Ransomware en de gevolgen ervan voor uw bedrijf

Soorten ransomware

Er bestaan verschillende soorten ransomware, waarbij de grootte van de doelwitten varieert van kleine en middelgrote bedrijven tot multinationals en door de overheid beheerde zorgaanbieders. Ook de hoogte van het geëiste losgeld kan verschillen, van een paar honderd tot miljoenen dollars.

Ransomware Cryptolocker

Cryptolocker bestaat al sinds 2013 en wordt beschouwd als het eerste voorbeeld van ransomware na de eerste aanval in 1989. De komst van cryptomunten in de jaren 2010 maakte het voor cybercriminelen mogelijk om losgeld te vragen via niet-traceerbare transacties. Bij Cryptoblocker werd voor het eerst een ransomwareaanval uitgevoerd met geavanceerde versleuteling en een losgeldboodschap met instructies voor betaling in bitcoin.

De malwareaanval duurde van september tot mei het jaar erna. Gedurende die tijd raakten 250.000 apparaten geïnfecteerd en haalden de criminelen meer dan 3 miljoen dollar op. Cryptolocker kan herkend worden aan de boodschap die op het scherm verschijnt.

Ransomware Ryuk

Ryuk ontstond in 2018 en was gebaseerd op het Trojaanse paard Hermes, een ransomwareprogramma dat voor het eerst doelbewust werd gebruikt in 2017. Hermes werd gebruikt bij een aanval door een door Noord-Korea gesteunde groep cybercriminelen, al wordt algemeen aangenomen dat de malware in Rusland werd ontwikkeld.

In 2021 dook er een nieuwe “wormachtige” Ryuk-variant op, die unieke kopieën van zichzelf verspreidt en zo automatisch van het ene toestel naar het andere kan overspringen.

Ransomware WannaCry

Een infectie met ransomware WannaCry valt eenvoudig te herkennen aan de volgende melding op uw apparaat: “Oops, your important files are encrypted.” (Oeps, uw belangrijke bestanden zijn versleuteld.). De aanval werd voor het eerst gebruikt in 2017, waarbij in één dag tijd meer dan 230.000 computers werden geïnfecteerd.

Bij elke aanval vragen cybercriminelen 300 dollar in bitcoin om de bestanden te ontsleutelen. Als het bedrag niet op tijd betaald wordt, wordt het losgeld verdubbeld. Ook WannaCry is wormachtige malware die zich automatisch binnen netwerken verspreidt.

Ransomware Sodinokibi

Sodinokibi is een vorm van ransomware die het op Windows-apparaten gemunt heeft. Wanneer uw apparaat geïnfecteerd is met Sodinokibi (ook bekend als REvil), verschijnt er een losgeldbericht op het scherm, waarin een bedrag in bitcoin wordt geëist om al uw bestanden te ontsleutelen. Deze malware valt alle inhoud op een apparaat aan, met uitzondering van het configuratiebestand. De malware werd voor het eerst ingezet in 2019.

Ransomware Dharma en Phobos

Dharma, ook bekend onder de naam CrySiS, richt zich op kleine en middelgrote bedrijven en eist kleinere losgeldbedragen. Het idee is dat slachtoffers zo sneller geneigd zouden zijn om tot betaling over te gaan.

De ransomwareaanval wordt meestal uitgevoerd via het Remote Desktop Protocol en werd voor het eerst vastgesteld in 2016. De malware diende als uitgangspunt bij de ontwikkeling van Phobos, ransomware met een vergelijkbare werking.

Ransomware Petya

Petya werkt alleen als er bestanden versleuteld worden. Waar andere malware specifieke kritieke gegevens versleutelt, kan Petya uw volledige harde schijf vergrendelen, waardoor u uw apparaat mogelijk niet meer kunt starten. De ransomware werd voor het eerst gebruikt in 2016, maar werd in 2017 pas echt bekend dankzij een nieuwe variant, GoldenEye.

