Sluit

Ransomware

Je wilt je computer of telefoon aanzetten, maar het lijkt erop dat deze is geblokkeerd. Op het scherm verschijnt een melding, waarin staat dat pas toegang wordt gegeven na betaling van losgeld (ransom). Help! Je bent slachtoffer geworden van ransomware. Wat moet je doen?

 

Wat is ransomware?

Ransomware wordt in het Nederlands ook wel gijzelsoftware genoemd. Het is een computervirus (malware) dat de computer of de bestanden erop kaapt en deze gegevens vervolgens versleutelt waardoor ze niet meer toegankelijk zijn. De criminelen proberen vervolgens jou, of jouw organisatie, een losgeldbedrag (de ‘ransom’) te laten betalen om weer toegang te kunnen krijgen tot de versleutelde bestanden. Dit losgeld wordt vaak geëist in de vorm van een digitale munteenheid (cryptocurrency) zoals Bitcoin.

Als je bedrijfsnetwerk gegijzeld wordt door ransomware, kan je bedrijfsvoering ernstig in het geding komen. Klanten kunnen dan misschien geen bestellingen meer plaatsen, facturen worden niet betaald of verstuurd en de salarisadministratie ligt plat. Ook loop je kans op reputatieschade als zakelijke relaties en klanten horen dat je netwerk gegijzeld is en zij zich daardoor bijvoorbeeld zorgen gaan maken of hun gegevens misschien ook zijn buitgemaakt.

Whitepaper "Ransomware"

Belangenorganisatie Cyberveilig Nederland (CNV) heeft in samenwerking met enkele van haar leden, NCSC en Politie een whitepaper over ransomware gepubliceerd. Doelgroep is de CISO of cyberverantwoordelijke binnen een organisatie.

Het document beschrijft het fenomeen ransomware, de fases van de aanval, de sectoren en het document geeft een aanzet tot de acties die organisaties kunnen ondernemen om zich te wapenen tegen ransomware. Zo wordt in het whitepaper een koppeling gemaakt tussen de fasen van een ransomware-aanval en de maatregelen die je kunt nemen om een aanval te voorkomen.

Op wie is ransomware gericht?

Ransomware neemt sinds enkele jaren wereldwijd toe en is in principe gericht op elke organisatie die niet voldoende maatregelen heeft getroffen. Hierbij is het wel belangrijk een verschil te maken tussen opportunistische en gerichte aanvallen:

Opportunistische ransomware aanval

Een opportunistische aanval is niet gericht op een specifieke persoon of organisatie. Schaalvoordeel is het verdienmodel van de crimineel; hoe groter het aantal getroffen bedrijven, personen en individuen hoe beter. Door de crimineel wordt veelal een lager losgeldbedrag gevraagd, omdat ze met een grote hoeveelheid kleinere bedragen ook winst weten te maken.

Gerichte ransomware aanval

Tegenwoordig vinden steeds meer gerichte ransomware-aanvallen plaats. Voorbeelden hiervan zijn de aanval op de Universiteit Maastricht en de ransomware-aanval op VDL Groep. Hierbij richten de cybercriminelen zich op een specifieke organisatie die naar verwachting een hoger bedrag aan losgeld zal en kan betalen. De systemen van het slachtoffer worden allereerst voor een langere tijd door een professionele criminele organisatie grondig geanalyseerd. Bij deze analyse wordt gekeken hoeveel losgeld er gevraagd kan worden en welke acties zoveel mogelijk impact hebben op de organisatie, om er zeker van te zijn dat deze tot betaling over zal gaan. Bij een gerichte en zorgvuldig voorbereide aanval kan het losgeld tot in de honderdduizenden euro’s oplopen.

4 niveaus van afpersing via ransomware-aanvallen

De ontwikkeling van ransomware staat niet stil. Afgelopen jaren zijn verschillende varianten op de klassieke aanval ontwikkeld. Er wordt wel gesproken over 4 niveaus van afpersing via ransomware: de enkelvoudige, tweevoudige, drievoudige en viervoudige afpersing. Elk niveau dat aanvallers toevoegen aan hun aanvalstaktiek vormt een extra verzwaring van de lasten bij het slachtoffer. Hierdoor wordt de druk om losgeld te betalen steeds groter.

Enkelvoudige afpersing

Dit is de klassieke variant. Dit is een ransomware-aanval waarbij gegevens en bestanden versleuteld en onbereikbaar worden gemaakt. De aanvaller eist losgeld om deze versleutelde bestanden weer beschikbaar te maken.

Tweevoudige afpersing

De tweevoudige afpersing wordt gezien als de nieuwe norm. Bij deze variant zal een aanvaller naast het versleutelen en onbereikbaar maken van data, deze data ook gebruiken als middel om een bedrijf af te persen. De aanvaller dreigt om gevoelige gegevens openbaar te maken (bijvoorbeeld via zogenoemde leak sites) als het bedrijf het gevraagde losgeldbedrag niet (snel genoeg) betaalt. Deze variant is extra gevaarlijk omdat het zelfs voor bedrijven die hun versleutelde data via een back-up kunnen herstellen, een gevaar is dat gevoelige data worden geopenbaard.

Drievoudige ransomware-aanval

Een volgende stap in de aanvalstactiek van hackers is de drievoudige afpersing. Bij deze variant voert de aanvaller, naast het versleutelen en openbaar dreigen te maken van bedrijfsgegevens en data, ook een DDoS-aanval uit. Zo’n aanval kan - door overbelasting - zorgen voor een onbereikbare server. 

