Ransomware: nieuwe technieken en tips

Marco den Teuling2 maart, 2018• min. leestijd

Inhoudsopgave

Inleiding

Ransomware komt met steeds nieuwe trucs en technieken. WannaCry, Petya/NotPetya enzovoort gingen voor nieuwe verspreidingstechnieken en hadden soms zelfs

extra malware aan boord. Vooral bedrijven en overheden staan op de targetlist van de criminelen. Leer meer over de werkwijze en bescherm jezelf met praktische tips.

Gegevens gijzelen door ze te versleutelen is al sinds 2016 een van de meest winstgevende uitspattingen binnen de malware-scene. En dat is niet zo gek want anders dan bij toegang proberen te krijgen tot iemands online bankieromgeving, heb je op technisch en organisatorisch gebied weinig nodig. Dus ook de ‘mindere’ cybercriminelen springen op de ransomware-bandwagon. Software die bestanden versleutelt en een bitcoinwallet zijn niet bepaald lastig te regelen en zijn zelfs vaak inbegrepen in aanbiedingen van ransomware-as-a-service.

Maar in 2017 is er wel het een en ander veranderd. De grootste verandering is de manier waarop ransomware wordt verspreid. Klassieke ransomware als Locky belandt vooral via e-mail bij de potentiële slachtoffers. Zogenaamde drive-by infecties via websites met malware zijn een andere hoofdmethode van verspreiding en besmettingen met ransomware. WannaCry gebruikte in mei 2017 voor het eerst een lek in Windows uit de NSA-toolkit (EternalBlue) om zich zo als worm zelfstandig binnen een netwerk te verspreiden. De infectie gebeurt volledig zonder dat de gebruiker er iets voor doet. Nog geniepiger was NotPetya dat stiekem via het updatemechanisme van legitieme software meeliftte. Van daaruit verspreidde het zich ook via de Eternal-Blue-lekken in de SMB-stack van Windows. Maar deze twee manieren van verspreiden blijven wel een uitzondering. Veiligheidslekken waar een worm zich naar binnen kan wurmen zijn zeldzaam en malware via normale updates binnenloodsen kun je ook niet blijven herhalen.

Afpersen en spioneren

Malware-analisten zien wel steeds meer aanvallen op bedrijven die als doel hebben om daar ransomware te planten. Dat zijn bijvoorbeeld sollicitaties die gericht zijn op vacatures van het bedrijf en aan de personeelsafdeling zijn gericht. Nadat de eerste pc is besmet, breidt de infectie zich verder uit binnen het netwerk. Het zoekt naar de systemen met de belangrijkste gegevens en neemt deze over en versleutelt dan gecoördineerd overal op hetzelfde moment alle data. Een andere invalshoek zijn remotedesktopdiensten (RDP). De Crysis-bende zoekt massaal naar bereikbare RDP-poorten en probeert de toegangsblokkade met simpele wachtwoorden te kraken. Als het ze lukt, halen ze de Crysis-ransomware binnen en infecteren het systeem.

Ransomware-aanvallen op bedrijven lijken qua methodes en gebruikte tools steeds vaker op professionele pogingen tot spionage. In een aantal gevallen zijn de researchers die de gevallen hebben onderzocht er zelfs zeker van dat het om spionage ging. De gevonden ransomware was slechts een klein ‘afscheidscadeau’, twee vliegen in één klap: je vernietigt je sporen en met wat geluk houd je er nog een extra zakcentje aan over.

Pay per install

De makers van ransomware gaan ook banden aan met de crimeware-scene. Zo verklaarde Holger Unterbrink van Cisco’s Threat Research-afdeling Talos aan ons dat hij al meerdere gevallen gezien heeft waarbij het slachtoffer na betaling de sleutel voor toegang tot de bestanden kreeg, maar er nog meer malware op het systeem stond. Dan was er vanaf een website een exploitkit met zowel ransomware als een bitcoinminer binnengehaald. Die laatste bleef na het herstellen van de data vrolijk verder minen.

