Een paar maanden geleden stond de wereld even op z’n kop. WannaCry, een grootschalige ransomware-aanval, infecteerde meer dan 300.000 computers. Zowel particulieren als grote bedrijven werden geraakt, en pas na het betalen van losgeld kreeg je je bestanden terug.

Inmiddels is de storm rond WannaCry wat afgenomen, maar het fenomeen ransomware is voorlopig nog niet uitgeroeid. In dit artikel vertel ik meer over ransomware, het ontstaan ervan, en hoe je jezelf ertegen kunt beschermen.

Wat is ransomware?
Dit maakt ransomware zo evil
Geschiedenis van ransomware: ouder dan je denkt
Toekomst van ransomware: here to stay?
Voorkomen dat je geïnfecteerd raakt
Genezen: wat als je al geinfecteerd bent?
Tot slot

Wat is ransomware?

Om het niet te ingewikkeld te maken, gebruik ik een ruime definitie. Simpel gezegd is ransomware software die ervoor zorgt dat je niet meer bij je bestanden kunt. Pas als je losgeld betaalt, laten de aanvallers je bestanden weer vrij. Zo snap je ook direct waar de naam vandaan komt, want ‘ransom’ betekent losgeld.

Er zijn 2 grote categorieën te onderscheiden als we het over ransomware hebben:

  • Encryptors. Dit zijn virussen die geavanceerde algoritmes gebruiken om je bestanden te versleutelen. Als je geld overmaakt naar de aanvallers, krijg je de sleutel om je bestanden weer te bevrijden. Cryptolocker en Wannacry zijn hier bekende voorbeelden van.
  • Lockers. Dit zijn vaak minder complexe virussen, maar niet minder schadelijk. Een locker zorgt ervoor dat je niet meer in je besturingssysteem kunt, wat je computer vrij nutteloos maakt. De bestanden zijn niet versleuteld, maar je moet nog steeds betalen om weer toegang te krijgen.

In de rest van dit artikel hebben we het eigenlijk alleen over encryptors, omdat deze soort de laatste tijd enorm in opkomst is. Veel professionals op het gebied van online veiligheid zien het zelfs als de grootste bedreiging op dit gebied.

Dit maakt ransomware zo evil

Als je al een tijdje meedraait in de wereld van het internet, heb je vast wel eens te maken gehad met een virus. Altijd vervelend, omdat het je tijd kost om de boel weer te repareren. En meestal raak je ook nog je bestanden kwijt bij zo’n actie. Maar ransomware is vervelender, en wel om de volgende 10 redenen:

1. De encryptie is niet te breken

Denk maar niet dat je je bestanden zelf weer kunt bevrijden, daarvoor zijn de gebruikte algoritmes echt veel te geavanceerd.

2. Alle data kan gegijzeld worden

Ransomware maakt geen onderscheid. Of het nou je foto’s, filmpjes of andere documenten zijn, ransomware kan het versleutelen en gijzelen.

3. Je bestandsnamen worden veranderd

Omdat al je bestandsnamen in de war geschopt worden, weet je niet meer wat wel en niet geïnfecteerd is. Dit maakt de druk om het losgeld te betalen groter, want in theorie kan álles geïnfecteerd zijn!

4. Je moet betalen in Bitcoins

Bij de meeste ransomware moet je het losgeld via Bitcoins betalen. Ten eerste is dat vervelend omdat bijna niemand die dingen heeft liggen (en ze ondertussen veel te duur zijn om te kopen). Ten tweede zijn Bitcoins ook niet te traceren, waardoor de daders niet gevonden worden.

5. Tijdslimiet op het betalen

Om de druk nog wat te verhogen, moet je vaak binnen een aantal uur betalen. De ene keer wordt het bedrag dat je moet betalen na die deadline verhoogd, maar soms wordt je data ook gewoon vernietigd.

