken met de criminelen en zal er een aanvullende betaling moeten worden gedaan. Of er vervolgens verdere stappen (bijv. een max. aantal bestanden of max. aantal GB) of beperkingen aan dergelijke programma’s zitten, verschilt per ransomware type en per crimineel.

Let op: Betalen van ransom (losgeld) geeft geen garanties dat u de data ook daadwerkelijk terugkrijgt.

Hoe dient u te betalen?
Eenmaal getroffen door ransomware dient men in de regel te betalen met Bitcoin (of een andere crypto valuta). Een relatief anonieme manier om geld (waarde) te kunnen overmaken. Hoezo relatief? De handelingen “Bitcoins kopen” en “Bitcoins verkopen” probeert men te reguleren door de desbetreffende instanties te verplichten dat zij weten wie de persoon is die handelt. Dit wordt o.a. gedaan door een kopie van het legitimatiebewijs te eisen, en heeft als doel om witwassing en criminaliteit te voorkomen. Alle tussenliggende handelingen zijn niet transparant. Daar waar alle transacties in de Bitcoin Blockchain worden vastgelegd, zijn de personen achter de transacties anoniem en worden deze aangeduid met een Bitcoin adres (bijv. 32517P4SXmWV5r5AtawkiAYdAiKdSCb9fK). Wanneer u eenmaal een transactie verstuurd, is het onmogelijk om te achterhalen wie het ontvangen heeft, of om de transactie terug te draaien.

Zal ransomware ooit verdwijnen?
Voordat deze vraag beantwoord wordt, is het wellicht goed om een vergelijk te trekken met een ander probleem op het internet: SPAM (e-mail). In 1971 werd de eerste e-mail verstuurd (Roy Tomlinson), en slechts 2 jaar later op 3 mei 1978 werd de eerste SPAM mail verstuurd door een marketingmedewerker bij het toenmalige Digital Equipment. Het behoeft geen uitleg dat het “spamprobleem” vandaag de dag nog niet is opgelost. De spammers worden steeds slimmer, net als de spamfilters. Zolang het echter lucratief is om te spammen, en er kennelijk nog steeds mensen geloven dat hun verre onbekende oom hen 1.3 miljoen nagelaten heeft, zal spam blijven bestaan. Mijn vermoeden is dat het bij ransomware niet anders is. Door de grote beloningen (in Bitcoins) in combinatie met de stijgende Bitcoin koers, vrees ik dat het nog lang zal duren voordat we verlost zijn van ransomware.

Het effect van corona op ransomware (Thuiswerkers opgelet!)
Verslappende aandacht (moe van Teams/Zoom sessies, postbezorger aan de deur, kinderen die wéér aandacht vragen) en het openen en doorklikken vanuit 1 fout mailtje is voldoende om besmet te worden met ransomware.

Wat kunt u doen om ransomware te voorkomen?
Zonder een WC-eend advies te gevenn (wij van WC-Eend adviseren WC-Eend) raden wij iedereen aan om de beveiliging van de data en de systemen serieus te nemen. Beveiliging is niet langer meer een bijzaak, maar noodzaak.

Maak vooraf een plan. Welke back-ups, wat wil ik back-uppen en hoe kunnen wij dit tijdig en gestructureerd controleren. Hoelang kan ik zonder data/systeem (impact zakelijke gebruikers bij onwerkbare systemen). Hoe vertrouwelijk is de data (bedrijfsgeheimen), welke data omvat het systeem (patiëntendossiers), wie kunnen hier interesse in hebben (gerichte aanval, toevalstreffers) wat zouden ze verder hebben aan mijn systeem en/of data.

Houdt criminelen buiten de deur (firewalls, sterkte wachtwoorden, IP-filters, VPN verbindingen, 2-weg authenticaties, enz.) en wordt geïnformeerd als er onverhoopt toch mensen inloggen in het systeem wanneer dit niet de bedoeling is (honeypots, IDS, push notifications by login, etc.). Eenmaal binnen in één van uw systemen, maak het ze dan niet te gemakkelijk (encrypt de schijven & data, encrypt eventuele broncode, bewaar de back-ups op externe locatie, zet de nodige hindernissen neer wanneer iemand daadwerkelijk is ingelogd, en maak onderscheid tussen gebruikers- en adminrechten, enz.)

Wilt u meer weten over wat u kunt doen ter voorkoming van Ransomware? Of wenst u een check of u reeds voldoende maatregelen heeft getroffen? Neem contact met ons op, dan helpen wij u natuurlijk graag!