WannaCry, NotPetya, Cryptolocker en Teslacrypt. Zo maar vier namen van Ransomware varianten die de afgelopen jaren veel schade hebben aangericht door het gijzelen van bestanden en desktops. Zo betaalde een Amerikaans ziekenhuis onlangs ruim 15.000 dollar om weer aan het werk te kunnen. Maar hoe werkt ransomware precies? En, belangrijker, hoe kun je je wapenen?

Losgeld

Ransomware is al jaren een van de meest succesvolle vormen van cybercriminaliteit. Letterlijk betekent ransomware het vrijlaten tegen betaling van losgeld; oftewel gijzeling. In veel gijzelen cybercriminelen met behulp van malware bestanden op je pc. Ze versleutelen deze bestanden en geven ze pas weer vrij als je ervoor betaalt.

Daarnaast komt het ook voor dat cybercriminelen je desktop gijzelen. In dat geval is je pc volledig uitgeschakeld tot je een bedrag betaalt. De meeste ransomware varianten vragen om met bitcoins te betalen en bieden meteen een kans om deze in te kopen.

Als je weleens bent getroffen herken je vast en zeker het scherm dat na een ransomware aanval verschijnt, met een logo van de Politie, Interpol, Europol of een andere veiligheidsinstantie. Hierin staat dat je je schuldig hebt gemaakt aan een misdrijf en spoedig moet betalen. Het bericht is natuurlijk niet afkomstig van de politie, maar van cybercriminelen en het is nog maar de vraag of je na betaling weer kunt beschikken over je bestanden of desktop.

politie-nederland-ransomware-virus
Figuur 1. Ransomware in Nederland (www.pcrisk.nl).

 

Hoe werkt ransomware precies?

Een ransomware aanval begint altijd met een malifide email (phishing) of een besmette advertentie (malvertising). Deze phishing mails zijn allemaal verstuurd door zogenaamde Botnets. Dit zijn zelfstandig opererende softwarerobots, geïnstalleerd op de pc van waaruit deze emails of andere vormen van spam automatisch worden verstuurd.

Nadat een gebruiker al dan niet perongeluk heeft geklikt op één van deze besmette links, verspreidt zich een Exploit kit op je pc. Exploit kits zijn geautomatiseerde toolkits speciaal ontworpen om de webbrowser van een potentieel slachtoffer te doorgronden, op zoek naar een zwakke plek. Exploit kits buiten deze zwakke plek vervolgens uit door een malifide payload naar de pc te sturen.

Exploit kits zitten vaak gewoon verstopt achter legitieme websites of ze kopen advertentieruimte in. De meest bekende Exploit kit is Angler (in 2015 door Cisco uitgeschakeld), met bijna 800.000 slachtoffers. Slachtoffers die zich nietsvermoedend met één klik in de nesten hebben gewerkt.

Schermafbeelding 2016-07-29 om 16.34.20
Figuur 2. De grote toename aan ransomware varianten door de jaren heen.

Encryptie en decryptie

De malafide payload die door een exploit kit naar pc’s worden verstuurd wordt, versleutelen bestanden of zelfs je hele desktop. Deze versleuteling noemen we ook wel encryptie. Om weer toegang te krijgen tot deze bestanden (decryptie) heb je een ‘sleutel’ nodig. Deze sleutel bestaat uit een public en private key.

De public key is voor iedereen zichtbaar. De private key, waarmee je de bestanden kunt ontcijferen, is echter alleen in handen van cybercrimenelen. En zij beloven deze private key alleen prijs te geven als je eerst een bepaald bedrag losgeld (meestal in de vorm van bitcoins) overmaakt.

TeslaCrypt

Ransomware variant TeslaCrypt (versie 3.0.1; eind 2015) was de eerste die erin slaagde min of meer onkraakbaar te worden. Cisco’s beveiligingsintelligentie team Talos beschrijft in een blog op een technische manier hoe TeslaCrypt 3.0.1 gebruik maakt van een sterk verbeterde encryptie-methode. Uiteindelijk gaf TeslaCrypt zelf de private key vrij, waarmee alle gegijzelde bestanden konden worden teruggehaald. Waarom ze dat hebben gedaan is nog steeds niet duidelijk. Waarschijnlijk vonden de cybercriminelen achter TeslaCrypt dat er genoeg slachtoffers waren gevallen.

Cisco-infographic_Ransomware-1
Figuur 3. IT managers zien ransomware als een zeer serieuze bedreiging (cijfers: Webroot).

Wees alert en maak back-ups!

Hoe groter en succesvoller cybercriminelen Ransomware activiteiten kunnen ontplooien, hoe groter ook de kans dat jouw pc wordt gegijzeld. Om jouw pc en bedrijfsdata zo goed mogelijk te beschermen, is het belangrijk dat je je bewust bent van het feit dat een ransomware aanval ook jou kan besmetten.

Wees dus alert en laat je personeel een security awareness training volgen. Daarnaast kun je zelf de volgende belangrijke voorzorgsmaatregelen treffen:

  • Regelmatig (offline) back-ups maken.
  • Firewall aanzetten op endpoints.
  • Regelmatig je software updates uitvoeren.
  • Raad je medewerkers ten strengste af om dataverkeer op een openbaar wifi netwerk te genereren.
  • Gebruik Windows System Restore om je systeem terug te zetten in known-clean status als je bent geïnfecteerd met Ransomware.
  • Ransomware arriveert vaak op je pc in een .EXE Zet een .EXE-filter aan in je mailbox en zorg dat je verborgen file-extenties altijd zichtbaar zijn.

Geïntegreerde Security Aanpak

Behalve deze voorzorgsmaatregelen biedt een geïntegreerde security aanpak van Cisco uitkomst. Cisco is erin geslaagd om veel vormen van ransomware een halt toe te roepen met een effectieve combinatie van een Next-Generation Firewall, OpenDNS Umbrella, Advanced Malware Protection for Endpoints (AMP) en Cognitive Threat Analytics (CTA, zie figuur 3).

Met name de combinatie van Cisco’s OpenDNS Umbrella en AMP for Endpoints is belangrijke ontdekking. Veel ransomware vertrouwt namelijk op DNS voor de encryptie van bestanden. Dankzij AMP voor endpoints heb je controle vóór, tijdens en na een ransomware aanval.

Figuur 4. Cisco beschermt je data door bescherming te bieden in elk stadium van een ransomware aanval.

Wel of niet betalen?

In de praktijk is gebleken dat cybercriminelen in veel gevallen de gestolen data gewoon vrijgeven na betaling. Dit komt omdat ransomware voor cybercriminelen ook een vorm van ‘business’ is en ze gebaat zijn bij een zekere vorm van betrouwbaarheid en een ‘goed’ imago. Dit zorgt er nu eenmaal voor dat slachtoffers sneller tot betaling van de payload overgaan. Ze weten immers dat ze dan een kans hebben de data terug te krijgen.

En dat is meteen het lastige. Van alle hoeken word je aanbevolen niet in te gaan op de betalingsregeling. Maar wat zijn die bestanden voor jou waard? Met de nodige security awareness, de juiste voorzorgsmaatregelen en een geïntegreerde security aanpak van Cisco hoef je die lastige keuze niet te maken.