Ransomware is niet weg!
Ransomware evolueert zelfs door, maar het doel blijft hetzelfde. Van versleutelen tot versleutelen van data en backups, en van het stelen van data tot de suggestie dat er data gestolen is. Ransomware heeft vele verschillende vormen aangenomen maar het doel blijft hetzelfde namelijk ervoor zorgen dat uw onderneming gaat betalen. Maar wat is het nu precies? Waar moet ik op letten en hoe kan ik mijn onderneming hier het beste tegen beschermen? Wij geven een overzicht van de geschiedenis, de huidige staat en wat u zelf kan doen tegen de cybercriminelen.
Wat is Ransomware?
Ransomware of gijzelsoftware is een vervelend stukje malware dat, zoals de naam al doet vermoeden, je bestanden gijzelt en na betaling van losgeld weer vrijgeeft. Althans dat is de bedoeling tenminste. Dat gijzelen doen ze over het algemene door je bestanden te versleutelen, encryptie noemen we dat, en je een stukje software met een sleutel aan te bieden om dat proces weer ongedaan te maken. Na betaling natuurlijk.
Helaas, nou ja eigenlijk niet voor de criminelen, bleek maar al te vaak dat het zelf ontwikkelen van dit soort versleuteling nog best moeilijk is. Niet alleen was vaak de ontsleutelsoftware van bedenkelijke kwaliteit, hij werkte half of helemaal niet, maar bleek het ook vaak mogelijk te zijn om software te bouwen die de versleuteling ongedaan kon maken, maar dan wel zonder te hoeven betalen.
En ja, er zijn dus mensen die er een dagtaak van hebben gemaakt dit soort gratis decryptors, zoals dat dan genoemd wordt, te bouwen waarbij ze de originele ransomware software ontleden en op basis van wat ze vinden een programma schrijven die de versleuteling kan terugdraaien. Zelfs dusdanig goed dat in nieuwe versie van de ransomware bedreigingen aan hun adres in de software als commentaar waren verwerkt.
Geschiedenis van ransomware
Ransomware is niet nieuw, hoewel velen er pas meer over gehoord hebben in de laatste paar jaar en vooral tijdens de pandemie. Ransomware bestaat al jaren en heeft meerdere verschijningsvormen gehad, maar daar later wat meer over.
Eigenlijk is ransomware niet veel anders dan welke andere vorm van malware die we over de laatste decennia gezien hebben. Het belangrijkste verschil is echter dat je data versleutelt wordt en je moet betalen om alles weer terug te krijgen, nou ja de kans dat je alles terug kreeg en zeker in het begin was nogal minimaal.
Feitelijk zijn er 2 soorten ransomware: ransomware en wiperware. Het belangrijkste verschil? Bij ransomware wordt je data gegijzeld en is het de bedoeling dat je die ook weer terug krijgt, na het betalen van losgeld natuurlijk. Niet veel anders dan het gijzelen van personen, maar dan met jouw bedrijfsgegevens. Bij wiperware is dat niet het doel, de aanval lijkt hetzelfde maar je data wordt vernietigt en ook al zou je kunnen betalen, je data krijg je niet terug. Ook al zouden de criminelen dat alsnog willen teruggeven dat is technisch onmogelijk.
De twee grootste aanvallen, die wereldwijd tot heel erg veel schade hebben geleid, waren een voorbeeld van beide type ransomware aanvallen en ook beiden in 2017.
- Wannacry was een ransomware aanval, in de klassieke vorm, waarbij na betaling een sleutel kon worden verkregen.
- NotPetya was wiperware en, alhoewel je in het begin kon betalen, je data kreeg je niet terug. En had je geen backups? Dan was je alles kwijt.
Wat deze aanvallen zo desastreus maakte was de wijze van verspreiding. Ze maakte namelijk gebruik van een gat in het Windows besturingssysteem en verspreiden zich van computer naar computer als een soort van worm. Nieuw target? begon het spelletje gewoon weer van voren af aan.