6. Onzichtbaar voor anti-virusprogramma’s

De meeste ransomware wordt niet opgemerkt door traditionele antivirusprogramma’s. Dat komt bijvoorbeeld door technieken als Fast Flux en anti-sandbox mechanismes. De ontwikkeling van antivirusprogramma’s staat natuurlijk ook niet stil, dus de bescherming wordt wel steeds beter.

7. Ook nog je wachtwoorden kwijt

Ransomware kan ook andere data van je computer halen en doorsturen naar de aanvallers. Bijvoorbeeld gebruikersnamen, wachtwoorden en andere zaken die je liever voor jezelf houdt.

8. Steeds persoonlijkere aanvallen

Omdat de aanvallers heel gericht kunnen aanvallen, is de ‘losgeldbrief’ vaak ook nog in je eigen taal geschreven. Zo hopen ze meer mensen te overtuigen om te betalen.

9. Een besmettelijke ziekte

Ransomware verspreidt zich ook nog eens heel makkelijk naar andere computers in je lokale netwerk, waardoor de schade nog groter wordt.

10. Je computer wordt een zombie

Tot slot kan je computer ook nog in een botnet terechtkomen, waardoor de aanvallers een nog grotere infrastructuur hebben voor toekomstige aanvallen.

Niet al deze redenen zijn op elke ransomware-aanval van toepassing, maar het is een feit dat het vaak hele slimme en gemene aanvallen zijn. Voordat we kijken naar manieren om jezelf te beschermen, gaan we de ontstaansgeschiedenis uitpluizen.

Geschiedenis van ransomware: ouder dan je denkt

Hoewel het lijkt alsof ransomware iets nieuws is, bestaat het eigenlijk al sinds 1989. Toen werd de zogenaamde AIDS Trojan gemaakt. Dit virus werd via floppy’s verspreid naar mensen die op een conferentie over aids waren. Er werd al snel een manier gevonden om de encryptie terug te draaien, maar het was wel de aanzet voor ransomware zoals we dat vandaag de dag kennen.

Paard van Troje, hetzelfde principe als ransomware.

Ransomware komt net zo sneaky binnen als het paard van Troje, maar is wel iets jonger.

Toch duurde het nog 17 jaar voordat de volgende aanval boven kwam drijven. De Archiveus Trojan versleutelde alles wat in ‘Mijn Documenten’ stond. Betalen kon via een aantal websites. De encryptie van deze ransomware was al een stuk geavanceerder en moeilijker te kraken.

In 2011 was het voor aanvallers al een stuk makkelijker om anoniem aan hun geld te komen. Een nep-activatietool voor Windows heeft toen voor de nodige slachtoffers gezorgd. Om van de problemen af te komen, moest je namelijk een gratis internationaal nummer bellen. Dit bleek alleen niet zo gratis als gezegd, waardoor je behoorlijke telefoonrekening kreeg.

Een belangrijke mijlpaal in de geschiedenis van ransomware was de geboorte van Cryptolocker in 2013. Dit was de eerste ransomware die via obscure websites en als e-mailbijlage werd verstuurd. Omdat Cryptolocker gebruik maakte van het GameOver Zeus-botnet, ging de verspreiding razendsnel.

Na Cryptolocker kwamen er veel meer aanvallen die op dezelfde manier werkten. TeslaCrypt, L0cky, Jigsaw en WannaCry zijn allemaal voorbeelden van ransomware die in meer of mindere mate op Cryptolocker gebaseerd zijn. En omdat er steeds meer internetgebruikers komen, zal het ook nog wel even duren voordat ransomware uitgeroeid is.

Toekomst van ransomware: here to stay?

Het is niet voor niets dat ransomware zo succesvol is. Het levert namelijk snel en eenvoudig geld op. Er zijn zelfs al programma’s op het darkweb te koop die een soort ransomware-as-a-service zijn. Zo hoef je als hacker niet eens meer je eigen code te schrijven, maar vul je simpelweg wat gegevens in en verspreid je je op maat gemaakte virus. Er zijn wel meer zorgen over ransomware in de toekomst.

