Al die ogen op Artificial Intelligence, het drukt Ransomware haast in het vergetel hoekje. De cijfers liegen alleen niet: in de eerste 9 maanden van 2023 waren er al meer ransomware aanvallen dan in heel 2022. 

Ransomware-as-a-Service (daarover later meer) zal vast een aandeel hebben in deze stijging. Maar MIT professor Stuart Madnick – waar bovengenoemde cijfers vandaan komen – benoemt ook dat ransomware bendes gewoon veel georganiseerder zijn geworden. Daar gaan we in 2024 zeker van alles van merken. Er is nog geen uitzicht op vermindering in ransomware aanvallen, helaas. 

In het kort: wat is Ransomware?

Ransomware is malware die aanvallers inzetten voor chantage. Hoe? De schadelijke software versleutelt eerst – zo belangrijk mogelijke – bestanden van de doelwitorganisatie. Daarna vraagt de ransomwarebende om losgeld met de belofte de versleutelde bestanden te herstellen. Vaak zetten ze hierbij druk op het bedrijf dat slachtoffer is. En helaas geeft betaling lang niet altijd de garantie op een oplossing.

Wie zijn die doelwitten dan?

Het belangrijkste is dat een organisatie over de brug komt met het losgeld. Dat gebeurt sneller als die organisatie genoeg in paniek raakt. Dat is vaak wanneer erg belangrijke bestanden vergrendeld zijn. Bendes kiezen dus vooral (grotere) organisaties waarbij bestanden gevoelig en/of essentieel zijn voor de corebusiness. 

Denk bij doelwitten dus vooral aan overheden, scholen, ziekenhuizen, banken, energiecentrales en grote ondernemingen. Maar: sommige ransomwarebendes kiezen misschien voor meerdere kleinere doelwitten. Daarnaast verandert het threatlandschap continu. De methodes van ransomware aanvallen dus ook. 

Wat voor ontwikkelingen zijn er binnen de ransomware?

We noemden net al Ransomware-as-a-Service: gebruiksklare ransomware die eenvoudig te kopen is op het dark web. Het maakt ransomware aanvallen vanuit de zolderkamer een stuk toegankelijker voor tieners met een beetje techkennis. Maar ondertussen zijn er meer ontwikkelingen: 

1. Ransomwarebendes verharden hun aanpak

Het doel van ransomwarebendes is en blijft zoveel mogelijk (los)geld verzamelen. Daarvoor veranderen en verbeteren ze constant hun tactieken. Want wat vergroot de kans dat organisaties sneller betalen? We zien dat bendes de druk op slachtoffers de laatste tijd enorm vergroten tijdens ransomware aanvallen. Hier een voorbeeld: 

In Amerika nemen bendes direct na de aanval contact op met de U.S Securities and Exchange Commission (SEC). Een van de verantwoordelijkheden van de SEC is het beschermen van beleggers. Bij een beursgenoteerd slachtofferbedrijf maakt de SEC de ransomwareaanval vrijwel direct publiek. Beleggers krijgen dan bezorgdheid, wat natuurlijk een enorme impact kan hebben. 

Een kat in het nauw maakt rare sprongen. Dus een bende die “We hebben de SEC al ingelicht van deze aanval” zegt tegen het slachtofferbedrijf, heeft meer kans op betaling van losgeld. 

2. Ransomware aanvallen: hiding in plain sight

De ene bende doet aan grootschalige en opvallende ransomware aanvallen. De andere bende – die zich richt op grote bedrijven (die een SOC hebben die aanvallen op tijd detecteert) – gebruikt meer verfijnde methoden. Denk aan het vermommen van de aanval als legitiem netwerkverkeer of normale systeemactiviteit. “Hiding in plain sight”: het is een tactiek waar we meer en meer alert op mogen gaan zijn.

Bendes kunnen hun ransomware onopvallend verspreiden via schijnbaar normaal e-mailverkeer, filesharing of zelfs de software die al aanwezig is op de systemen inzetten. Alles om ervoor te zorgen dat de aanwezige beveiliging minder snel alarm slaat. Zodat de bende genoeg de tijd heeft om schade aan te richten. Betrouwbare software kan met deze techniek dus ineens een bedreiging vormen.