Dat laatste heeft Q-Park, ja die van die parkeergarages, wel gemerkt. Hadden ze eindelijk de computers in een locatie weer operationeel, werden ze weer opnieuw besmet en konden ze weer opnieuw beginnen.
Was er wat tegen te doen? Ja, de patch met de securityfix was beschikbaar. Maar ja, dus lang niet overal geïnstalleerd. Niet alleen Q-Park, maar ook de terminals in Rotterdam van Mersk en de Britse zorg organisatie NHS werden zwaar getroffen.

Wat het verhaal toen nog bizarder maakte is dat de tweede aanval, die wiperware, exact dezelfde security kwetsbaarheid gebruikte als Wannacry deed. Je zou toch denken: we zijn al een keer getroffen of hebben mazzel gehad, nu zorgen we ervoor dat we niet alsnog geraakt worden? Maar helaas niets is minder waar, NotPetya maakte meerdere slachtoffers wereldwijd, maar met name in de Oekraïne, ja toen ook al.
De jaren erna is de ransomware sector langzamerhand geprofessionaliseerd. Taken werden verdeelt en partijen die goed waren in het bouwen van hele platforms en infrastructuur gingen hun diensten aanbieden aan anderen. RWAAS of wel ransomware-as-a-service is tegenwoordig meer de standaard dan de uitzondering.
De wereldwijde pandemie, de vlucht naar thuiswerken en het feit dat veel bedrijven en organisaties daar helemaal niet op ingesteld waren, zowel qua werkprocessen, IT en zeker niet qua beveiliging, is de voedingsbodem geweest voor de exponentiële groei van het ransomware probleem.
Casey, de Ierse gezondheidszorg, JBS, Colonial Pipeline, Mediamarkt, VDL (hoewel niet officieel bevestigd) en vrij recent nog Rackspace zijn zo een aantal high profile slachtoffers van de laatste jaren.
Corona is niet weg en ransomware ook niet.
Verschillende vormen
Uw business evalueerdt, past zich aan en groet. De business van de ransomware gangs doet dat, helaas, ook. Voor hen is ransomware een business en verdien model.
Welke vormen hebben we over de jaren gezien:
Hit en mis versleuteling
The new editor comes with Met als het schot hagel uit het jachtgeweer van de jager, we zien wel of we wat raken en wie erin trapt. Meestal waren het kleine bedrijven, particulieren of kleine organisaties die geraakt werden. Vaak geen of slechte beveiliging en geen backups.
Dus ja, als je je vakantiefoto’s terug wilde, dan betaalde je wel.
Of die ontsleutel software werkte? Maakt het uit, ze hebben toch al betaalt.
Meestal ging het via phishing zoals valse facturen voor verkeersboetes en soortgelijke trucjes.
Gerichte aanval op bedrijven
Een logisch vervolgstap is de fase waarin bedrijven gericht werden aangevallen. In veel gevallen nog steeds een beetje hit en mis, maar grotere doelen dus ook grotere kans op succes en op meer winst.
Ook hier werd vaak de ontsleutel-software slecht gebouwd en was het maar de vraag of je alles terug kreeg of niet.
Het grootste probleem was meestal het verkrijgen van Bitcoins waarin betaalt moest worden. Maar daar hielpen de criminelen je wel bij hoor met tips enzo.
Inbreken, rondkijken en dan pas aanvallen
Langzamerhand werd het duidelijk dat dit een groter probleem begon te worden. De hit en mis tactiek werkte niet zo lekker meer, maar beveiliging bleef vaak nog wel zwak genoeg. Wat beter, dan rondkijken, uitzoeken waar de meest waardevolle gegevens stonden en dan na een tijdje een deel of de gehele onderneming versleutelen.
Een van de bekendste voorbeelden is de Universiteit Maastricht rond de kerst periode van 2019. De aanvallers waren al een paar maanden binnen en konden op die manier echt alles te grazen nemen. Uiteindelijk is er betaalt, want backups, tja, die werkte niet meer of waren er niet. Probleem dus.
Ontsleutelingssoftware wordt ook beter, natuurlijk er blijft een kans dat je na betaling niets krijgt of iets wat niet werkt, maar daar hebben de crimineeltjes tegenwoordig zelfs een helpdesk voor.