Ransomware en het Internet of Things

Bruce Schneier, Chief Technology Officer bij IBM Resilient, verwacht nog hele grote problemen met ransomware. Zeker in combinatie met het Internet of Things. Het Internet of Things betekent dat er straks steeds meer apparaten zijn die een verbinding hebben met het internet, en er zelfs afhankelijk van zijn om bediend te worden.

Denk bijvoorbeeld eens aan auto’s. Het is een kwestie van tijd voordat mensen berichten op hun dashboard lezen dat ze €250,- moeten betalen om hun auto te kunnen gebruiken. Of als we onze voordeur straks alleen nog maar openen met onze smartphone? Reken maar dat er ransomware komt die je €100,- laat betalen om je huis in te kunnen! En wat dacht je van een pacemaker die via het internet informatie uitwisselt met het ziekenhuis? Je kunt je voorstellen dat de gevolgen daarvan best wel heftig kunnen zijn.

Dat lijkt allemaal vrij theoretisch, maar er zijn al slimme thermostaten gehackt en geïnfecteerd met ransomware. Niet alleen betaal je je scheel aan energiekosten als een hacker je thermostaat elke dag op 35 graden zet, maar het is ook ongezond, slecht voor je huis en je spullen. Of wat als het hartje winter is en je geen verwarming hebt?

Databases en back-ups zijn het volgende doelwit

De meeste ransomware richt zich tegenwoordig op de versleuteling van bestanden op je computer. Hoewel dat natuurlijk al vervelend genoeg is, zie je ook steeds vaker dat ransomware zich richt op databases. De kans is groot dat deze aanvallen de komende tijd alleen maar toenemen, omdat er veel te halen valt. Ga maar na, waar staat de meest gevoelige data van een bedrijf? Juist, in hun databases.

Ook back-ups zullen niet altijd veilig blijven. En hoewel ze onmisbaar zijn, moet het niet het enige zijn waar je op vertrouwt. Het kan soms namelijk best even duren voordat je back-up helemaal hersteld en up and running is. En dat kan je bedrijf best wat geld kosten. Een back-up blijft wel een van de weinige methodes om de boel te herstellen nadat je gegijzeld bent door ransomware. Dat maakt het gelijk ook een interessant doelwit. Als zowel je gewone data als je back-up gegijzeld is, ben je waarschijnlijk eerder geneigd de hacker te betalen.

Data-extractie

De Engelse term voor dit nieuwe fenomeen is ‘data exfiltration’. Het komt er simpel gezegd op neer dat hackers je data niet versleutelen, maar stelen. Dit is in potentie veel schadelijker dan versleutelen, omdat een hacker gevoelige informatie openbaar kan maken. De druk om te betalen is groter, en de bedragen die je bereid bent te betalen waarschijnlijk ook. En dat is precies de reden dat deze vorm van ransomware waarschijnlijk sterk gaat toenemen.

Een simpel voorbeeld maakt gelijk duidelijk over hoeveel geld we het hebben. In 2013 en 2014 werd er een heleboel gebruikersdata gestolen van Yahoo. Denk aan gebruikersnamen, e-mailadressen, telefoonnummers en de veiligheidsvragen en -antwoorden die gebruikers hadden ingesteld. Het herstellen van deze hacks heeft ongeveer €350.000.000,- gekost. Ja, dat lees je goed, €350 miljoen! Je kunt je voorstellen dat Yahoo waarschijnlijk best bereid was geweest een flinke som losgeld te betalen in ruil voor de gestolen data.

Het blijft natuurlijk wel de vraag of het betalen van criminelen zo’n goed idee is. Ze staat nou niet direct bekend om hun betrouwbaarheid. Aan de andere kant: als je niet betaalt, weet je zeker dat je data openbaar gemaakt of verkocht wordt.

De verwachting is dat deze ontwikkelingen zich alleen maar verder zullen uitbreiden. Er zijn zelfs experts die zeggen dat het een kwestie van tijd is voordat de eerste dode valt door een ransomware-aanval. Of het echt zo’n vaart loopt, weet ik niet. Feit is wel dat het belangrijker dan ooit is dat bedrijven en consumenten hun digitale domein goed beschermen.

