Ransomware: wat is het en hoe moet je het bestrijden?
In het digitale tijdperk zijn we steeds afhankelijker geworden van technologie. Die technologische vooruitgang leidt tot nieuwe mogelijkheden voor mens en maatschappij, maar er is ook een keerzijde. Uit cijfers van securityonderzoeksbureaus blijkt dat het aantal wekelijkse aanvalspogingen die organisaties wekelijks te verduren krijgen al enkele jaren aan het toenemen is. Die pogingen zijn lang niet altijd succesvol, maar we moeten toch vaak berichtten over bedrijven die door een cyberaanval volledig lamgelegd zijn. Hoe meer ons dagelijkse professioneel en privéleven zich in een digitale omgeving afspeelt, hoe meer kansen cybercriminelen krijgen om hun slag te slaan.
Het zijn al lang niet alleen maar grote bedrijven die aanvallen te verduren krijgen. Een recente studie van Check Point Research toonde aan dat hackers van de pandemie gebruik maken om massaal ziekenhuizen en medische onderzoeksinstituten te bestoken Ze beseffen dat de medische sector onder zware druk staat en daardoor technische problemen kan missen als kiespijn. Ook lijken succesvolle hackersaanvallen steeds grotere en gevaarlijkere proporties aan te nemen. De aanval op SolarWinds eind vorig jaar wist wereldwijd organisaties te treffen, en zou mogelijk in opdracht van Rusland gebeurt zijn.
Cyberbedreigingen komen in verschillende vormen en maten. Van valse bankingmails tot het blokkeren van IT-systemen, het gevaar ligt altijd om de hoek. In dit achtergrondstuk focussen we ons op een veelgebruikte aanvalstechniek: ransomware.
Verschillende typen
Ransomware is eigenlijk een overkoepelende term voor verschillende aanvalsmethoden. Ongeacht de uitvoering is de bedoeling van hackers die deze techniek gebruiken altijd hetzelfde. Ze infecteren de computers van de slachtoffers met virussen zodat deze niet meer functioneel zijn. Het slachtoffer moet dan een dwangsom (‘ransom’) betalen om zijn systemen weer vrij te krijgen. Ransomware is dus een vorm van digitale chantage. Een voorbeeld van ransomware dat in ons land veel rondgaat is het ‘Ecopsvirus’, afgeleid van het eCops-platform van de federale politie. Dit virus neemt de computer over en toont een website waarop staat dat de systemen van het slachtoffer geblokkeerd zijn omdat die illegale activiteiten zou uitgevoerd hebben. Na het betalen van een ‘boete’ mogen ze hun systemen weer gebruiken.
Het Ecopsvirus is maar één van de vele manieren waarop ransomware kan worden uitgevoerd. We onderscheiden drie grote varianten. Ransomware-aanvallen richten zich vaak op systemen om deze te blokkeren, maar soms zullen de hackers zich beperken tot bestanden die bedrijfskritieke data bevatten. Ofwel versleutelen ze het bestand totdat het slachtoffer over de brug komt, ofwel kopiëren ze het op een geheime server en dreigen ze om de data publiek te maken. Een combinatie van de verschillende varianten is uiteraard ook mogelijk.
De impact van thuiswerken
De coronapandemie heeft de manier van werken voor veel bedrijven veranderd. Uit noodzaak moest een shift naar remote working worden gemaakt, maar de meeste organisaties willen die shift wel permanent maken. Of telewerken nu leidt tot een toename in het aantal cyberaanvallen, daar bestaat oneindigheid over tussen experts. Het ene kamp meent dat werknemers een makkelijker slachtoffer zijn omdat hun thuisnetwerk minder beveiligd is dan het thuisnetwerk, het andere kamp meent dat die impact relatief beperkt is.
Wat wel zeker is, is dat telewerken voor een andere securityaanpak heeft gezorgd. Bedrijven zijn volop bezig om het gros van hun applicaties en systemen van een on-premise server naar de cloud te brengen. Het beveiligen van een cloudinfrastructuur is een heel andere zaak dan lokale servers. Ten eerste omdat er een gedeelde verantwoordelijk bestaat tussen leverancier en klant. Dat heeft voor- en nadelen voor de klant. Die kan erop berusten dat hij zijn applicaties naar een veilige omgeving brengt. Maar langs de andere kant zorgt het wel eens voor een soort laksheid, omdat bedrijven denken “Mijn leverancier lost het wel op”. Op technologisch vlak zorgt cloud wel voor nieuwe mogelijkheden. Responses kunnen in de cloud grotendeels geautomatiseerd worden zodat bij een breach sneller kan worden ingegrepen.
