Wat is ransomware?

Ransomware is een vorm van malware met behulp waarvan cybercriminelen een apparaat of netwerk infecteren met schadelijke software. Deze software zorgt er vervolgens voor dat bestanden worden versleuteld en waardevolle gegevens worden omgezet in een onleesbare code. Deze gegevens worden door de cybercriminelen gegijzeld en pas ontsleuteld na betaling van een losgeld.

Veel mensen vragen zich af of ransomware een virus is. Het antwoord is nee. Ransomware en virussen zijn allebei vormen van malware, maar verschillen wat betreft de manier waarop de aanval in zijn werk gaat. Bij een virus worden de bestanden geïnfecteerd, terwijl deze bij ransomware worden versleuteld.

Een ransomwareaanval kan organisaties treffen via phishingberichten. Daarbij worden slachtoffers door middel van een e-mailbericht naar een geïnfecteerde website gelokt, waar zij vervolgens ongemerkt malware downloaden (“drive-by downloads”).

Wat is bedrijfransomware?

Onder bedrijfransomware wordt een ransomwareaanval op een bedrijf of organisatie verstaan. De meeste ransomwareaanvallen zijn gericht op ondernemingen, die qua beloning natuurlijk het interessantst zijn voor cybercriminelen. Toch bestaan er verschillen tussen de doelwitten.

Er is een goede reden waarom cybercriminelen zich eerder op bedrijven richten dan op particulieren. Dit heeft veel te maken met de manier waarop ransomware zich verspreidt en met de potentiële waarde van de aanval. Hoe verspreidt de ransomware zich dan? Zodra iemand een e-mailbericht opent en/of op een dubieuze URL klikt, nestelt de malware zich op een apparaat. Over het algemeen geldt: hoe groter de organisatie en hoe groter het personeelsbestand (en hoe meer meer mensen er dus klikken), des te groter de kans dat ransomware toeslaat. Het is wel zo dat grotere bedrijven strengere veiligheidsprocedures hanteren, juist omdat ze een groter risico op aanvallen kennen en omdat ze vaak ook een groter budget hebben.

Daarnaast beschikken grotere ondernemingen vaak over zeer waardevolle gegevens en dat maakt ze aantrekkelijker voor ransomwareaanvallen. Er is vaak sprake van grote hoeveelheden privacygevoelige gegevens en daardoor leiden storingen tot grotere operationele kosten. Er wordt van uitgegaan dat deze organisaties daarom sneller geneigd zijn het losgeld te betalen en in te gaan op hogere eisen. Zo levert een ransomwareaanval op een ziekenhuis een cybercrimineel waarschijnlijk meer op dan een aanval op de bloemist bij u om de hoek.

De geschiedenis van ransomware

Algemeen wordt aangenomen dat we voor het eerste geval van ransomware terug moeten naar 1989, toen het Trojaanse paard “AIDS” voor het eerst van zich deed spreken. Deze aanval werd geleid door de bioloog Joseph Popp, die op een aidsconferentie van de Wereldgezondheidsorganisatie 20.000 diskettes met een Trojaans virus liet verspreiden. Zodra een machine was geïnfecteerd, verscheen er op het scherm een bericht waarin de gebruiker werd gevraagd om 189 dollar losgeld naar een postbus in Panama te sturen.

Sinds de jaren tachtig heeft de technologie zich sterk ontwikkeld en hebben cybercriminelen geen postbus meer nodig om hun geld te innen. Tegenwoordig wordt er losgeld in bitcoin gevraagd. Daarnaast wordt er voortdurend aan de malware gesleuteld om deze nog gevaarlijker en de aangerichte schade nog groter te maken. Zo worden er wormachtige eigenschappen toegevoegd en worden de infectietechnieken steeds verder verfijnd. Ook de bescherming tegen ransomware wordt voortdurende aangepast om netwerken beter te kunnen beschermen tegen deze steeds geraffineerder wordende aanvallen.

Soorten ransomware

Er bestaan verschillende soorten ransomware, waarbij de grootte van de doelwitten varieert van kleine en middelgrote bedrijven tot multinationals en door de overheid beheerde zorgaanbieders. Ook de hoogte van het geëiste losgeld kan verschillen, van een paar honderd tot miljoenen dollars.

Ransomware Cryptolocker

Cryptolocker bestaat al sinds 2013 en wordt beschouwd als het eerste voorbeeld van ransomware na de eerste aanval in 1989. De komst van cryptomunten in de jaren 2010 maakte het voor cybercriminelen mogelijk om losgeld te vragen via niet-traceerbare transacties. Bij Cryptoblocker werd voor het eerst een ransomwareaanval uitgevoerd met geavanceerde versleuteling en een losgeldboodschap met instructies voor betaling in bitcoin.

De malwareaanval duurde van september tot mei het jaar erna. Gedurende die tijd raakten 250.000 apparaten geïnfecteerd en haalden de criminelen meer dan 3 miljoen dollar op. Cryptolocker kan herkend worden aan de boodschap die op het scherm verschijnt.

Ransomware Ryuk

Ryuk ontstond in 2018 en was gebaseerd op het Trojaanse paard Hermes, een ransomwareprogramma dat voor het eerst doelbewust werd gebruikt in 2017. Hermes werd gebruikt bij een aanval door een door Noord-Korea gesteunde groep cybercriminelen, al wordt algemeen aangenomen dat de malware in Rusland werd ontwikkeld.

In 2021 dook er een nieuwe “wormachtige” Ryuk-variant op, die unieke kopieën van zichzelf verspreidt en zo automatisch van het ene toestel naar het andere kan overspringen.

Ransomware WannaCry

Een infectie met ransomware WannaCry valt eenvoudig te herkennen aan de volgende melding op uw apparaat: “Oops, your important files are encrypted.” (Oeps, uw belangrijke bestanden zijn versleuteld.). De aanval werd voor het eerst gebruikt in 2017, waarbij in één dag tijd meer dan 230.000 computers werden geïnfecteerd.

Bij elke aanval vragen cybercriminelen 300 dollar in bitcoin om de bestanden te ontsleutelen. Als het bedrag niet op tijd betaald wordt, wordt het losgeld verdubbeld. Ook WannaCry is wormachtige malware die zich automatisch binnen netwerken verspreidt.

Ransomware Sodinokibi

Sodinokibi is een vorm van ransomware die het op Windows-apparaten gemunt heeft. Wanneer uw apparaat geïnfecteerd is met Sodinokibi (ook bekend als REvil), verschijnt er een losgeldbericht op het scherm, waarin een bedrag in bitcoin wordt geëist om al uw bestanden te ontsleutelen. Deze malware valt alle inhoud op een apparaat aan, met uitzondering van het configuratiebestand. De malware werd voor het eerst ingezet in 2019.

Ransomware Dharma en Phobos

Dharma, ook bekend onder de naam CrySiS, richt zich op kleine en middelgrote bedrijven en eist kleinere losgeldbedragen. Het idee is dat slachtoffers zo sneller geneigd zouden zijn om tot betaling over te gaan.

De ransomwareaanval wordt meestal uitgevoerd via het Remote Desktop Protocol en werd voor het eerst vastgesteld in 2016. De malware diende als uitgangspunt bij de ontwikkeling van Phobos, ransomware met een vergelijkbare werking.

Ransomware Petya

Petya werkt alleen als er bestanden versleuteld worden. Waar andere malware specifieke kritieke gegevens versleutelt, kan Petya uw volledige harde schijf vergrendelen, waardoor u uw apparaat mogelijk niet meer kunt starten. De ransomware werd voor het eerst gebruikt in 2016, maar werd in 2017 pas echt bekend dankzij een nieuwe variant, GoldenEye.

Ransomware Cerber

Cerber is een voorbeeld van Ransomware-as-a-Service (RaaS), die gebaseerd is op het Software-as-a-Service-model (SaaS). De makers van de malware stellen Cerber in licentie ter beschikking aan andere cybercriminelen en ontvangen in ruil daarvoor een deel van het losgeld. Na de infectie verschijnt het losgeldbericht van Cerber op het apparaat, met de eisen. Bovendien kan de malware berichten versleutelen op niet-toegewezen netwerkshares.

Ransomware Locky

Locky dook voor het eerst op in 2016 en wordt verspreid via e-mail. Bij malwareaanval in kwestie was een ziekenhuis in Los Angeles het slachtoffer. Er werd 17.000 dollar aan losgeld geëist. Daarna volgde een reeks aanvallen op talloze andere gezondheidszorginstellingen. Sindsdien hebben er geen noemenswaardige aanvallen met Locky plaatsgevonden.