Het is naar om te bedenken dat malware op commando van de achterliggende cybercrimineel ook op een later tijdstip nog andere malware kan installeren. Nadat de internetbankier-trojan klaar is, wordt Locky of andere ransomware binnengesluisd. Dit businessmodel heet pay per install. Het is oorspronkelijk afkomstig uit de freewarescene en is nu doorgedrongen in de malware- community. Wie een groot aantal installaties kan regelen, bijvoorbeeld via een geliefd stukje gratis software of grote botnetten, helpt derden tegen een kleine provisie bij het verspreiden van hun software.

Imagoschade voor ransomware

Al met al heeft de ransomware-scene bewust eraan gewerkt dat je na het betalen van losgeld een realistische kans hebt om weer bij je bestanden te kunnen. De Jigsaw-gang bood bij problemen zelfs een chatoptie met support. Het levert uiteindelijk geld op.

Ook al doen allerlei instanties hun best om je voor de risico’s te waarschuwen, toch geven bedrijven en overheden vaak toe aan de gijzeling van hun data en betalen ze het losgeld. Symantec geeft aan dat in de Verenigde Staten ongeveer 64 procent van de getroffen slachtoffers de fee betalen. De kans is groot dat bedrijven betalen om zo snel mogelijk weer bij hun data te kunnen.

Deze bereidheid om te betalen valt of staat bij de kans om je data terug te krijgen. Maar het beeld dat je na betaling je data weer terugkrijgt vertoont wat scheurtjes. In cijfers over 2017 van Kaspersky kreeg 1 op de 6 bedrijven ondanks betalen niet hun data terug. Er komen steeds meer gevallen waarbij de gebruikte software niet eens de technische vereisten aan boord heeft om data te herstellen. Malware-experts hebben daar de term wiper voor, omdat de malware de data zo goed als wist. De tot nu toe meest opvallende wiper is NotPetya/Petya/Netya, of welke naam de maker er ook aan geeft. Deze overschrijft de bootsector zonder dat je deze weer kunt herstellen en doet niet eens moeite om duidelijke ID’s voor de slachtoffers aan te maken. Zelfs als je zou willen kunnen de criminelen geen key verstrekken om na ontsleutelen weer bij alle data te kunnen.

Volgens de huidige stand van zaken heeft geen enkel NotPetya- slachtoffer zijn data teruggekregen. Bij NotPetya gaat het waarschijnlijk om een campagne met een specifieke politieke agenda, waarbij de ransomware slechts een klein onderdeel van het geheel is. Maar hierdoor zijn er steeds meer cybercriminelen die vooral voor de snelle bitcoin gaan, aldus Unterbrink. Ze hebben geen zin in het gedoe met keys, halen snel geld binnen en duiken dan weer onder. Dat ze zo het imago van de branche beschadigen en daardoor op een gegeven moment slachtoffers niet meer bereid zijn om te betalen, maakt ze niks uit.

Het is lastig om een prijskaartje te hangen aan de schade door ransomware. Het is duidelijk dat het voor cybercriminelen een zeer lucratieve werkwijze is waarmee miljoenen zijn gemoeid. Voor de slachtoffers ligt de schade door ransomware op een veelvoud van dat bedrag. De schade kan voor een bedrijf waarbij de verzending of productie wordt vertraagd zomaar oplopen tot 35 miljoen en dat bedrag zie je ook bij andere bedrijven terug. Alleen al WannaCry en NotPetya veroorzaken schade die oploopt tot in de miljarden.

Alles samengevat is het duidelijk dat ransomware de meest geliefde malware is bij cybercriminelen. De focus van de aanvallen is wat verschoven richting bedrijven, aangezien die met het oog op de schade die ze oplopen meer bereid zijn te betalen dan consumenten. Bij bedrijven kun je het losgeld opschroeven tot een bedrag van 1000 euro of meer. Voor bedrijven is ransomware de grootste bedreiging voor hun data geworden. Maar ook voor eindgebruikers is het niet veilig: de makers van Locky, Cerber e.d. weten je dit jaar ook weer te vinden.

