Goede en duidelijke communicatie
Astrid van Oorsouw | augustus 21
Zeer professioneel en begripvol
Hans | juli 11
Written By: Ontrack
Date Published: 30 oktober 2023 8:31:54 EDT
Sinds de jaren 80 is er in het afgelopen decennium een toename van verschillende ransomware-Trojans te zien, maar de echte kans voor aanvallers is toegenomen sinds de introductie van Bitcoin. Deze cryptocurrency stelt aanvallers in staat om eenvoudig geld van hun slachtoffers te innen zonder via traditionele kanalen te gaan.
Een ransomware-aanval begint wanneer schadelijke software op een apparaat wordt gedownload. Voorbeelden van apparaattypen zijn laptops, smartphones of desktopcomputers. De schadelijke software wordt normaal gesproken gedownload als gevolg van een gebruikersfout of ontoereikende beveiligingsprotocollen.
Het meest voorkomende bezorgsysteem voor ransomware is een phishing-e-mail met een bijlage of een link.
Geïnfecteerde URL's worden vaak gebruikt om ransomware te verspreiden. Als u op een van deze links klikt, via een e-mail of een niet-geverifieerde website, kan dit automatisch een ransomware-download naar uw harde schijf activeren, ook wel bekend als een "drive-by download". Alleen al het bezoeken van de site zonder zelfs maar iets te downloaden, kan leiden tot een ransomware-aanval.
Een toenemend aantal aanvallen krijgt toegang tot een bedrijf dat open en blootgestelde remote access points heeft, zoals RDP en virtual network computing (VNC). RDP-referenties kunnen worden geforceerd, verkregen via wachtwoordlekken of gewoon worden gekocht op ondergrondse markten. Waar eerdere ransomware-criminelen een command-and-control-omgeving voor de ransomware en decryptiesleutels opzetten, benaderen de meeste criminelen slachtoffers nu met losgeldberichten die een anoniem e-mailadres bevatten, waardoor kwaadwillenden beter verborgen kunnen blijven.
Zodra ransomware een systeem heeft geïnfecteerd, neemt het het kritieke proces van het apparaat over; het zoeken naar bestanden om te versleutelen; de malware zal alle gegevens op het apparaat door elkaar gooien of de bestanden verwijderen die het niet kan versleutelen. Het kan alle externe apparaten infecteren die aan de hostmachine zijn gekoppeld. Voor geavanceerdere aanvallen is dit slechts het begin van een reeks gebeurtenissen zoals beschreven in het Lockheed Martin Cyber Kill Chain®-framework en de MITRE ATT&CK®-kennisbank.
Ransomware wordt ook wel afpersingssoftware genoemd. Cybercriminelen gebruiken verschillende tactieken om geld te krijgen.
In veel gevallen spreken experts ook van encryptie-trojans, omdat de afpersing is gebaseerd op het feit dat de gegevens onlosmakelijk gecodeerd zijn en niet toegankelijk zijn voor de gebruiker. Beloven van een decryptiesleutel in ruil voor geld.
Een ander type malware wordt leakware of Doxware genoemd. Dit is waar de aanvaller zal dreigen om gevoelige gegevens op de harde schijf van het slachtoffer vrij te geven, tenzij er losgeld wordt betaald. Vaak gericht op e-mails en Word-documenten, zijn er ook gevallen geweest van mobiele varianten waarbij privéberichten, foto's en contactenlijsten van de telefoons van gebruikers zijn vrijgegeven.
Dox-ware wordt erkend als een effectievere malware dan ransomware – in termen van het krijgen van geld van het slachtoffer. Met ransomware kunt u afzonderlijke back-ups bijhouden van gegevens die niet langer toegankelijk zijn, maar met Dox-ware kan een aanvaller, zodra hij informatie heeft die het slachtoffer niet openbaar wil maken, weinig anders doen dan betalen.
Er zijn ook gevallen geweest waarin malware een bericht weergeeft waarin wordt beweerd dat het 'Windows' van de gebruiker is vergrendeld. De gebruiker wordt vervolgens aangemoedigd om een 'Microsoft'-telefoonnummer te bellen en een zescijferige code in te voeren om het systeem opnieuw te activeren. Het bericht beweert dat het telefoongesprek gratis is, maar dit is niet waar. Terwijl de gebruiker de nep-'Microsoft' belt, loopt de gebruiker kosten op voor interlokale gesprekken.