Casestudy’s over ransomware

Ransomware heeft een enorme impact gehad op de digitale wereld en inmiddels zijn er miljarden dollars aan losgeld betaald door de slachtoffers. Hieronder gaan we dieper in op enkele van de belangrijkste schadelijkste en kostbaarste ransomwareaanvallen:

• September 2013, Cryptolocker: Cryptolocker was de eerste ransomwarevariant die als zodanig werd aangemerkt, na het Trojaanse paard AIDS in 1989. De FBI en Interpol werden ingeschakeld om deze ransomware een halt toe te roepen.
• Mei 2017, NHS: Tijdens een wereldwijde WannaCry-aanval werd de nationale gezondheidsdienst NHS in het Verenigd Koninkrijk het slachtoffer van een van de schadelijkste ransomwareaanvallen in het land. Deze leidde tot grootscheepse systeemuitval, waardoor afspraken moesten worden geannuleerd en het personeel met pen en papier aan de slag moest. In totaal raakten bij de WannaCry-aanval 200.000 computers in 150 landen geïnfecteerd. De totale kosten beliepen 4 miljard dollar, waarvan 120 miljoen dollar (92 miljoen pond) voor rekening van de NHS kwam.
• Maart 2018, Atlanta: In 2018 werd het stadsbestuur van Atlanta in de Amerikaanse staat Georgia getroffen door een ransomwareaanval met SamSam. Het herstellen van de aangerichte schade (2,6 miljoen dollar) kostte uiteindelijk meer dan het geëiste losgeld zelf (ongeveer 50.000 dollar).
• Mei 2019, Baltimore: In 2019 vielen hackers de Amerikaanse stad Baltimore aan met de ransomwarevariant RobbinHood. Daarbij raakte het merendeel van de computers van het stadsbestuur geïnfecteerd. De criminelen eisten 13 bitcoin (76.280 dollar) en zeiden dat de prijs zou stijgen als er binnen de vier dagen geen betaling zou volgen. Anders zouden alle gegevens na tien dagen voorgoed worden verwijderd. Uiteindelijk slaagde de stad erin de systemen te herstellen zonder losgeld te betalen.
• Juni 2020, Universiteit van Californië, San Francisco: Na maandenlange problemen als gevolg van de ransomwarevariant Netwalker betaalde de universiteit 1,14 miljoen dollar. Het geëiste losgeld bedroeg aanvankelijk 4 miljoen dollar, maar tijdens de onderhandelingen slaagde de universiteit erin dit bedrag naar beneden bij te stellen.
• September 2020, UKD: Een aanval met Ryuk op de Duitse zorgaanbieder Universitätsklinikum Düsseldorf kostte één patiënt het leven die niet meer de vereiste zorg kon krijgen.
• April 2021, Quanta: Bij de recente ransomwareaanval met Sodinokobi moest Macbook-fabrikant Quanta 50 miljoen dollar losgeld ophoesten. Het bedrijf weigerde op de eis in te gaan, waarna de cybercriminelen Macbook-gegevens openbaar maakten.

De kosten van een ransomwareaanval

Financieel gezien zijn ransomwareaanvallen nooit goed nieuws voor het getroffen bedrijf. Vaak staat er meer op het spel dan het losgeld zelf, van boetes door de privacytoezichthouders tot inkomstenverlies als gevolg van de negatieve effecten op het vertrouwen van de klant.

Cybersecurity Ventures schat de wereldwijde kosten van ransomwareaanvallen voor 2021 alleen al op 20 miljard dollar. Algemeen wordt aangenomen dat er elke 11 seconden een bedrijf het slachtoffer wordt van malware. Bovendien krijgen Europese bedrijven in het kader van de AVG extra boetes als gevolg van gebrekkige beveiligingsprocedures. In 2020 kreeg de luchtvaartmaatschappij British Airways een boete van 20 miljoen pond opgelegd door de toezichthouder. Aanvankelijk was er sprake van een boete van 183 miljoen pond.

En alsof de financiële gevolgen nog niet volstaan, hebben veel bedrijven de grootste moeite om de systemen te herstellen. Dat geldt met name voor kleine bedrijven. Zo’n 60% van de kleine bedrijven die ten prooi vallen aan een gegevenslek, ziet zich gedwongen de deuren te sluiten. In 2020 ging The Heritage Company, een telemarketingbedrijf in Arkansas, failliet als gevolg van een door ransomware veroorzaakt gegevenslek in 2019. Herstel na een ransomwareaanval kan behoorlijk in de papieren lopen: van de kosten tijdens de aanval tot de kosten voor het herstel en het verlies aan klandizie.

Hoe lopen bedrijven een ransomware-infectie op?

Bedrijven die onvoldoende beveiligingsmaatregelen treffen, zijn kwetsbaar voor cyberaanvallen.

Gebrekkig opgeleid personeel vormt een groot gevaar voor bedrijven. Als de medewerkers niet weten hoe ze verdachte e-mail kunnen herkennen, ransomware kunnen opsporen en een probleem kunnen melden, is het risico groot dat apparaten en het volledige netwerk geïnfecteerd raken. Personeelsleden zijn er zich niet altijd van bewust dat hun apparaten vatbaar zijn voor aanvallen noch van de risico’s van ransomware op Mac- of Linux-computers. Beide besturingssystemen zouden weliswaar over een betere ingebouwde cyberbeveiliging beschikken dan Windows, maar ze lopen wel degelijk een risico.

