De vraag is wie moet wat weten over ransomware en wiping? Beide misdrijven zijn verwant, maar zijn duidelijk verschillend qua doelstelling. Het doel van kennis te nemen van deze types van misdrijven is dat men zich ertegen kan wapenen.
Wat men moet weten over ransomware speelt zich af op de volgende drie niveaus: Die zaken die iedereen moet weten.Die zaken die besluitvormers en de board moeten weten.Die zaken die de CISO en de CRO moeten weten. | In deze bijdrage geef ik mijn eigen mening, niet die van enige organisatie |
Ransomware en Wiping, in het kort.
Ransomware is een soort malware die is ontworpen om de toegang tot een computersysteem of bestanden te blokkeren totdat het slachtoffer een losgeld (ransom) betaalt, vaak in cryptocurrency. Wiping (wissen) verwijst meestal naar het volledig verwijderen van gegevens van een digitaal opslagapparaat.
Inhoud
- Ransomware en Wiping, in het kort.
- Wat is ransomware? Wat is het verschil met wiping?
- Wat zijn KRI’s voor Ransomware?
- Wat moeten beslissingnemers weten over ransomware?
- Wie zit er achter ransomware-aanvallen? En wie achter Wiping-aanvallen?
- Waarom is ransomware zo geliefd bij cybercriminelen?
- Ten slotte: wat kun je preventief doen tegen ransomware en wiping?
Wat is ransomware? Wat is het verschil met wiping?
Ransomware werkt meestal door bestanden te versleutelen, ze daarmee ontoegankelijk te maken. Het slachtoffer wordt zo gedwongen een decoderingssleutel te ‘kopen’. Ransomware kan op verschillende manieren worden afgeleverd:
- Dit kan door besmette e-mails met een bijlage of link met ransomware.
- Het kan via onveilige websites waar de criminelen de ransomware automatisch op uw computer downloaden.
- Het kan ook door geïnfecteerde software die u downloadt van een onbetrouwbare bron.
- Tenslotte kan het door het misbruiken van kwetsbaarheden in software of besturingssystemen.
Bij Wissen (Wiping) kan men de data niet meer herstellen met standaard bestandsherstelmethoden. Dit proces wordt vaak gebruikt in gegevensbeveiligingspraktijken, zoals bij het buiten gebruik stellen van oude computers of mobiele apparaten. Het doel is dan om datalekken te voorkomen. Maar het kan ook misdadig zijn. Het doel is dan niets anders dan schade berokkenen. Om welke reden dan ook.
In beide gevallen resulteert de aanval normaal in financieel verlies, datalekken en operationele verstoringen.
Wat is het verschil?
Het verschil tussen ransomware en wissen is: ransomware is bedoeld om losgeld te eisen. Men kan de bestanden misschien herstellen als men de decryptiesleutel ‘koopt’. Of men kan een back-up terugplaatsen. Wissen is bedoeld om gegevens te vernietigen. Gewiste bestanden kunnen enkel ten dele worden hersteld door een goede back-up. Een “Wisser” eist geen losgeld.
Een zeer bekend voorbeeld van ransomware is WannaCry.
Dit was een beruchte ransomware-aanval die plaatsvond in mei 2017. Het trof honderdduizenden computers over de hele wereld, inclusief systemen in ziekenhuizen, overheidsinstellingen en bedrijven. Volgens Datanews was de exploit die Wannacry gebruikte, Eternalblue SMB, een van de tools die in april 2017 gelekt was door hackinggroep TheShadowBrokers. Die maakten ze dan weer buit bij de Amerikaanse inlichtingendienst NSA.
Een zeer recent voorbeeld van ransomware is Sodinokibi (ook bekend als REvil).
Avast Business schrijft hierover: “Sodinokibi (ook wel REvil of Ransomware Evil genoemd) stak voor het eerst in 2019 de kop op en is – vermoedelijk in Rusland – ontwikkeld als een private RaaS-actie (Ransomware-as-a-Service). Al meteen werd de enorme reikwijdte en efficiëntie van Sodinokibi duidelijk, aangezien het al in de eerste vier maanden van zijn bestaan het op drie na meest voorkomende type ransomware was.”
Wat zijn KRI’s voor Ransomware?
Voorbeelden van KRI’s, volgens PWC, om het risico van ransomware te bewaken, zijn bijvoorbeeld
- het aantal, de frequentie en ernst van phishing-voorvallen,
- het aantal openstaande kritieke punten,
- e-mailbeveiligingsproblemen of
- gelekte inloggegevens.
Andere indicatoren van verdacht gedrag dat wijst naar ransomware worden gegeven in het artikel “What Decision-Makers Need to Know About Ransomware Risk: Data Science Applied to Ransomware Ecosystem Analysis” van Vladimir Kropotov, Bakuei Matsukawa, Robert McArdle, Fyodor Yarochkin, Shingo Matsugaya (Trend Micro), Erin Burns, Eireann Leverett (Waratah Analytics):
“Gedrag dat lijkt op dat van ransomware kan worden onderworpen aan profilering en worden ingezet als waarschuwingsregels om verdedigers te laten weten wanneer dergelijk gedrag wordt gedetecteerd in het netwerk van een organisatie. Hieronder volgen enkele mogelijke indicatoren van dergelijk gedrag:
- Het maken van profielen van versleutelingspatronen, algoritmen en sleutellengtes die als normaal worden beschouwd op het netwerk van de verdediger. Eventuele uitschieters kunnen worden verdacht als indicatoren van ransomware.
- Detecteren van gedeeltelijke versleuteling van bestanden. Dit wordt gebruikt door verschillende ransomware-families, waaronder LockBit en BlackCat, als onderdeel van hun snelheidsoptimalisatieproces. Voor de overgrote meerderheid van de bedrijven heeft dit bijna geen legitieme use case buiten deze context.
- Detecteren van een lees-schrijfverhouding van 50/50 wanneer bestanden op de host worden versleuteld. Dit kan een afwijking zijn van het normale gedrag van de host, behalve waarschijnlijk in sommige lokale back-upscenario’s.
- Het maken van interhost-connectiviteitsprofielen die kunnen worden getraceerd op tijd van de dag en dag van de week. Hosts die specifieke rollen in een organisatie hebben, moeten specifieke communicatie peers, timings, verbindingen en volume van de overgedragen gegevens hebben. Verdedigers kunnen worden gewaarschuwd voor afwijkingen buiten deze profielen.”
Wat moeten beslissingnemers weten over ransomware?
Besluitvormers moeten een aantal zaken begrijpen over ransomware om hun organisatie hiertegen effectief tegen te kunnen beschermen en er op te reageren:
- Hoe ransomware werkt: Het is cruciaal te weten dat het bestanden op een computer versleutelt en de dader vervolgens losgeld eist om de versleuteling terug te keren.
- Hoe het zich verspreidt via o.a. e-mailbijlagen, kwaadaardige websites of andere kwetsbaarheden in systemen.
- Wat de potentiële impact is: het verlies van gegevens, financiële verliezen, operationele stilstand en reputatieschade.
- Dat preventieve maatregelen mogelijk zijn: zoals regelmatige software-updates, het gebruik van antivirusprogramma’s en firewalls, het opleiden van medewerkers over phishing en het regelmatig maken van back-ups van gegevens en het oefenen daarmee.
- Dat een responsplan voor ransomware-aanvallen nodig is: met o.a. het isoleren van geïnfecteerde systemen, het melden van het incident aan de autoriteiten en het forensische analyseren van het gebeuren om de ernst van de situatie te bepalen.
- Het bestaan van juridische en nalevingskwesties: er zijn juridische implicaties, waaronder mogelijke verplichtingen om gegevenslekken te melden en de vereisten van de GDPR indien privacy geschonden kan zijn voorafgaand aan de versleuteling.
- Dat betaling van losgeld slechts soms een optie is: het wordt vaak afgeraden omdat het geen garantie biedt op (volledig) herstel.
- Dat Samenwerking en informatie-uitwisseling over de aanval met andere organisaties in dezelfde en andere sectoren en met overheidsinstanties draagt bij aan een beter begrip ervan en aan inspanningen om meer schade te voorkomen.