Ransomware Cerber

Cerber is een voorbeeld van Ransomware-as-a-Service (RaaS), die gebaseerd is op het Software-as-a-Service-model (SaaS). De makers van de malware stellen Cerber in licentie ter beschikking aan andere cybercriminelen en ontvangen in ruil daarvoor een deel van het losgeld. Na de infectie verschijnt het losgeldbericht van Cerber op het apparaat, met de eisen. Bovendien kan de malware berichten versleutelen op niet-toegewezen netwerkshares.

Ransomware Locky

Locky dook voor het eerst op in 2016 en wordt verspreid via e-mail. Bij malwareaanval in kwestie was een ziekenhuis in Los Angeles het slachtoffer. Er werd 17.000 dollar aan losgeld geëist. Daarna volgde een reeks aanvallen op talloze andere gezondheidszorginstellingen. Sindsdien hebben er geen noemenswaardige aanvallen met Locky plaatsgevonden.

Casestudy’s over ransomware

Ransomware heeft een enorme impact gehad op de digitale wereld en inmiddels zijn er miljarden dollars aan losgeld betaald door de slachtoffers. Hieronder gaan we dieper in op enkele van de belangrijkste schadelijkste en kostbaarste ransomwareaanvallen:

• September 2013, Cryptolocker: Cryptolocker was de eerste ransomwarevariant die als zodanig werd aangemerkt, na het Trojaanse paard AIDS in 1989. De FBI en Interpol werden ingeschakeld om deze ransomware een halt toe te roepen.
• Mei 2017, NHS: Tijdens een wereldwijde WannaCry-aanval werd de nationale gezondheidsdienst NHS in het Verenigd Koninkrijk het slachtoffer van een van de schadelijkste ransomwareaanvallen in het land. Deze leidde tot grootscheepse systeemuitval, waardoor afspraken moesten worden geannuleerd en het personeel met pen en papier aan de slag moest. In totaal raakten bij de WannaCry-aanval 200.000 computers in 150 landen geïnfecteerd. De totale kosten beliepen 4 miljard dollar, waarvan 120 miljoen dollar (92 miljoen pond) voor rekening van de NHS kwam.
• Maart 2018, Atlanta: In 2018 werd het stadsbestuur van Atlanta in de Amerikaanse staat Georgia getroffen door een ransomwareaanval met SamSam. Het herstellen van de aangerichte schade (2,6 miljoen dollar) kostte uiteindelijk meer dan het geëiste losgeld zelf (ongeveer 50.000 dollar).
• Mei 2019, Baltimore: In 2019 vielen hackers de Amerikaanse stad Baltimore aan met de ransomwarevariant RobbinHood. Daarbij raakte het merendeel van de computers van het stadsbestuur geïnfecteerd. De criminelen eisten 13 bitcoin (76.280 dollar) en zeiden dat de prijs zou stijgen als er binnen de vier dagen geen betaling zou volgen. Anders zouden alle gegevens na tien dagen voorgoed worden verwijderd. Uiteindelijk slaagde de stad erin de systemen te herstellen zonder losgeld te betalen.
• Juni 2020, Universiteit van Californië, San Francisco: Na maandenlange problemen als gevolg van de ransomwarevariant Netwalker betaalde de universiteit 1,14 miljoen dollar. Het geëiste losgeld bedroeg aanvankelijk 4 miljoen dollar, maar tijdens de onderhandelingen slaagde de universiteit erin dit bedrag naar beneden bij te stellen.
• September 2020, UKD: Een aanval met Ryuk op de Duitse zorgaanbieder Universitätsklinikum Düsseldorf kostte één patiënt het leven die niet meer de vereiste zorg kon krijgen.
• April 2021, Quanta: Bij de recente ransomwareaanval met Sodinokobi moest Macbook-fabrikant Quanta 50 miljoen dollar losgeld ophoesten. Het bedrijf weigerde op de eis in te gaan, waarna de cybercriminelen Macbook-gegevens openbaar maakten.

De kosten van een ransomwareaanval

Financieel gezien zijn ransomwareaanvallen nooit goed nieuws voor het getroffen bedrijf. Vaak staat er meer op het spel dan het losgeld zelf, van boetes door de privacytoezichthouders tot inkomstenverlies als gevolg van de negatieve effecten op het vertrouwen van de klant.