3. Meer focus op data diefstal (en het internationale aspect ervan)

Bij ransomwarebendes denkt men vooral aan de gijzeling van data. Maar de diefstal (exfiltratie) ervan is ook een onderdeel ervan. Ze dreigen de gegijzelde data publiek te maken of door te verkopen (weer een tactiek om het slachtoffer onder druk te zetten). Om data te stelen, is het belangrijk dat de aanvaller eerst ongezien binnenkomt.

Het stelen van data is overigens niet nieuw, al hebben wel steeds meer experts het erover dat ransomwarebendes zich meer op diefstal gaan focussen dan op encryptie.

Opvallend is dat op het moment meer dan 40% van de gestolen gegevens naar China en Rusland gaat. Er wordt steeds meer gespeculeerd over State-Sponsored data diefstal. Maar het is niet hard te bewijzen: het kan ook zo zijn dat de data exfiltratie naar deze landen niets met hun overheid te maken heeft.

Of het nu State-Sponsored is of niet: experts verwachten dat in 2024 landen zoals Noord-Korea een noggroter aandeel gaan hebben in dit percentage. En het interessante aan Noord-Korea is dat die in het verleden wel als staat aangekeken zijn op het hacken van banken.

4. Sommige bendes verleggen hun aandacht naar IoT in productieketens

Hoe belangrijker data is voor bedrijfsprocessen, hoe groter de kans dat een organisatie bezwijkt onder de druk en losgeld betaalt. Wie bij productiebedrijven een cyberaanval zo in kan zetten dat de volledige productie stil komt te liggen, krijgt vast bij een aantal van deze bedrijven losgeld. 

Interessant is dat ransomwarebendes ook Internet of Things (IoT) apparaten vaker gebruiken om dit soort processen te ontwrichten. Dit zijn slimme apparaten die aangesloten zijn op het bedrijfsnetwerk. Een airco bijvoorbeeld. Dit soort endpoints zijn vaak minder goed beveiligd, vooral omdat ze over het hoofd worden gezien. 

5. Dichtgetimmerde ransomware code

We benoemden aan het begin van dit artikel al dat bendes georganiseerder zijn geworden. De professionalisering van ransomware aanvallen is ook te zien in de soorten ransomware die ze ontwikkelen. Zo houden bendes zich meer bezig met secure coding tegenwoordig. 

Bij secure coding houdt een ontwikkelaar van software bij het coderen al rekening met de veiligheid van de code. Zo maken ze het moeilijker om bij de broncode te komen, bijvoorbeeld. 

Doordat bendes dit nu ook inzetten bij de ontwikkeling van hun ransomware, is reverse engineering moeilijker. En dit is juist iets wat cyber security experts doen om de aanvalmethode te analyseren, zodat ze kunnen blijven bouwen aan actuele beschermingstechnieken. 

Groeiend bewustzijn

Ransomwarebendes blijven in een stijgende lijn meer en meer om zich heen slaan. Gelukkig groeit de bewustzijn daarvan ook bij organisaties. Dat is ook niet gek: grote ransomware aanvallen komen geregeld voorbij in het nieuws. 

Dat bewustzijn is belangrijk. Want in een tijd waarin we zien dat de technieken van bendes in een razend tempo verbeteren, is het extra van belang netwerken meer te monitoren en te weten wat te doen bij een ransomware aanval.

Wat gelaagde beveiliging is? En waarom het een stuk effectiever is tegen (meerdere soorten) ransomware-aanvallen? We geven antwoord aan de hand van een praktijkvoorbeeld.

Want in dat praktijkvoorbeeld ging het helaas fout: er waren onvoldoende barrières op verschillende lagen. Daardoor hadden aanvallers een goede kans toch een weg naar binnen te vinden. Gelukkig is de schade beperkt gebleven in dit voorbeeld. Maar vervelend blijft het altijd. Een ransomware-aanval kan een knap kwetsbaar gevoel geven.
 