Malware met als enige doel om de toegang tot gegevens permanent te vernietigen.
In de loop van de tijd ontstonden er nieuwe tactieken die data-encryptie combineerden met datadiefstal (dubbele afpersing) en het uitvoeren van een distributed denial-of-service (DDoS)-aanval (driedubbele afpersing).
De dreiging komt van verschillende soorten actoren met verschillende motieven en vaardigheidsniveaus, variërend van actoren van natiestaten, criminelen, hacktivisten, scriptkiddies/sensatiezoekers en insiders. Verschillende groepen bedreigingen ontwikkelden veel verschillende varianten van ransomware, en er werden voortdurend nieuwe gecreëerd. Deze groepen specialiseren zich vaak en werken samen.
Enkele voorbeelden van enkele bekende ransomwarevarianten die de afgelopen jaren door deze groepen zijn ontwikkeld:
2024 AKIRA, SEXi ransomware
2023 Lockbit, AlpVM, Clop (soms geschreven als "Cl0p", Royal
2022 BlackBasta
2021 Black cat
2020 NetWalker
2019 REvil /Sodinokibi, MedusaLocker, Maze, DoppelPaymer, Anatova
2018 Ryuk, GandCrab
2017 WannaCry, Dharma, BitPaymer, BadRabbit
2016 Petya NotPetya, Locky, Cerber
2015 SamSam
2014 Emotet
2013 Cryptolocker
Een uitgebreid overzicht van de bedreigingsgroepen en varianten is hier te vinden: https://github.com/cert-orangecyberdefense/ransomware_map
In de online wereld van vandaag is de vraag niet of een organisatie wordt aangevallen, maar wanneer en hoe goed deze is voorbereid.
Als u het nieuws leest, zult u hebben opgemerkt dat organisaties uit verschillende sectoren en industrieën het slachtoffer zijn geworden van ransomware-aanvallen. Van gezondheidszorg tot luchtvaartmaatschappijen, de aanvallers lijken geen voorkeur te hebben voor wie ze targeten, of toch wel?
Een aanvaller kiest normaal gesproken een organisatie om aan te vallen op basis van twee dingen:
1. Kans
2. Mogelijke financiële winst
Kans
Als een organisatie een klein beveiligingsteam heeft, geen IT-middelen en een gebruikersbasis die veel bestanden deelt, bijvoorbeeld een universiteit, dan kan een aanvaller dit als een gemakkelijk doelwit zien.
Mogelijke financiële winst
Organisaties die onmiddellijke toegang tot hun bestanden nodig hebben, zoals advocatenkantoren of overheidsinstanties, betalen mogelijk sneller losgeld. Organisaties met gevoelige gegevens zijn mogelijk ook bereid om te betalen om het nieuws over het datalek geheim te houden.
Je zou denken dat het betalen van losgeld om toegang te krijgen tot je gegevens al erg genoeg is, maar dat kan in het niet vallen bij de werkelijke schade die gepaard gaat met een aanval. Aanvullende implicaties zijn onder meer:
• Beschadiging en vernietiging (of verlies) van gegevens
• Productiviteitsverlies
• Verstoring van de normale gang van zaken na een aanval
• Forensisch onderzoek
• Herstel en verwijdering van gegijzelde gegevens en systemen
• Reputatieschade
• Opleiding van werknemers als directe reactie op de aanvallen
Als u bovenstaande in overweging neemt, is het geen wonder dat de schade door ransomware naar verwachting zal toenemen. Wanneer u met experts op het gebied van cybercriminaliteit spreekt, raden de meesten u aan om het losgeld niet te betalen, omdat het financieren van ransomware-aanvallers alleen maar zal helpen om meer ransomware te creëren. Veel organisaties gaan echter tegen dit advies in en wegen de kosten van de versleutelde gegevens af tegen het gevraagde losgeld. Maar waarom betalen organisaties hun aanvallers?
Hoewel het weigeren om ransomware te betalen wordt voorgesteld voor de bredere zakenwereld, is het weigeren om te betalen mogelijk niet de beste handelwijze voor het bedrijf zelf. Wanneer er een kans is dat het bedrijf permanent de toegang tot vitale gegevens verliest, boetes van toezichthouders krijgt of helemaal failliet gaat, lijken de opties voor bedrijven somber. De keuze tussen het betalen van een relatief bescheiden losgeld en in bedrijf blijven of weigeren te betalen om de bredere zakelijke gemeenschap te helpen, is voor de meesten een no-brainer. In sommige ransomware-gevallen wordt het gevraagde losgeld vaak vastgesteld op een punt dat het de moeite waard is voor de aanvaller, maar laag genoeg om vaak goedkoper te zijn dan dat een slachtoffer betaalt om zijn verloren gegevens te reconstrueren. Soms worden er ook kortingen aangeboden als het slachtoffer binnen een bepaald tijdsbestek betaalt, bijvoorbeeld 3 dagen.
Met dat in gedachten bouwen sommige bedrijven reserves van Bitcoin op, specifiek voor losgeldbetalingen.
Ransomware-varianten richten zich op verschillende verticale bedrijfssectoren. Degenen die risico lopen, moeten voorzorgsmaatregelen nemen om hun risico te verminderen en de effecten van een aanval te verminderen. Een van de belangrijkste plannen die uw organisatie moet hebben, is een Disaster Recovery Plan. Als u er geen heeft, is de kans groot dat de gevolgen ernstig zullen zijn. Veel bedrijven die te maken krijgen met gegevensverlies en downtime gedurende tien of meer dagen, vragen binnen 12 maanden faillissement aan.
Een rampenherstelplan beschrijft verschillende scenario's voor het snel hervatten van het werk na een ramp, d.w.z. een ransomware-aanval. Een belangrijk onderdeel van het bedrijfscontinuïteitsplan van een organisatie moet voldoende IT-herstel en preventie van gegevensverlies mogelijk maken. Een rampenherstelplan beschrijft verschillende scenario's voor het snel hervatten van het werk na een ramp, d.w.z. een ransomware-aanval. Een essentieel onderdeel van het bedrijfscontinuïteitsplan van een organisatie moet een rampenherstelplan omvatten dat voldoende IT-herstel en preventie van gegevensverlies mogelijk maakt.
Vergeet niet om het plan up-to-date te houden en ook enkele afgedrukte versies. Want als het op een gecodeerde server of schijf staat, is zelfs het beste noodplan nutteloos. Als u geen rampenherstelplan hebt, kunt u hier onze gratis sjabloon downloaden.
Andere aanbevelingen zijn:
Het beheer van gegevens gedurende de levenscyclus is vaak geen overweging voor veel organisaties. Maar zonder een strategie voor de levenscyclus van gegevens stelt een organisatie zichzelf bloot aan ernstige beveiligingsrisico's en kosten. Tegenwoordig hebben de kosten van het niet effectief beschermen van gegevens een 'te hoge prijs'.
Het zijn niet alleen ransomware-aanvallen waar organisaties op moeten letten, datalekken, een beschadigde reputatie, verloren klanten, downtime en hoge boetes zijn allemaal potentiële risico's voor een organisatie die de levenscyclus van haar gegevens niet effectief beheert. Organisaties die de tijd nemen om de nodige inspanningen en middelen te investeren in het beheer van de levenscyclus van gegevens, kunnen de risico's en kosten van hun bedrijfskritische gegevens in alle fasen minimaliseren.
Bij Ontrack houden we voortdurend verschillende soorten ransomware bij. Ransomware verandert en ontwikkelt zich voortdurend, dus we willen er zeker van zijn dat we de laatste veranderingen en ontwikkelingen in de gaten houden en bestuderen. Het bestuderen van ransomware en de steeds veranderende vormen ervan biedt extra kennis en ervaring, wat leidt tot een grotere kans dat we gegevens herstellen die verloren zijn gegaan als gevolg van een aanval. Als het gaat om ontoegankelijke gegevens, is het altijd het beste om contact op te nemen met een expert. Als u wordt aangevallen door ransomware, neem dan contact op met een expert zoals Ontrack om u te helpen toegang te krijgen tot uw gegevens.
Hieronder staan enkele voorbeelden van succesvolle gevallen van ransomware-gegevensherstel die we hebben voltooid.
Ga naar
ransomware recovery service page
of
België | Nederlands
Locaties
Zoeken
Terug naar overzicht