Cybersecurity Ventures schat de wereldwijde kosten van ransomwareaanvallen voor 2021 alleen al op 20 miljard dollar. Algemeen wordt aangenomen dat er elke 11 seconden een bedrijf het slachtoffer wordt van malware. Bovendien krijgen Europese bedrijven in het kader van de AVG extra boetes als gevolg van gebrekkige beveiligingsprocedures. In 2020 kreeg de luchtvaartmaatschappij British Airways een boete van 20 miljoen pond opgelegd door de toezichthouder. Aanvankelijk was er sprake van een boete van 183 miljoen pond.

En alsof de financiële gevolgen nog niet volstaan, hebben veel bedrijven de grootste moeite om de systemen te herstellen. Dat geldt met name voor kleine bedrijven. Zo’n 60% van de kleine bedrijven die ten prooi vallen aan een gegevenslek, ziet zich gedwongen de deuren te sluiten. In 2020 ging The Heritage Company, een telemarketingbedrijf in Arkansas, failliet als gevolg van een door ransomware veroorzaakt gegevenslek in 2019. Herstel na een ransomwareaanval kan behoorlijk in de papieren lopen: van de kosten tijdens de aanval tot de kosten voor het herstel en het verlies aan klandizie.

Hoe lopen bedrijven een ransomware-infectie op?

Bedrijven die onvoldoende beveiligingsmaatregelen treffen, zijn kwetsbaar voor cyberaanvallen.

Gebrekkig opgeleid personeel vormt een groot gevaar voor bedrijven. Als de medewerkers niet weten hoe ze verdachte e-mail kunnen herkennen, ransomware kunnen opsporen en een probleem kunnen melden, is het risico groot dat apparaten en het volledige netwerk geïnfecteerd raken. Personeelsleden zijn er zich niet altijd van bewust dat hun apparaten vatbaar zijn voor aanvallen noch van de risico’s van ransomware op Mac- of Linux-computers. Beide besturingssystemen zouden weliswaar over een betere ingebouwde cyberbeveiliging beschikken dan Windows, maar ze lopen wel degelijk een risico.

Daarnaast kunnen cybercriminelen uw netwerk ook binnendringen via externe apps. Soms is het eenvoudiger om een app binnen te dringen dan een heel systeem. Cybercriminelen grijpen deze opening aan om uw apparaten met malware te infecteren.

Hoewel het personeel een kwetsbare factor vormt, beschikt een goed beveiligde onderneming natuurlijk over goed werkende antivirussoftware. Deze beschermt tegen mogelijk schadelijke software die per ongeluk gedownload wordt. Software moet regelmatig worden bijgewerkt (of “gepatcht”) om programmafouten of bugs te corrigeren en kwetsbaarheden aan te pakken. Niet-gepatchte software kan tot barsten in uw verdediging leiden.

Ransomwareaanvallen voorkomen

Er zijn tal van manieren om uw bedrijf doeltreffend tegen ransomwareaanvallen te beschermen en te voorkomen dat u getroffen wordt. Net als bij veel cyberaanvallen kunnen criminelen een netwerk binnendringen door gebrekkige IT-procedures. Daarbij moet u denken aan:

• Onvoldoende opgeleide medewerkers
• Zwakke wachtwoorden
• Toekenning van te veel toegangsrechten aan externe apps
• Gebrek aan doeltreffende firewalls
• Niet gebruiken van antivirussoftware
• Niet bijwerken of patchen van software

Daarom is operationele beveiliging van vitaal belang. Opleiding van personeel en goede wachtwoorden gaan hand in hand. Medewerkers moet worden geleerd hoe ze het netwerk het beste kunnen benaderen, met name als ze op afstand werken, en hoe ze phishingberichten kunnen herkennen, verdachte zaken moeten melden en sterke wachtwoorden kunnen instellen. In dit opzicht bewijst een bedrijfscontinuïteitsplan goede diensten. En hoewel voorkomen beter is dan genezen, doet u er goed aan om plannen voor IT-noodherstel en bedrijfscontinuïteit op te stellen. Hier volgen enkele andere maatregelen om ransomwareaanvallen te voorkomen: