Help, je computer gegijzeld! Over ransomware & hoe je besmetting voorkomt
Ransomware is niet iets van de laatste jaren, maar het neemt wel in frequentie toe. In dit artikel kijken we naar ransomware, hoe je het voorkomt en, opvallend genoeg, naar het businessmodel van de georganiseerde misdaad dat erachter zit.
Wat is ransomware?
Ransomware is een type malware dat systemen en/of informatie daarop blokkeert en alleen tegen betaling van losgeld toegankelijk maakt. Alleen als je betaalt, kun je de encryptie terugdraaien. Maar de kans is groot dat je in de toekomst opnieuw besmet raakt, omdat je bekend staat als een ‘gewillig slachtoffer’.
In het Cybersecuritybeeld 2016 van de Rijksoverheid vinden we deze paragraaf over cybercrime:
“Dat cybercrime-as-a-service steeds professioneler en klantvriendelijker wordt, is de afgelopen periode nogmaals duidelijk geworden door het verschijnen van verschillende soorten ransomware-as-a-service, instructievideo’s voor malware op YouTube en code voor ransomware op GitHub. Dit draagt bij aan het gebruikersgemak waarmee criminelen zonder specifieke kennis en vaardigheden malware en ransomware kunnen inzetten tegen hun slachtoffers”.
Hoe kom je aan ransomware?
Ransomware krijg je eigenlijk op dezelfde manier als andere vormen van besmetting, zoals virussen. Het klikken op een verkeerde link, op een website of in een e-mail kan al genoeg zijn voor een besmetting. Naast een brede, spam-achtige verspreiding, worden volgens de overheid ook gerichte acties ondernomen om bedrijven in schakelposities aan te vallen. Ook het infecteren van legitieme websites of software-distributeurs is een gebruikte strategie.
In de periode van januari 2015 tot en met april 2016 zijn in Nederland zo’n 124 besmettingen gemeld, met diverse soorten ransomware.
Een business op zich
Hoewel het gek klinkt, is ransomware volgens Pieter Lacroix (van antivirus- en beveiligingsfirma Sophos) een ‘echte’ business. Het businessmodel werkt alleen als de omstandigheden goed zijn:
- Er moet een besmetting zijn die pijn doet. Het verlies moet zo groot zijn, dat de getroffene er geld voor over heeft.
- Het bedrag dat wordt gevraagd, moet niet te klein zijn (anders wordt er niets verdiend), maar ook niet te groot (voor een consument ligt de sweetspot op enkele honderden euro’s.
- De remedie moet werken, dat wil zeggen dat de data weer ontsleuteld moet kunnen worden.
De prijzen zijn trouwens dynamisch. Wanneer een financieel draagkrachtige organisatie besmet raakt, kunnen de prijzen stijgen tot tienduizenden euro’s (of dollars). Een Amerikaans politiekantoor raakte zo ongeveer $70.000 kwijt.
Opvallend in dit screenshot: als je een bepaalde link doorstuurt naar andere mensen en twee of meer mensen installeren het, dan worden jouw files gedecrypt! Of dit ook echt wordt gedaan, is natuurlijk nog de vraag.
Sommige ‘leveranciers’ van ransomware werken met helpdesks die je kunt benaderen via de telefoon en betaalmechanismes met bijvoorbeeld bitcoins. Want ja, het is natuurlijk niet legaal. Waarom worden de ransomware-makers dan niet gearresteerd? Omdat ze vanuit andere, vaak niet-Europese landen, opereren. Handhaving is daar vaak geen prioriteit en samenwerking met politie en opsporingsdiensten lastig.
Hoe werkt de besmetting?
Het proces van ransomware zorgt ervoor dat alle data-bestanden op de harddisk, en eventuele andere drives die zijn gekoppeld, worden versleuteld. Het is moeilijk om het proces te stoppen. Een herstart gaat naar de gewijzigde bootprocedure, die vervolgens doorgaat met het versleutelen van de drive(s). Het is van belang dat er wel een mogelijkheid moet zijn om het een en ander te herstellen (dat is het businessmodel). Het eenvoudigweg onbruikbaar maken van de pc is niet het doel.
Besmettingen met ransomware komen het meest voor op Windows, als meestgebruikte systeem.
Hoe voorkom je ransomware?
Om deze vraag te beantwoorden moeten we twee situaties onderscheiden:
- Het voorkomen van een besmetting
- Het minimaliseren van de impact
Het voorkomen van een besmetting is eigenlijk alleen mogelijk met geavanceerde software die processen monitort (bijvoorbeeld een proces dat data versleutelt, wijzigingen in boot records, etc.). Sophos, Cylance, Sentinel One, of Palo Alto hebben bijvoorbeeld oplossingen die de versleuteling van bestanden kan stoppen en automatisch de bestanden terugzet. Het concept werkt zoals beschreven op hoofdlijnen: monitoren van processen, ingrijpen bij anomalies en het terugzetten van besmette bestanden. Zelfs met deze maatregelen is het niet mogelijk om een ransomware-besmetting (zeker gebruikmakend van nieuwe, geavanceerde, methoden) altijd te voorkomen.
In veel gevallen wordt echter een besmetting gestopt. En zonder dat de gebruiker het merkt, worden de besmette bestanden teruggezet. Hiervoor is het natuurlijk wel nodig om extra software te installeren die alles in de gaten houdt op de werkplekken of de servers. Voor wie dat te veel werk is, of het te veel kost, is er een alternatief: zorg dat een besmetting een minimale impact heeft.
Minimaliseer de impact van ransomware
Dit is makkelijker gezegd dan gedaan. Het vereist een zekere mate van discipline. Het minimaliseren van de impact van ransomware vereist namelijk de volgende stappen:
- Het maken van een baseline van het besturingssysteem
- Het maken van zeer regelmatige back-ups op een niet doorlopend aan de pc of netwerk gekoppelde opslag (idealiter near realtime)
Bij een niet-realtime back-up is het verlies van data gelijk aan de hoeveelheid werk die is gedaan tussen de laatste back-up en de tijd van de besmetting. Noot: hierbij ga ik uit van een volledige besmetting van de pc die ook niet te stoppen is.
Dit komt ook omdat de ransomware steeds geavanceerder wordt. Je bent geen sukkel als je aan ransomware ten prooi valt. De sites en e-mails zijn bijna niet van echt te onderscheiden. In zekere zin is een besmetting een kwestie van pech in plaats van risicovol gedrag (hoewel je nooit op links moet klikken die je niet vertrouwt of verwacht).
Ransomware is een serieuze bedreiging
Ransomware is een serieuze bedreiging voor organisaties en particulieren. Er zijn voor bedrijven oplossingen in de vorm van beveiliging. Voor particulieren is er op dit moment geen echte oplossing voor ransomware, behalve het maken van back-ups en het bewaren op een aparte, niet aan de pc-verbonden locatie.
Mocht je toch door ransomware besmet raken, dan is de keuze aan jou: betalen of je verlies nemen. Dat verlies is minimaal in tijd uit te rekenen (het herstellen van het operating system en software op je pc). Erger is het wanneer je documenten kwijt bent of, het ergste, onvervangbare foto’s. Maak daarom altijd een back-up, idealiter offline en bewaar belangrijke zaken op meerdere plaatsen. Maak een usb-drive met foto’s en bewaar deze ergens in huis, of bijvoorbeeld bij vrienden. Gewoon vanuit risicospreiding.
Screenshots van ransomware met dank aan Sophos. Afbeelding inleiding met dank aan 123RF.