Hoe bestrijd je ransomware?
Security is eigenlijk een permanent proces. Hackers mogen dan wel vaak vasthouden aan de geproefde recepten, ze passen hun methoden wel voortdurend aan aan moderne tijden. Ben je tot nu toe altijd uit de klauwen van hackers gebleven, dan betekent dat niet dat dat morgen ook nog zal zijn. Dit zijn de acties die je moet ondernemen voor, tijdens en na een ransomware-aanval.
Beter voorkomen dan genezen
De beste manier om ransomware te bestrijden is om het zo goed mogelijk te vermijden. Je handelt dus best proactief om hackers een stap voor te zijn. Hou er rekening mee dat hackers iedere seconde van de dag kunnen toeslaan, ook na de kantooruren. Zorg er daarom voor dat je apparaten altijd up-to-date zijn en voorzie ze van de benodigde detectiemiddelen zoals antivirussoftware en firewalls. Maak voldoende backups van bestanden. Ga voortdurend op zoek naar zwakke punten in je kritieke beveiligingspunten. Veel organisaties doen daarvoor beroep op ‘ethische hackers’. Dit zijn hackers die besloten hebben om hun kennis voor goede doeleinden te gebruiken. Ze leggen toegangspunten in de beveiliging bloot, zodat organisaties deze kunnen aanpakken vooraleer iemand met slechte bedoeling ze uitbuit.
Naast de juiste technologie moet je ook de juiste kennis in huis hebben. Remote working heeft er voor gezorgd dat iedereen in de organisatie bij security moet betrokken worden. Leid je personeel op om veilig en verantwoord met de IT-systemen te werken. Herhaal die opleidingen ook regelmatig.
Elke seconde telt
Hoe goed je je ook voorbereidt, het noodlot kan altijd toeslaan. Zijn hackers binnengedrongen, dan is er geen tijd meer te verliezen. Elke seconde die je wacht, wordt de schade groter. Detecteer welke systemen en/of bestanden geïnfecteerd zijn en schakel deze onmiddellijk uit. Is de precieze oorsprong van de aanval niet meer te herleiden, dan is een totale shutdown soms de enige oplossing. Dat geeft je recoveryteam de tijd om de encryptiesleutels van de hackers te kraken en bestanden te herstellen. Je back-ups kunnen ook een uitweg bieden. Met het automatiseren van je responsacties kan je veel kostbare tijd winnen.
Lukt het niet om de bestanden of systemen te bevrijden, dan zijn organisaties snel geneigd om toe te geven aan de eisen van de hackers. Maar de politie raadt ten sterkste af om overstag te gaan. Ten eerste omdat je de criminelen geeft waar ze op uit zijn, namelijk snel geldgewin. Ten tweede vragen hackers vaak om de borgsom in bitcoins of andere cryptomunten te betalen. Niet elke organisatie heeft die standaard in de portfeuille, en bovendien houdt investeren in cryptomunten zijn eigen veiligheidsrisico’s in. Daarover lees je meer in dit achtergrondstuk over bitcoin.
Bezin voor je weer begint
Is de aanval volledig afgeweerd, dan mag je even tijd nemen om te bekomen. Maar niet te lang, want andere hackers zien je nu als een makkelijk doelwit. Maak snel een uitgebreide analyse van de aanval. Welke zwakheden hebben zij uitgebuit? Lag een technisch mankement of een menselijke fout aan de oorzaak? Voer de nodige patches en updates uit om je beveiliging weer te versterken, en denk na hoe je aanvallen in de toekomst beter kan voorkomen. Zo ben je weer bij stap 1 aangekomen.
Digitale transformatie is nog lang niet ten einde, en bijgevolg gaat het kat- en muisspel met hackers ook ongestoord verder. Security zal de komende jaren één van de topprioriteiten binnen IT zijn. Zowel thuis als op kantoor moeten we voortdurend op onze hoede blijven. Kan je thuiskantoor nog wat extra beveiliging gebruiken? Lees dan deze zeven securitytips voor thuiswerkers.