In het besprekende artikel op Trend Micro over dat van Vladimir Kropotov, Bakuei Matsukawa, Robert McArdle, Fyodor Yarochkin, Shingo Matsugaya (Trend Micro), Erin Burns, Eireann Leverett (Waratah Analytics), vindt men ook:
- Slachtoffers die betalen, dekken de operationele kosten van aanvallen op degenen die dat niet doen.
- Het risico op ransomware varieert per regio, branche en organisatiegrootte.
- De meeste slachtoffers van ransomware betalen niet, maar degenen die dat wel doen, betalen snel.
- Uitdagers mikken op topposities in de ransomware-arena.
- Ransomware-aanvallen beperken met een zero-trust-aanpak.
Wie zit er achter ransomware-aanvallen? En wie achter Wiping-aanvallen?
Wie zit er achter Ransomware aanvallen
Er bestaan meerdere profielen van misdadigers die deze aanvallen plegen:
- Cybercriminele groepen zijn georganiseerde groepen die ransomware verspreiden om financieel gewin te behalen.
- Individuele hackers kunnen hun eigen malware creëren of bestaande ransomware-kits gebruiken die online beschikbaar zijn op het dark web.
- Staatsgesteunde actoren voeren ransomware-aanvallen uit als onderdeel van sabotage of geopolitieke doeleinden. Dit is erg moeilijk om aan te tonen.
Wie zit er achter Wiping-aanvallen
Ook hiervan bestaan er meerdere profielen:
- Staatshackers voeren wiping-aanvallen uit als onderdeel van spionage, sabotage of cyberoorlogsvoering. Deze aanvallen zijn soms gericht op de vernietiging van data en infrastructuur van de vijand of dienen politieke of militaire doeleinden.
- Hacktivisten zijn individuen of groepen die hacken en cyberaanvallen uitvoeren als politiek protest of activisme. Ze kunnen ageren tegen bepaalde organisaties, overheden of beleid.
- Soms plegen interne actoren wiping-aanvallen om wraak te nemen op een organisatie.
Waarom is ransomware zo geliefd bij cybercriminelen?
Er zijn een aantal kritieke succesfactoren van ransomware die maken dat dit misdrijf steeds meer gebruikt wordt:
- Ransomware kan extreem winstgevend zijn. Het gebruik van cryptocurrency zoals Bitcoin maakt het betalen van losgeld bovendien relatief anoniem en moeilijk te traceren voor het gerecht.
- Er bestaan kant-en-klare ransomware kits beschikbaar op het dark web. Hierdoor zijn zelfs minder ervaren hackers in staat zijn om lucratieve ransomware-aanvallen uit te voeren.
- Er is een breed scala aan doelwitten. Vrijwel elk type doelwit is mogelijk, waaronder individuen, kleine bedrijven, grote bedrijven, overheidsinstanties en vitale infrastructuur.
- Het fenomeen beschikt over zeer effectieve distributiemethoden, waaronder phishing-e-mails, kwaadaardige websites, exploit kits en kwetsbaarheden in software. Dit betekent relatief weinig inspanning met veel resultaat.
- Het veroorzaakt angst en urgentie, vooral als bedrijfskritieke gegevens zijn versleuteld. Dit tot een impulsief betalen van het losgeld zonder alternatieve oplossingen te overwegen.
- De malware is moeilijk te detecteren en te verwijderen door het gebruik van geavanceerde versleutelingsalgoritmen. Dit verhoogt de kans dat slachtoffers betalen.
Ten slotte: wat kun je preventief doen tegen ransomware en wiping?
- Maak systematisch back-ups.
- Gebruik kwalitatieve antivirus- en anti-malwaresoftware.
- Let op met links die u opent en software en data die u downloadt. Doe dat alleen van betrouwbare bronnen.
- Installeer veiligheidspatches van uw software tegen de gekende kwetsbaarheden.
- Informeer werknemers over phishing-tactieken en moedig hun aan tot voorzichtig online gedrag.