Viervoudige ransomware-aanval

Bij een viervoudige afpersing worden naast het slachtoffer ook klanten en stakeholders van het slachtoffer direct benaderd om meer druk uit te oefenen op het slachtoffer. Er wordt in deze variant bijvoorbeeld gedreigd dat ook klantgegevens op straat komen te liggen. Zo is het slachtoffer nog eerder geneigd het geëiste losgeldbedrag te betalen.

Hoe kun je besmet raken met ransomware?

Je kunt op verschillende manieren besmet raken met ransomware. Het virus kan verstopt zitten in onder andere advertenties op websites of bijlagen in e-mails. Vaak wordt de ransomware verspreid middels een e-mail, waarin de criminelen zich voordoen als een betrouwbare organisatie of kennis (ook wel bekend als phishing). In de bijlage van de ontvangen e-mail zit het virus verstopt. Wanneer je deze opent, verspreidt het virus zich en krijg je de melding dat je computer en/of bestanden niet meer toegankelijk zijn. Na het betalen van een geldbedrag, beloven de criminelen de toegang te herstellen. Recentelijk zijn er ook ransomware infecties waargenomen die gebruikmaken van bekende of nog niet opgeloste kwetsbaarheden in systemen. Hierbij is het bezoeken van een kwaadaardige website dan al voldoende om besmet te raken met ransomware.

Illustratie van een vishengel die een laptop vangt.

Wat kun je doen om ransomware te voorkomen?

Er bestaat helaas geen wondermiddel dat volledige bescherming biedt tegen ransomware. Ransomware is namelijk één van de vele vormen van malware.
De manier waarop ransomware wordt 'afgeleverd' bij het slachtoffer is veelal vergelijkbaar met hoe andere malware varianten je bedrijf besmetten. Bijvoorbeeld via een phishingmailtje of een klik op een kwaadaardige link. Veel zaken die je kunt regelen zijn daarom vergelijkbaar met de maatregelen die je kunt treffen tegen ander malware.

Hieronder vind je een aantal belangrijke aanbevelingen die helpen om ransomware besmetting te voorkomen:

  1. Houd je besturingssystemen en programma's altijd up-to-date. Dit verkleint de kans op besmetting aanzienlijk;
  2. Zorg dat je een antivirusprogramma gebruikt en houd ook deze up-to-date. Deze programma's hebben vaak meerdere functies om virussen tegen te gaan. Zorg dat zoveel mogelijk van deze functies zijn ingeschakeld;
  3. Ook mailservers en moderne e-mailclients zijn vaak voorzien van ingebouwde anti-phishing functionaliteit. Stel deze zorgvuldig in;
  4. Maak waar mogelijk gebruik van tweestapsverificatie;
  5. Open geen e-mail, links in mails en bijlage(n) van vreemde afzenders;
  6. Open ook geen e-mail van bekenden met links of bijlagen die je eigenlijk niet verwacht. Check met de verzender (via een ander kanaal dan e-mail) of het bestand bewust is verstuurd;
  7. Leer en train je medewerkers regelmatig om phishing e-mails te herkennen. Het is vaak erg moeilijk om valse e-mails te herkennen, vooral als het gaat om gerichte aanvallen;
  8. Beperk de installatiemogelijkheden van software en voorkom dat medewerkers software kunnen installeren op de bedrijfscomputers. Hiermee voorkom je dat besmette programma's je bedrijfsnetwerk kunnen infecteren;
  9. Maak gebruik van sterke en complexe wachtwoorden. Een sterk wachtwoord is niet te raden en moeilijk te kraken door een computer;
  10. Maak regelmatig back-ups van je bestanden. Belangrijk is om deze niet met je computer verbonden te houden omdat anders het risico bestaat dat ransomware deze ook mee versleutelt. Na een besmetting kun je dan weer over je bestanden beschikken;
  11. Probeer ook van het volledige systeem (computer) een back-up te maken. Zo kun je naast bestanden ook applicaties herstellen.

    Check meer tips over het maken van goede back-ups.

"Goed back-up systeem was onze redding"

Enige tijd geleden werd Rein Advocaten & Adviseurs slachtoffer van ransomware. "Een goede back-up was de redding", vertelt Jeroen Sprangers.


Aan de slag met "Incidentresponsplan Ransomware"

Een ransomware-aanval op je bedrijf is heel ingrijpend. Onder de druk van zo'n aanval is het lastig om planmatig te werken. Wat zijn de essentiële stappen die je moet nemen? Bereid je bedrijf voor op een ransomware-aanval met het Incidentresponsplan Ransomware van het Nationaal Cyber Security Centrum (NCSC). Elk incident en elke organisatie is natuurlijk anders. Het incidentresponsplan biedt daarom geen pasklare oplossing voor alle mogelijke situaties, het is meer een inspiratiebron om snel mee aan de slag te gaan.

Wat te doen als je besmet bent met ransomware?

Het advies is om geen losgeld te betalen. Je hebt geen garantie dat de betaling leidt tot de teruggave van je gegevens. Ook ben je niet zeker dat als je de gegevens terugkrijgt deze in onveranderde staat zijn. Verder bestaat het risico, na betaling, dat je een tweede keer wordt afgeperst door middel van de dreiging van openbaarmaking van gegevens. Als laatste steun je de criminele activiteiten achter de ransomware. Enkele slachtoffers die in het verleden losgeld hebben betaald, gaven aan dat er na een eerste betaling toch een hoger bedrag van hen werd geëist. In sommige gevallen werden de slachtoffers na enige tijd opnieuw door dezelfde ransomware getroffen.

Benieuwd wat je nog meer kunt doen als je slachtoffer bent geworden van ransomware?