In het digitale tijdperk zijn we steeds afhankelijker geworden van technologie. Die technologische vooruitgang leidt tot nieuwe mogelijkheden voor mens en maatschappij, maar er is ook een keerzijde. Uit cijfers van securityonderzoeksbureaus blijkt dat het aantal wekelijkse aanvalspogingen die organisaties wekelijks te verduren krijgen al enkele jaren aan het toenemen is. Die pogingen zijn lang niet altijd succesvol, maar we moeten toch vaak berichtten over bedrijven die door een cyberaanval volledig lamgelegd zijn. Hoe meer ons dagelijkse professioneel en privéleven zich in een digitale omgeving afspeelt, hoe meer kansen cybercriminelen krijgen om hun slag te slaan.
Het zijn al lang niet alleen maar grote bedrijven die aanvallen te verduren krijgen. Een recente studie van Check Point Research toonde aan dat hackers van de pandemie gebruik maken om massaal ziekenhuizen en medische onderzoeksinstituten te bestoken Ze beseffen dat de medische sector onder zware druk staat en daardoor technische problemen kan missen als kiespijn. Ook lijken succesvolle hackersaanvallen steeds grotere en gevaarlijkere proporties aan te nemen. De aanval op SolarWinds eind vorig jaar wist wereldwijd organisaties te treffen, en zou mogelijk in opdracht van Rusland gebeurt zijn.
Cyberbedreigingen komen in verschillende vormen en maten. Van valse bankingmails tot het blokkeren van IT-systemen, het gevaar ligt altijd om de hoek. In dit achtergrondstuk focussen we ons op een veelgebruikte aanvalstechniek: ransomware.
Verschillende typen
Ransomware is eigenlijk een overkoepelende term voor verschillende aanvalsmethoden. Ongeacht de uitvoering is de bedoeling van hackers die deze techniek gebruiken altijd hetzelfde. Ze infecteren de computers van de slachtoffers met virussen zodat deze niet meer functioneel zijn. Het slachtoffer moet dan een dwangsom (‘ransom’) betalen om zijn systemen weer vrij te krijgen. Ransomware is dus een vorm van digitale chantage. Een voorbeeld van ransomware dat in ons land veel rondgaat is het ‘Ecopsvirus’, afgeleid van het eCops-platform van de federale politie. Dit virus neemt de computer over en toont een website waarop staat dat de systemen van het slachtoffer geblokkeerd zijn omdat die illegale activiteiten zou uitgevoerd hebben. Na het betalen van een ‘boete’ mogen ze hun systemen weer gebruiken.
Het Ecopsvirus is maar één van de vele manieren waarop ransomware kan worden uitgevoerd. We onderscheiden drie grote varianten. Ransomware-aanvallen richten zich vaak op systemen om deze te blokkeren, maar soms zullen de hackers zich beperken tot bestanden die bedrijfskritieke data bevatten. Ofwel versleutelen ze het bestand totdat het slachtoffer over de brug komt, ofwel kopiëren ze het op een geheime server en dreigen ze om de data publiek te maken. Een combinatie van de verschillende varianten is uiteraard ook mogelijk.
De impact van thuiswerken
De coronapandemie heeft de manier van werken voor veel bedrijven veranderd. Uit noodzaak moest een shift naar remote working worden gemaakt, maar de meeste organisaties willen die shift wel permanent maken. Of telewerken nu leidt tot een toename in het aantal cyberaanvallen, daar bestaat oneindigheid over tussen experts. Het ene kamp meent dat werknemers een makkelijker slachtoffer zijn omdat hun thuisnetwerk minder beveiligd is dan het thuisnetwerk, het andere kamp meent dat die impact relatief beperkt is.
Wat wel zeker is, is dat telewerken voor een andere securityaanpak heeft gezorgd. Bedrijven zijn volop bezig om het gros van hun applicaties en systemen van een on-premise server naar de cloud te brengen. Het beveiligen van een cloudinfrastructuur is een heel andere zaak dan lokale servers. Ten eerste omdat er een gedeelde verantwoordelijk bestaat tussen leverancier en klant. Dat heeft voor- en nadelen voor de klant. Die kan erop berusten dat hij zijn applicaties naar een veilige omgeving brengt. Maar langs de andere kant zorgt het wel eens voor een soort laksheid, omdat bedrijven denken “Mijn leverancier lost het wel op”. Op technologisch vlak zorgt cloud wel voor nieuwe mogelijkheden. Responses kunnen in de cloud grotendeels geautomatiseerd worden zodat bij een breach sneller kan worden ingegrepen.
Hoe bestrijd je ransomware?
Security is eigenlijk een permanent proces. Hackers mogen dan wel vaak vasthouden aan de geproefde recepten, ze passen hun methoden wel voortdurend aan aan moderne tijden. Ben je tot nu toe altijd uit de klauwen van hackers gebleven, dan betekent dat niet dat dat morgen ook nog zal zijn. Dit zijn de acties die je moet ondernemen voor, tijdens en na een ransomware-aanval.
Beter voorkomen dan genezen
De beste manier om ransomware te bestrijden is om het zo goed mogelijk te vermijden. Je handelt dus best proactief om hackers een stap voor te zijn. Hou er rekening mee dat hackers iedere seconde van de dag kunnen toeslaan, ook na de kantooruren. Zorg er daarom voor dat je apparaten altijd up-to-date zijn en voorzie ze van de benodigde detectiemiddelen zoals antivirussoftware en firewalls. Maak voldoende backups van bestanden. Ga voortdurend op zoek naar zwakke punten in je kritieke beveiligingspunten. Veel organisaties doen daarvoor beroep op ‘ethische hackers’. Dit zijn hackers die besloten hebben om hun kennis voor goede doeleinden te gebruiken. Ze leggen toegangspunten in de beveiliging bloot, zodat organisaties deze kunnen aanpakken vooraleer iemand met slechte bedoeling ze uitbuit.
Naast de juiste technologie moet je ook de juiste kennis in huis hebben. Remote working heeft er voor gezorgd dat iedereen in de organisatie bij security moet betrokken worden. Leid je personeel op om veilig en verantwoord met de IT-systemen te werken. Herhaal die opleidingen ook regelmatig.
Elke seconde telt
Hoe goed je je ook voorbereidt, het noodlot kan altijd toeslaan. Zijn hackers binnengedrongen, dan is er geen tijd meer te verliezen. Elke seconde die je wacht, wordt de schade groter. Detecteer welke systemen en/of bestanden geïnfecteerd zijn en schakel deze onmiddellijk uit. Is de precieze oorsprong van de aanval niet meer te herleiden, dan is een totale shutdown soms de enige oplossing. Dat geeft je recoveryteam de tijd om de encryptiesleutels van de hackers te kraken en bestanden te herstellen. Je back-ups kunnen ook een uitweg bieden. Met het automatiseren van je responsacties kan je veel kostbare tijd winnen.
Lukt het niet om de bestanden of systemen te bevrijden, dan zijn organisaties snel geneigd om toe te geven aan de eisen van de hackers. Maar de politie raadt ten sterkste af om overstag te gaan. Ten eerste omdat je de criminelen geeft waar ze op uit zijn, namelijk snel geldgewin. Ten tweede vragen hackers vaak om de borgsom in bitcoins of andere cryptomunten te betalen. Niet elke organisatie heeft die standaard in de portfeuille, en bovendien houdt investeren in cryptomunten zijn eigen veiligheidsrisico’s in. Daarover lees je meer in dit achtergrondstuk over bitcoin.
Bezin voor je weer begint
Is de aanval volledig afgeweerd, dan mag je even tijd nemen om te bekomen. Maar niet te lang, want andere hackers zien je nu als een makkelijk doelwit. Maak snel een uitgebreide analyse van de aanval. Welke zwakheden hebben zij uitgebuit? Lag een technisch mankement of een menselijke fout aan de oorzaak? Voer de nodige patches en updates uit om je beveiliging weer te versterken, en denk na hoe je aanvallen in de toekomst beter kan voorkomen. Zo ben je weer bij stap 1 aangekomen.
Digitale transformatie is nog lang niet ten einde, en bijgevolg gaat het kat- en muisspel met hackers ook ongestoord verder. Security zal de komende jaren één van de topprioriteiten binnen IT zijn. Zowel thuis als op kantoor moeten we voortdurend op onze hoede blijven. Kan je thuiskantoor nog wat extra beveiliging gebruiken? Lees dan deze zeven securitytips voor thuiswerkers.