Versleutelen en dan dreigen met publicatie
Langzaam begonnen bedrijven door te krijgen dat het hebben van goede, beveiligde, backups toch wel erg belangrijk en handig was. Ook de ransomware gangs kregen door dat de tactiek van versleutelen alleen niet meer zo succesvol was en de winsten daalden.
In 2020, tijdens de eerste pandemie golven, zien we de opkomst van de 2-staps aanval. Het versleutelen blijft en als je betaalt blijft het daarbij.
Maar had je toevallig wel een goede backup en dacht je van ze af te zijn? helaas niet.
In deze fase kopiëren ze eerst al je data voordat ze deze versleutelen. Kun jij je data uit de backup terugzetten? Dan dreigen ze gewoon alles openbaar te maken als je niet alsnog betaalt. Dat risico kan je nemen, maar het wordt nogal vervelend als er veel persoonsgegevens bij die data zitten.
Ontsleutelen is al veel minder een probleem, ook dat professionaliseert. Ze moeten wel, zie het stuk over de geschiedenis hierboven.
Jij luistert niet? Misschien je patiënten wel!
Of je klanten natuurlijk. Want ja, als we toch al die data hebben, het dreigement met publiceren helpt niet, dan kunnen we ook nog altijd jouw klanten of patiënten afpersen?
Er zijn gevallen bekent, vooral van een Finse geestelijke gezondheidskliniek, waar dat ook inderdaad is gebeurt. “Wil jij dat je familie weet dat je een zelfmoord poging gedaan heeft? Jouw behandelaars hebben die informatie niet goed beveiligd en als je niet betaalt maken wij het publiekelijk bekent.”
Dit werkt niet bij alle slachtoffers overigens.
Waarom zouden we nog versleutelen of data stelen?
Veel te veel werk, een paar screenshots die de suggestie wekt dan we bestande in handen hebben is vast voldoende.
En ja, dat bleek inderdaad in meerdere gevallen zeker het geval te zijn.
Het kost minder moeite, kost minder server capaciteit en het is net zo effectief. Dus waarom al die tijd steken in de ontwikkeling van versleutel en ontsleutel software, een helpdesk, opslag voor al die gestolen data als je meer winst kan maken zonder dat te doen?
Ook hier zien we weer een slag tot professionalisering, bezuinigen op wat niet nodig is, verbeteren van de overige processen en maximeren van de winst. Lijkt net een echt bedrijf vind je niet?

Beste beveiliging
De beste beveiliging blijft nog altijd het voorkomen dat je geraakt wordt.
Nu is dat makkelijker gezegd dan gedaan, want ja backups zijn fijn maar ook een target zoals we gezien hebben.
Toch blijft het een van de beste methode om je data veilig te stellen, natuurlijk wel als dat op een goede manier gebeurt. Zo moeten backups na het maken ervan niet meer verwijdert kunnen worden of kunnen worden overschreven. Maar nog veel belangrijker is het zorgen dat uw informatiebeveiliging op orde is met bijvoorbeeld goede en veilige instellingen, regelmatige controle wie toegang waartoe heeft en of dat nog wel klopt, anti-virus en anti-malware software en regelmatig patchen van software en systemen.
En uw personeel dan? Vergeet die vooral niet, goede en regelmatig herhaalde security awareness trainingen zijn essentieel in de beveiliging tegen ransomware. Zij zijn namelijk de eerste die kunnen opmerken dat er wat mis is of zelfs de aanval kunnen voorkomen door niet op dat ene phishing mailtje in te gaan. Eigenlijk is het niet heel veel extra’s ten opzichte van beveiliging tegen andere cyberrisico’s, het grootste verschil zit hem in de impact voor uw organisatie als dit allemaal niet voldoende blijkt te zijn. Daarom is extra waakzaamheid geboden, want denk nu niet dat uw bedrijf niet interessant genoeg is, dat bent u namelijk wel. En als u het zelf niet bent, zijn het uw leveranciers wel en met name die IT leveranciers.