Voorkomen dat je geïnfecteerd raakt

Bedrijven die voor hun dagelijkse gang van zaken afhankelijk zijn van computersystemen, zijn het meest vatbaar voor een ransomware-aanval. Daarbij geldt dat grotere bedrijven vaak ook wat langzamer zijn in het bijwerken van hun digitale beveiliging, en dus een makkelijker doelwit zijn. Maar of je nou particulier bent of een bedrijf, met deze tips kun je voorkomen dat je last krijgt van ransomware.

Maak een dagelijkse back-up

Hoewel dit een tip is die je pas echt kunt gebruiken als je al geïnfecteerd bent, is het toch een hele belangrijke om vooraf rekening mee te houden.

Maak elke dag een back-up van je gegevens, en sla die op op een locatie die niet standaard verbonden is met je netwerk. Mocht je dan aangevallen worden, dan kun je de back-up terugzetten om je bestanden weer te kunnen gebruiken.

Usb-stick in laptop: simpele, lokale back-up.

Ransomware kan zich ook via USB-sticks verspreiden.

Uiteraard is het wel handig om te onderzoeken hoe je geïnfecteerd bent geraakt, anders kom je in een vervelend loopje terecht. Lokale back-ups raken meestal ook geïnfecteerd bij een ransomware-aanval, dus het is aan te raden om een back-up in de cloud te maken. In een eerder artikel heb ik al eens wat verteld over back-ups.

Leer de troep herkennen

Het klinkt heel simpel, maar je kunt ransomware herkennen en dus ontwijken. Vaak worden er via e-mail obscure bestandjes rondgestuurd die ransomware bevatten. Zorg ervoor dat je niet zomaar op links klikt, hoe betrouwbaar iets er ook uitziet.

Zorg er ook voor dat je besturingssysteem de extensies van bestanden toont en klik NOOIT op .exe-bestanden. Nou ja, nooit.. Alleen als je het programma écht vertrouwt, dan. Er zijn al bedrijven die elke maand een ransomware-aanval simuleren, om hun medewerkers te leren er goed mee om te gaan. Net als een ontruimingsoefening, eigenlijk!

Ransomware kan ook op je mobiele telefoon terechtkomen. Zorg er dus voor dat je alleen betrouwbare apps downloadt, uit een officiële app-store. Kijk of je reviews kunt vinden, en of die betrouwbaar overkomen.

Zorg dat je beveiliging altijd up-to-date is

Ook weer een schot voor open doel, maar je kunt niet helemaal voorkomen dat gebruikers in je netwerk op de verkeerde links klikken. Daarom is het belangrijk dat je je systeem altijd op tijd bijwerkt. 9 van de 10 keer maakt ransomware namelijk gebruik van zwakke plekken in besturingssystemen.

Meestal is daar al snel een patch voor, maar zeker bij grote bedrijven duurt het vaak te lang voor zo’n patch helemaal is uitgerold. Half maart was er al een reparatie voor het Windows-lek waar WannaCry bijna 2 maanden later gebruik van maakte.

Goede antivirussoftware

De juiste antivirussoftware kan ransomware tegenhouden. Misschien niet alles, maar de betere software filtert een groot deel van de troep. Deze software wordt, net als de hackers, steeds slimmer. Het blijft dus een kat-en-muisspel, maar je kunt het je niet veroorloven om niet mee te spelen. PCmag heeft een mooi overzicht gemaakt met de beste antivirussoftware tegen ransomware.

Blijf op de hoogte

De ontwikkelingen op het gebied van ransomware gaan razendsnel. Hackers worden steeds slimmer, en gebruiken social engineering om je erin te luizen. Want hoe goed je je systemen ook beveiligd, je gebruikers blijven altijd de zwakste schakel. Dat weten hackers ook.

Informeer jezelf over de manieren waarop hackers social engineering gebruiken, en deel die kennis met je gebruikers. Het begint allemaal met bewustzijn, met het besef dat achter elke klik of video ransomware kan zitten.