Niet-toegankelijke data

Op 2 Augustus kreeg onze cyberlabdienst een melding van een IT-dienstverlener over een verontrustende situatie. Sinds de vroege ochtend werden ze gebeld door klanten die aangaven niet bij hun data te kunnen. Hoe dat kon? Ze hadden een vermoeden: ransomware. Na een analyse bleek het volgende aan de hand te zijn:
 

Niet-gedetecteerde ransomware

Er was inderdaad ransomware op het netwerk gekomen. Het vreemde hieraan? Deze was niet opgemerkt, terwijl de organisatie wel gebruik maakte van Endpoint Security. In principe was er niets mis met de software die ze gebruikten. Dus waarom reageerde het niet op de ransomware? Nou, niet omdat de software niet deed wat het moest doen, maar omdat de aanvallers anders te werk waren gegaan.
 

Er was niets versleuteld

Ransomware staat erom bekend bestanden te versleutelen en zo ontoegankelijk te maken. Veel security oplossingen die werken met Machine Learning zijn dan ook op dat principe gebaseerd: die geven een melding wanneer er bestanden worden versleuteld. Dat wijst tenslotte op een ransomware aanval. Het gekke bij deze aanval was alleen dat er helemaal geen bestanden versleuteld waren!

Dat verklaart waarom de Endpoint software geen reactie gaf. Is deze Endpoint software daarmee meteen nutteloos? Zeker niet. Want het doet in de meeste gevallen – waarin bestanden bijvoorbeeld wel direct encrypt worden – gewoon zijn werk. Maar bij dit zeldzame geval was er helaas net wat meer nodig om de aanval te voorkomen. Daarover later meer.
 

Zo gingen de aanvallers te werk

Het was geen doorsnee ransomware aanval dus. Hoe de aanvallers de Endpoint Security hebben kunnen omzeilen? Even snel een (technische) uitleg voor de nieuwsgierigen:

Na wat onderzoek kwamen we erachter dat ze een valide tool genaamd “BestCrypt Volume” gebruikten. Hiermee konden ze alle (non-bootable) volumes versleutelen met een password. De disk hebben ze dismounted, waarna alle data niet meer te benaderen was.

Wat is een “valide” tool? Valide betekent dat het erkend is als veilige of zelfs standaard ingebouwde software. Om deze reden worden valide tools dus niet gedetecteerd als ongewoon. Ook niet wanneer een aanvaller ze kwaadaardig inzet.

Om die boot schijf (C:\) te versleutelen, gebruikten ze Bitlocker: ook een valide tool van Microsoft zelf. Door deze handeling, is na een reboot de server niet meer te gebruiken. Gelukkig is dat niet gebeurd.

Wat ze wel hebben gedaan, is als laatste stap nog een .bat file plaatsen en draaien vanaf C:\Windows. De hele desktop kwam vol te staan met een ransomnote: het “losgeldbriefje” van de aanvallers. (Op dit punt gaf de Endpoint Security overigens wel een melding, maar toen was het al te laat)
 

Hoe is dit te voorkomen?

Het is om te beginnen goed om kritisch te zijn op de Endpoint Protectie die u kiest. Eerder schreven we al hoe Endpoint Protectie met AI (Machine Learning) effectiever is dan traditionelere varianten. Inmiddels is er best wat AI Endpoint Security op de markt.

In het geval van deze aanval hebben we wat tests gedraaid. De Endpoint Protectie van SentinelOne ging af op onze lab-machine toen de BestCrypt Volume tool werd uitgepakt van de zip. Volgens Virustotal is SentinelOne daarnaast de enige die de BestCrypt-tool als “malicious” heeft bestempeld. Hierdoor zou SentinelOne de aanval eerder – en dus wél op tijd – gedetecteerd hebben:

Gelaagde beveiliging

Maar Endpoint Security is helaas niet alles. We benoemden het al: gelaagd werken is nog slimmer. Door niet alleen te vertrouwen op Endpoint Security, maar op verschillende lagen barrières aan te leggen, is de kans groter dat een gehaaide aanval als deze niet onopgemerkt blijft.

