Een back-up is geen wondermiddel als afpersers gestolen gegevens publiceren

Makers van ransomware lijken een nieuwe trend te volgen, namelijk het publiceren van gegevens van bedrijven die weigeren te betalen.

Een back-up van uw gegevens maken is tot dusverre een van de meest effectieve maar tevens arbeidsintensieve beschermingsmaatregelen tegen ransomware geweest. Maar nu lijken de boosdoeners iets te hebben gevonden op mensen die op back-ups vertrouwen. De makers van verschillende ransomware-programma’s besloten nadat slachtoffers weigerden om het losgeld op te hoesten om hun gegevens online te publiceren.

Publicatie van gegevens wordt werkelijkheid

Dreigementen om vertrouwelijke informatie openbaar te maken zijn niets nieuws. In 2016 probeerde de groep die achter de cryptoware zat die de spoorwegsystemen van San Francisco infecteerde dit al eens. Maar zij zetten hun dreigement uiteindelijk niet door.

Maze was de eerste

In tegenstelling tot zijn voorgangers maakte de groep achter de Maze-ransomware hun dreigementen in eind 2019 wel waar, en meer dan eens. Toen Allied Universal in november weigerde te betalen, lekten de criminelen 700 MB aan gegevens online, inclusief contracten, beëindigingsovereenkomsten, digitale certificaten en meer. De afpersers zeiden dat ze maar 10% van wat ze hadden gestolen hadden gepubliceerd, en dreigden ook de rest openbaar te maken als hun doelwit niet zou meewerken.

In december zetten de criminelen van Maze een website op en gebruikten ze deze om de namen van bedrijven te publiceren die slachtoffer van ze waren geworden, met de data van de infecties, de hoeveelheid gestolen gegevens en de IP-adressen en namen van geïnfecteerde servers. Ook uploadden ze een aantal documenten. Tegen het einde van die maand verscheen er 2 GB aan gegevens online, ogenschijnlijk gestolen van de stad Pensacola, Florida. De afpersers zeiden dat ze de informatie hadden gepubliceerd om te bewijzen dat ze niet bluften.

In januari uploadden de makers van Maze 9,5 GB aan gegevens van de Medical Diagnostic Laboratories en 14,1 GB aan documenten van de kabelmaker Southwire, die de afpersers al eerder hadden aangeklaagd voor het lekken van vertrouwelijke informatie. De rechtszaak zorgde ervoor dat de Maze-website offline werd gehaald, maar dat zal niet blijven duren.

Toen kwamen Sodinokibi, Nemty, BitPyLock

Er volgende andere cybercriminelen. De groep achter de ransomware Sodinokibi, die werd gebruikt om het internationale financiële bedrijf Travelex op oudejaarsavond aan te vallen, bracht begin januari hun intentie naar buiten van het publiceren van gegevens van klanten van het bedrijf. De cybercriminelen zeggen dat ze meer dan 5 GB aan informatie bezitten, inclusief geboortedata, burgerservicenummers en bankkaartgegevens.

Travelex zegt dat ze geen bewijs van een lek hebben gezien en dat ze weigeren te betalen. De aanvallers stellen ondertussen dat het bedrijf heeft ingestemd met onderhandelingen.

Op 11 januari uploadde dezelfde groep links naar zo’n 337 MB aan gegevens op een forum voor hackers, waarbij werd vermeld dat de gegevens toebehoorden aan het rekruteringsbedrijf Artech Information Systems, die hadden geweigerd het losgeld te betalen. De cybercriminelen zeiden dat de geüploade gegevens maar een fractie van alles wat ze gestolen hadden vormden. Ze beweerden dat ze de rest wilden verkopen in plaats van zomaar publiceren, tenzij de slachtoffers zouden betalen.

De makers van Nemty-malware waren de volgende die plannen aankondigden om de vertrouwelijke gegevens van wanbetalers te publiceren. Ze zeiden dat ze van plan waren om een blog te maken om daar beetje bij beetje de interne documenten van slachtoffers te publiceren die niet aan hun eisen voldeden.

Ook de makers van de BitPyLock-ransomware volgden de trend door aan hun losgeldbriefje de belofte toe te voegen dat ze de vertrouwelijke gegevens van hun slachtoffers openbaar zouden maken. Hoewel ze dat nog niet hebben gedaan, kan het goed zijn dat ook BitPyLock gegevens steelt.

Niet zomaar ransomware

Geavanceerde features die aan ransomware-programma’s worden toegevoegd zijn niets nieuws. In 2016 was het bijvoorbeeld een versie van de Shade Trojan die Remote Administration Tools installeerde in plaats van het versleutelen van de bestanden toen duidelijk werd dat er een accountingmachine was geraakt. CryptXXX versleutelde bestanden én stal Bitcoins en inloggegevens van slachtoffers. De groep achter RAA rustte een aantal exemplaren van de malware uit met de Pony Trojan, die ook inloggegevens stal.  Het vermogen van ransomware om gegevens te stelen zou niemand mogen verbazen, zeker niet nu bedrijven zich steeds beter bewust worden van de noodzaak om een back-up van hun gegevens te maken.

Het is verontrustend dat back-ups geen bescherming meer lijken te bieden tegen dit soort aanvallen. Als u geïnfecteerd bent, is er geen manier meer om verlies te voorkomen, wat niet meer per se beperkt is tot het betalen van losgeld, want afpersers bieden geen garanties. De enige manier om uzelf te beschermen is door te voorkomen dat er malware op uw systemen terecht komt.

Hoe beschermt u zichzelf tegen ransomware?

Of deze nieuwe ransomware-trend nu effectief blijkt te zijn of niet moeten we nog zien. Dit soort aanvallen begint pas net populair te worden, dus u moet beschermd blijven. Dat betekent meer dan het voorkomen van reputatieschade en de publicatie van bedrijfsgeheimen, want als de persoonlijke gegevens van uw klanten worden gestolen, kan dit tot hoge boetes leiden. Dus hier is wat advies:

  • Verbeter het bewustzijn wat betreft informatiebeveiliging. Hoe beter geïnformeerd uw personeel is, hoe kleiner de kans dat phishing en andere social engineering-technieken bij ze kunnen slagen. We beschikken over een trainingsplatform, Kaspersky Automated Security Awareness Platform, dat is ontworpen voor werknemers met verschillende maten van werkdruk, interesses en toegangsniveaus tot vertrouwelijke informatie.
  • Update uw besturingssystemen en software op tijd, zeker als er iets is ontdekt dat kwetsbaarheden bevat die ervoor zorgen dat ongeautoriseerde toegang tot het systeem of controle daarvan mogelijk is.
  • Gebruik een gespecialiseerd beschermingssysteem dat gericht is op het bestrijden van ransomware. U kunt bijvoorbeeld onze Kaspersky Anti-Ransomware Tool gratis downloaden.
Tips