Genezen: wat als je al geïnfecteerd bent?

Zelfs als je alle voorzorgsmaatregelen treft, kun je nog geïnfecteerd raken met ransomware. Gelukkig is ook dat niet het einde van wereld, en hoef je niet hopeloos toe te kijken. Gebruik deze tips als je systeem gegijzeld is door ransomware.

Beperk de schade, verbreek de verbinding

De eerste tip is gelijk een hele belangrijke, en helemaal niet ingewikkeld: verbreek zo snel mogelijk alle verbindingen met het netwerk en internet. Zo zorg je ervoor dat de ransomware zich in ieder geval niet verder kan verspreiden.

Schakel ook WiFi en Bluetooth uit, want er is ransomware die zich via die wegen kan verspreiden. Door de verbinding te verbreken, geef je jezelf de tijd om uit te zoeken wat er precies aan de hand is.

Verbanddoos - Eerste hulp bij ransomware

EHBR – Eerste Hulp Bij Ransomware. Verbreek de verbinding!

Onderzoek de infectie

Het is belangrijk om te weten met wat voor soort ransomware je te maken hebt. Is het een simpele screenlocker, dan heb je waarschijnlijk geluk. Meestal kun je die eenvoudig verwijderen, en kun je gewoon weer bij je gegevens. Als je gewoon kunt navigeren door je systeem en je bestanden, dan is de melding op je scherm misschien zelfs nep. Kun je niet meer bij je bestanden? Dan heb je een encryptor te pakken, en dat is een stuk vervelender.

Informeer je gebruikers

Heb je meerdere gebruikers die van je netwerk gebruikmaken, dan zal het ze waarschijnlijk wel opvallen dat je de verbinding hebt verbroken. Wees daarom duidelijk over wat er aan de hand is, wat je aan het doen bent en wat je gebruikers zelf kunnen doen. Heb je informatie over de oorzaak van de infectie, deel dat dan ook.

Probeer je bestanden te ontsleutelen

De kans dat je je bestanden terug kunt krijgen zonder de decryption key is vrij klein. Toch is het altijd de moeite waard om te kijken of er voor jouw specifieke ransomware misschien een andere oplossing is. Want net als dat er hackers zijn die je proberen aan te vallen, zijn er genoeg good guys die je proberen te helpen. Bijvoorbeeld door te kijken naar de zwakheden van ransomware en er een decryptietool voor te maken.

Barkly, een bedrijf dat gespecialiseerd is in online beveiliging, heeft alle bekende oplossingen verzameld.

Losgeld betalen of niet?

Natuurlijk is dit makkelijk praten vanaf de bureaustoel waar ik op zit, maar over het algemeen wordt het afgeraden om te voldoen aan de eisen van je aanvallers. Toch hangt het helemaal van jouw situatie af. Heb je geen back-up en kun je je bestanden écht niet missen, dan heb je waarschijnlijk geen keus. Toch moet je betalen altijd als laatste redmiddel zien, want je houdt er iets mee in stand dat je liever niet ziet.

Wist je trouwens dat een Zuid-Koreaanse webhoster bijna €1 miljoen losgeld heeft betaald om van hun ransomware af te komen? Het lijkt erop dat ze hun servers al jaren niet hadden bijgewerkt, waardoor ze erg kwetsbaar waren en geen andere uitweg zagen.

Tot slot

Met de groei van het internet en het geld dat erin omgaat, is het ook aantrekkelijker geworden voor criminelen. Ransomware is daar een duidelijk voorbeeld van, maar het is belangrijk om te weten dat je niet machteloos bent.

Natuurlijk kan het altijd misgaan, maar met de juiste voorzorgsmaatregelen hoeven de gevolgen niet heel ernstig te zijn. Dat je dit artikel hebt gelezen, betekent in ieder geval al dat je je bewust bent van de gevaren. En daarmee heb je de eerste stap al gezet. Nice!