Wat is wijsheid?

Ben je besmet met ransomware, ga dan niet direct over tot betalen. Kijk wat je in beeld krijgt en probeer meer over de malware te vinden. Diensten als ID ransomware helpen je om het type ransomware te identificeren. Als je het niet zeker weet, vraag dan een specialist om advies. Online kun je ook veel tips vinden, zoals deze 5 tips om ransomware te voorkomen van securitybedrijf Kaspersky.

Als het gaat om een wiper, is je data kansloos: geld uitgeven is zonde, want ook na betalen krijg je je data niet terug. Bij een aantal ransomware-trojans is de versleuteling gekraakt en is je data zonder te betalen terug te halen. De makers van Crysis hebben ook al meerdere masterkeys vrijgegeven. Waarom ze dat hebben gedaan is onbekend. Misschien ging het er alleen om om hun klanten een betaalde update van gehuurde software op te dringen.

Ook in dit soort situaties geldt: zorg dat je regelmatig back-ups maakt. Back-ups kunnen je een hoop tijd en ellende besparen. Als je de moeite niet neemt om een back-up van bepaalde bestanden te maken, hebben die bestanden blijkbaar geen waarde. Dan kun je net zo goed meteen compleet opnieuw installeren. De cybercriminelen hun geld gunnen is echt de allerlaatste optie die je moet overwegen.

Marco den TeulingHad als eerste eigen computer ooit een 16-bit systeem, waar van de 48 kilobyte toch echt niet ‘genoeg voor iedereen’ was. Sleutelt graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen. Vindt ‘Software as a Service’ een onbedoeld ironische naamgeving.

Zijn bedrijven klaar voor de EU NIS2-richtlijn?

Nu de lat voor cybersecurity steeds hoger komt te liggen, is de enquête van SANS Institute een cruciaal controlepunt voor organisaties om hun verdedig...

partnerblogs

15/04/2024

Dit zijn de voordelen van een oledscherm in laptops

De populariteit van OLED-schermen neemt toe, en dit heeft duidelijke redenen. Deze relatief nieuwe schermtechniek functioneert op basis van een princi...

partnerblogs•ASUS laptops

10/04/2024

Softlink

0 Praat mee

Abonneer

Cookie	Looptijd	Omschrijving
AnalyticsSyncHistory	1 month	No description
bc_view	1 year	No description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-socialmedia	1 year	No description
cxexp	30 minutes	No description available.
cxid	session	No description available.
iutk	5 months 27 days	This cookie is used by Issuu analytic system. The cookies is used to gather information regarding visitor activity on Issuu products.
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
li_gc	2 years	No description
li_sugr	3 months	No description available.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
ROUTEID	session	This cookie is used for directing the users to the same server.
SERVERID	past	This cookie is used to assign the user to a specific server, thus to provide a improved and faster server time. It remembers which server had delivered the last page on to the browser. It also helps in load balancing.
SessionID	session	No description
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-1134343-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Looptijd	Omschrijving
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
GoogleAdServingTest	session	No description
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
uuid	session	To optimize ad relevance by collecting visitor data from multiple websites such as what pages have been loaded.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.

Cookie	Looptijd	Omschrijving
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
CONSENT	16 years 2 months 19 days 17 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

Ransomware: nieuwe technieken en tips

Inhoudsopgave

Afpersen en spioneren

Pay per install

Imagoschade voor ransomware

Wat is wijsheid?

Lees ook

Zijn bedrijven klaar voor de EU NIS2-richtlijn?

Dit zijn de voordelen van een oledscherm in laptops

Lees ook

Softlink

Blijf op de hoogte!

Ransomware: nieuwe technieken en tips

Inhoudsopgave

Afpersen en spioneren

Pay per install

Imagoschade voor ransomware

Wat is wijsheid?

Meer over

Deel dit artikel

Lees ook

Zijn bedrijven klaar voor de EU NIS2-richtlijn?

Dit zijn de voordelen van een oledscherm in laptops

Lees ook

Softlink

Blijf op de hoogte!