Zie het als camera’s die vanuit verschillende hoeken de boel in de gaten houden. Misschien is de ransomware-aanval op camera 1 niet te zien, maar spot camera 2 de aanval wel.

Daarnaast stelt een gelaagde aanpak u in staat aanvallers ook al in eerdere stadia te detecteren. Bijvoorbeeld op het moment dat ze het netwerk betraden. In het geval van de IT-dienstverlener in het praktijkvoorbeeld had goede digitale hygiëne en best practices het verschil kunnen maken.
 

Tot slot: hoe was de schade?

U vraagt zich vast af hoe het voor de organisatie afgelopen is. Gelukkig viel de schade heel erg mee. Dat had er alles mee te maken dat deze IT-leveranciers erg goede back-ups had. Deze zijn niet getroffen door de aanval en waren gewoon bruikbaar. Hoe dat kwam? Toevallig was er op de back-ups dus zo’n eerder genoemde beveiligingslaag toegepast: ze waren volledig buiten het productie netwerk bewaard.
 

Meer weten over ransomware en gelaagde beveiliging?

We kunnen ons voorstellen dat u misschien wat vragen heeft na aanleiding van dit voorbeeld. Neem voor meer informatie over ransomware-aanvalen, Endpoint Security en gelaagde beveiliging vrijblijvend contact met ons op.

De is één van de sectoren die tegenwoordig veel te maken krijgt met cyberchantage: afgelopen week waren er weer twee buitenlandse instellingen slachtoffer gevallen van ransomware aanvallen. Waarom is chanteren met gijzelsoftware en DDoS-aanvallen zo interessant voor cybercriminelen? En wat kunt u er zelf tegen doen?

Tijdelijke stop gijzeling van zorg-IT

Voor we dieper ingaan op bovenstaande vragen, eerst nog wat “positief” nieuws: enkele ransomwarebendes beloven tijdelijk te stoppen met aanvallen op medische organisaties. Ze hebben besloten zich ethisch op te stellen en voor nu zorg-IT en overheden te vermijden. Een aantal cybercriminelen verklaarden dat ze dit al deden.

Dit alles is naar aanleiding van de aanvallen op de twee instellingen in Tsjechië en Amerika die hierdoor niet meer optimaal hun zorgdiensten konden verlenen tijdens de pandemie. Waarschuwingen en zorgen vanuit de cybersecuritywereld hebben ertoe geleid dat ransomwarebendes beloven de publieke sector voor nu te ontzien en geen ransomware-aanvallen meer op te zetten.

Een temporaire vrijwaring van ransomware aanvallen

Enkele bendes benoemen wel dat deze vrijwaring van tijdelijke aard is. Tot de crisissituatie is gestabiliseerd. Vindt er toch per ongeluk afpersing in de zorg plaats? Dan beloven ze de sleutel die de gegijzelde data ontgrendelt gratis aan te bieden. Getroffen organisaties moeten hiervoor contact opnemen via de contactgegevens die ze kunnen vinden in de losgeldeis. Een bewijs dat ze een zorgverlener zijn is verplicht.

De ransomwarebende achter Maze hebben zich overigens niet aan deze belofte gehouden.

Andere organisaties vangen alsnog klappen, waaronder Thuisbezorgd.nl

De medische wereld is ontzien, maar andere sectoren krijgen alsnog te maken met grote aanvallen. Zo treft de cyberaanval op Thuisbezorgd van vorige week zo’n 100.000 klanten. DDoS’ers hebben de server overbelast, waardoor bestellingen niet goed doorkwamen bij restaurants. Klanten bestelden eten maar kregen vervolgens niets.

De aanvallers eisten dat Thuisbezorgd twee Bitcoin (omgerekend een kleine € 10.000,-) overmaakt om de aanval te staken.

Het bedrijf geeft aan dat de aanval voelde als een vorkheftruck die door een winkelpui naar binnen raasde. Volgens Thuisbezorgd komen hackers er namelijk echt niet zomaar doorheen. Helaas is dat nu toch gebeurd.  Gedupeerde klanten hoeven overigens niet te vrezen: zij krijgen hun geld gewoon terug, mochten ze hun bestelling niet ontvangen hebben.

Cyberchantage: waarom is het zo interessant voor criminelen?

Of aanvallers nu kiezen voor een DDoS-aanval of ransomware: het verdienmodel van cyberchantage is eigenlijk heel simpel. Eerst vallen ze het systeem van een organisatie zodanig aan dat het niet meer te gebruiken is, om vervolgens een oplossing aan te bieden. Uiteraard in ruil voor een flinke vergoeding. Slachtoffers voelen zich noodgedwongen te betalen en cybercriminelen gaan weer door naar hun volgende slachtoffer.

Hoe komen cybercriminelen weg met deze aanvallen?

Aanvallers gaan zo te werk dat ze bijna niet te traceren zijn. Zo vragen ze slachtoffers niet om geld over te maken naar hun bankrekening, maar te betalen in anonieme cryptocurrency. Bitcoins hebben vaak de voorkeur. Door dit soort maatregelen blijven bendes succesvol anoniem en onder de radar. Veel organisaties – zoals Thuisbezorgd – vinden aangifte doen dan ook zinloos en kiezen ervoor dit niet te doen. Toch raadt de politie aan altijd een melding te maken van cybercrime.

Daarnaast adviseert de Nederlandse overheid ook nooit te betalen. Dit houdt tenslotte het verdienmodel van deze bendes in stand en houdt het verspreiden van ransomware en het inzetten van gijzelsoftware lucratief. Voorkom liever dat betalen uw enige optie is. Er zijn namelijk manieren om uzelf te beschermen tegen (de gevolgen van) dit soort aanvallen.

Zo beschermt u zich tegen cyberchantage

Cyberchantage: vooral bedrijven krijgen ermee te maken. Ook overheidsinstellingen zoals gemeentes moeten regelmatig hun budgetten inzetten om data terug te krijgen. Toch is dit niet altijd nodig. We geven een aantal tips om uzelf (zowel privé als zakelijk) zo goed mogelijk te beschermen tegen cyberchantage:

1. Hou al uw software up-to-date

Zorg ervoor dat medewerkers of collega’s dit ook doen. Het is niets nieuws dat aanvallers vaak ingangen weten te vinden via verouderde software. Toch vergeten veel mensen gek genoeg alsnog regelmatig te updaten. Updates zijn essentieel! Zeker wanneer het om beveiligingsupdates gaat.

2. Maak regelmatig een back-up

Back-ups zijn een krachtig wapen tegen cybercrime. Bent u toch slachtoffer geworden van ransomware? Dan maakt een back-up het mogelijk de boel te herstellen naar een punt vóór de infectie. Hierdoor is het betalen van losgeld niet meer nodig. Helaas wordt het instellen van automatische back-ups vaak vergeten, zeker door particulieren.

3. Pas op met downloads en onbetrouwbare sites

Het is geen vernieuwende tip, maar wel een belangrijke: pas op met het downloaden van bestanden of het bezoeken van onbetrouwbare websites. Op die manier verkleint u de kans dat u malware binnenhaalt. Liever automatische bescherming? Neem dan contact met ons op voor meer informatie.

4. Tot slot: investeer in sterke beveiliging

Zeker wanneer organisaties gebruik maken van remote desktop-software, is het belangrijk te investeren in goede beveiliging. Controleer uw systemen op kwetsbaarheden met een pentest en zorg voor encryption en two factor authentication. Ontdek hier nog meer beveiligingsoplossingen.

Laat u zich liever adviseren?

Het zelf realiseren van optimale cybersecurity kan nogal een kluif zijn. Laat u zich liever adviseren door cybersecurity experts? Dan nodigen we u uit vrijblijvend contact met ons op te nemen.

Weten wat u moet doen bij een ransomware-aanval? Lees dan dit artikel.