Daarnaast kunnen cybercriminelen uw netwerk ook binnendringen via externe apps. Soms is het eenvoudiger om een app binnen te dringen dan een heel systeem. Cybercriminelen grijpen deze opening aan om uw apparaten met malware te infecteren.

Hoewel het personeel een kwetsbare factor vormt, beschikt een goed beveiligde onderneming natuurlijk over goed werkende antivirussoftware. Deze beschermt tegen mogelijk schadelijke software die per ongeluk gedownload wordt. Software moet regelmatig worden bijgewerkt (of “gepatcht”) om programmafouten of bugs te corrigeren en kwetsbaarheden aan te pakken. Niet-gepatchte software kan tot barsten in uw verdediging leiden.

Ransomwareaanvallen voorkomen

Er zijn tal van manieren om uw bedrijf doeltreffend tegen ransomwareaanvallen te beschermen en te voorkomen dat u getroffen wordt. Net als bij veel cyberaanvallen kunnen criminelen een netwerk binnendringen door gebrekkige IT-procedures. Daarbij moet u denken aan:

• Onvoldoende opgeleide medewerkers
• Zwakke wachtwoorden
• Toekenning van te veel toegangsrechten aan externe apps
• Gebrek aan doeltreffende firewalls
• Niet gebruiken van antivirussoftware
• Niet bijwerken of patchen van software

Daarom is operationele beveiliging van vitaal belang. Opleiding van personeel en goede wachtwoorden gaan hand in hand. Medewerkers moet worden geleerd hoe ze het netwerk het beste kunnen benaderen, met name als ze op afstand werken, en hoe ze phishingberichten kunnen herkennen, verdachte zaken moeten melden en sterke wachtwoorden kunnen instellen. In dit opzicht bewijst een bedrijfscontinuïteitsplan goede diensten. En hoewel voorkomen beter is dan genezen, doet u er goed aan om plannen voor IT-noodherstel en bedrijfscontinuïteit op te stellen. Hier volgen enkele andere maatregelen om ransomwareaanvallen te voorkomen:

Tekenen dat uw bedrijf getroffen is door ransomware

Er zijn tal van tekenen die erop wijzen dat een computer met ransomware is geïnfecteerd. Een losgeldbericht is natuurlijk de meest voor de hand liggende. Hier volgen enkele andere gangbare indicatoren:

• Spear-phishing- en spoofingberichten wijzen erop dat cybercriminelen u op het oog hebben.
  • Op het eerste gezicht gaat er niet zoveel dreiging uit van kleinschalige testcyberaanvallen. Ze kunnen er echter wel op wijzen dat cybercriminelen kwetsbaarheden in uw systeem zoeken en een grootschalige aanval voorbereiden.
• Uw antivirussoftware waarschuwt u voor verdachte activiteiten.
• U ontvangt een melding over verdachte aanmeldingspogingen die u niet herkent.
• Er verschijnt nieuwe software op uw netwerk.
  • Cybercriminelen maken vaak gebruik van speciale software als GMER, PC Hunter en Process Hacker om bijvoorbeeld de ingebouwde ransomwarebescherming van Windows 10 te verwijderen.
  • Met programma’s als Microsoft Process Explorer en MimiKatz kunnen aanmeldingsgegevens worden gestolen.

Wat moet u doen bij een aanval?

Als u het slachtoffer bent geworden van een ransomwareaanval moet u in ieder geval volgende stappen ondernemen:

1. De aanval melden. Zorg ervoor dat uw medewerkers weten hoe ze de aanval kunnen herkennen en waarschuw uw team voor een cyberaanval.
2. Vorm u een beeld van de situatie op dat moment en spoor de malware op. Probeer de malware die uw systeem heeft geïnfecteerd op te sporen om erachter te komen hoe u uzelf het beste kunt beschermen en/of onderneem stappen om deze te verwijderen.
3. Koppel de infectiebron los Onderzoek welk apparaat het startpunt van de aanval was en koppel het los van het netwerk. Zo beperkt u het risico dat de malware zich verder verspreidt.
4. Dam de aanval in. Koppel alle andere apparaten die het risico lopen door de aanval te worden geïnfecteerd, af van het netwerk om te voorkomen dat de ransomware zich verder verspreidt.
5. Probeer de gegevens te ontsleutelen en de ransomware te verwijderen. Schakel hiervoor bij voorkeur een betrouwbaar beveiligingsteam in. Anders bestaat het risico dat u de situatie verergert.
6. Schakel een externe partij in. Een externe specialist kan u misschien helpen uw bestanden te herstellen, zodat u geen losgeld hoeft te betalen.