Sinds de eerste verschijning ervan heeft ransomware een evolutionaire reis afgelegd: van af en toe opduikende tools die werden gecreëerd door afgezonderde enthousiasten tot een krachtige ondergrondse industrie die enorme opbrengsten voor de makers ervan oogst. Bovendien worden de kosten van het binnentreden van deze duistere wereld steeds lager.
Vandaag de dag hoeven potentiële cybercriminelen niet langer hun eigen malware te creëren of deze op het dark web te kopen. Ze hebben alleen nog maar toegang tot een RaaS-cloudplatform (Ransomware-as-a-Service) nodig. Dit soort diensten is eenvoudig in te zetten en men hoeft er niet voor te kunnen programmeren, waardoor iedereen zomaar ransomware-tools kan gebruiken. Dit heeft natuurlijk geleid tot meer incidenten.
Een andere zorgwekkende trend is de overstap van een simpel ransomware-model op gecombineerde aanvallen waarbij gegevens worden overgeheveld voordat ze worden versleuteld. In die gevallen heeft het niet betalen van losgeld tot gevolg dat de informatie niet vernietigd wordt, maar juist wordt gepubliceerd op openbare bronnen of zelfs verkocht op (gesloten) veilingen. Bij één zo’n veilig, die in de zomer van 2020 plaatsvond, werden er databases van landbouwbedrijven die met gebruik van REvil-ransomware waren gestolen te koop gezet tegen een startbedrag van $ 55,000.
Helaas voelden vele slachtoffers van ransomware zich gedwongen om te betalen, ondanks het feit dat ze wisten dat dat geen garantie bood op het terugkrijgen van hun gegevens. Dat komt omdat hackers zich vaak op bedrijven en organisaties richten die een lage tolerantie voor inactiviteit hebben. De schade die wordt veroorzaakt door het moeten stoppen van de productie kan bijvoorbeeld in de miljoenen euro’s per dag lopen, en een onderzoek naar het incident kan weken duren en ook dan bestaat er geen garantie dat alles weer soepel gaat lopen. En medische instellingen? In dringende situaties hebben bedrijfseigenaren vaak het gevoel dat er niets anders op zit dan betalen.
Afgelopen herfst kwam de FBI met een bericht wat betreft ransomware, en raadden ze op onmiskenbare wijze aan om hackers nooit geld te betalen. (Door te betalen worden er meer aanvallen aangemoedigd, en het biedt nooit garantie op het herstel van de versleutelde informatie).
Spraakmakende koppen
Hier volgen een aantal incidenten van de eerste helft van het jaar die wijzen op de groeiende ernst van het probleem.
In februari werd het Deense bedrijf voor facilitaire dienstverlening ISS slachtoffer van ransomware. Cybercriminelen versleutelden de database van het bedrijf, wat ertoe leidde dat er honderdduizenden werknemers in 60 landen geen verbinding konden maken met de bedrijfsdiensten. De Denen weigerden te betalen. Het herstellen van het grootste gedeelte van de infrastructuur en het uitvoeren van een onderzoek kostte ongeveer een maand, en de totale verliezen werden geschat op € 64 tot € 97 miljoen.
De Amerikaanse multinational en IT-serviceprovider Cognizant werd in de lente door ransomware getroffen. Op 18 april gaf het bedrijf officieel toe dat het slachtoffer was geworden van een aanval door de populaire Maze-ransomware. De klanten van het bedrijf gebruiken hun software en diensten om ondersteuning te bieden voor werknemers die thuiswerken, en hun activiteiten werden dus een halt toegeroepen.
In een verklaring die meteen na de aanval aan hun partners werd verzonden, vermeldde Cognizant Maze-specifieke server-IP-adressen en bestands-hashes (kepstl32.dll, memes.tmp, maze.dll) als indicators of compromise.
Het opnieuw opbouwen van een groot gedeelte van de zakelijke infrastructuur kostte drie weken, en Cognizat rapporteerde verliezen van €42 – € 60 miljoen in de financiële resultaten van het tweede kwartaal van 2020.
In februari kreeg Redcar and Cleveland Borough Council (V.K.) met een aanval te maken. De Britse krant The Guardian citeerde een bestuurslid dat zei dat de gemeente gedurende drie weken (de tijd die nodig was om de IT-infrastructuur die door duizenden lokale bewoners wordt gebruikt opnieuw op te bouwen) op “pen en papier” moest vertrouwen.
Hoe beschermt u zichzelf?
De beste strategie is om voorbereid te zijn. Rust e-maildiensten, die een potentiële gateway vormen voor ongeautoriseerde toegang, uit met spamfilters om uitvoerbare bijlages te blokkeren of in quarantaine te plaatsen.
Als een aanval ondanks die voorbereiding toch succesvol is, minimaliseer inactiviteit en potentiële schade dan door regelmatig actuele back-ups te maken van alle kritieke informatie. Sla uw back-ups in een veilige cloud op.
Gebruik behalve de hierboven beschreven producten voor digitale hygiëne ook gespecialiseerde oplossingen zoals de [KART placeholder]Kaspersky Anti-Ransomware Tool[/KART placeholder]. Met het gebruik van cloud- en gedragsanalyses voorkomt de Kaspersky Anti-Ransomware Tool dat ransomware systemen binnendringt door verdacht applicatiegedrag te detecteren, en voor systemen die al geïnfecteerd zijn, kan deze tool schadelijke handelingen terugdraaien.
Onze geïntegreerde oplossing Kaspersky Endpoint Security for Business biedt veel uitgebreidere bescherming tegen allerlei soorten dreigingen. Naast de functies van de Kaspersky Anti-Ransomware Tool, omvat Kaspersky Endpoint Security for Business een volledig aanbod aan web- en apparaatcontroles, de Adaptive Anomaly Control-tool, en aanbevelingen voor het configureren van beveiligingsmaatregelen om de oplossing te wapenen tegen zelfs de nieuwste soorten aanvallen, zoals bijvoorbeeld aanvallen die bestandsloze malware gebruiken.