Ransomware is in de laatste jaren uitgegroeid tot een van de grootste (cyber)dreigingen. Dat stellen ook de NCTV en het NCSC deze zomer in het Cybersecuritybeeld Nederland (CSBN) 2021. In eerdere edities van het jaarlijkse rapport werd ransomware al geïdentificeerd als een verschijnsel dat grote maatschappelijke impact kan hebben. Inmiddels is het met crimineel oogmerk versleutelen van bestanden en systemen om losgeld te eisen voor het weer toegankelijk maken ervan zodanig geëvolueerd dat het volgens onderzoekers een risico vormt voor de nationale veiligheid van Nederland.

Ransomware – het met crimineel oogmerk versleutelen van bestanden en systemen om losgeld te eisen voor het weer toegankelijk maken ervan – is dusdanig geëvolueerd dat het een risico vormt voor de nationale veiligheid van Nederland. In eerdere edities hebben de NCTV en het NCSC ransomware al geïdentificeerd als een verschijnsel dat grote maatschappelijke impact kan hebben. Het kent helaas een solide verdienmodel en is onderdeel van een omvangrijke, volwassen geworden economie van cybercriminelen. De inzet van ransomware door criminelen kan maatschappij-ontwrichtende gevolgen hebben.

Je vindt het volledige CSBN op de website van het NCSC. Daarin wordt ook gesteld dat organisaties in het licht van de permanente dreiging van cybercriminelen nog te weinig investeren in digitale weerbaarheid. De afgelopen jaren zijn er weliswaar stappen gezet om de weerbaarheid te verhogen, maar door de groeiende dreiging is dat volgens het NCSC nog niet voldoende, en is er noodzaak aan een inhaalslag. “Basismaatregelen worden niet voldoende genomen, zoals het gebruik van sterke wachtwoorden en het tijdig repareren van kwetsbaarheden.” Daarom is parallel aan de publicatie van het CSBN ook voorzien in een handreiking met 8 basismaatregelen. Die vind je eveneens op de website.

Criminelen lopen altijd één stap voor. Geen kluis zo high-tech, of er staat wel een slimmerik op om hem te kraken. Digitaal, dus in de wereld van cybercrime, is dat niet anders. Uit een studie van Blackberry Limited kwam deze week naar voren dat hackers steeds vaker ongebruikelijke programmeertalen gebruiken om malware aan te passen of nieuwe malware te ontwikkelen.

Malwaregroepen proberen nieuwe of exotische programmeertalen uit om detectie door beveiligingsexperts te omzeilen, of om specifieke pijnpunten in hun ontwikkelingsproces aan te pakken, zo valt in de studie ‘Old Dogs New Tricks’ te lezen. Die programmeertalen zijn bijvoorbeeld Go, D, Nim en Rust. De BlackBerry-onderzoekers ontdekten onder meer dat de minder bekende varianten de bestaande, op handtekening gebaseerde detectie tegen kunnen gaan. Ook maken de ongebruikelijke programmeertalen reverse-engineering erg lastig. De nieuwe varianten op hun beurt maskeren malware (beter), waardoor het zowel moeilijker te detecteren als op te lossen is.

In het rapport valt te lezen welke talen momenteel gebruikt worden, en welke ontwikkelingen we zoal kunnen verwachten. Ook vind je er een lijst van de bekende malware die in de afgelopen tien jaar in deze ongebruikelijke talen is geschreven.

Tot slot is Enterprise Ransomware, ook wel Big Game Hunting (BGH) genoemd, een steeds vaker ingezette variant. Dat komt omdat het volgens cloudsecurityspecialist CrowdStrike simpelweg de meest lucratieve vorm van cybercrime is.

De meest getroffen organisaties zijn lokale overheden, universiteiten, de technologiesector, ziekenhuizen, industriële bedrijven, financiële dienstverleners en mediabedrijven. Bij deze vorm van aanvallen worden bedrijfsnetwerken van grote organisaties geïnfiltreerd en beheerdersgegevens verzameld, om vervolgens de bestanden op alle computers in het netwerk te versleutelen met behulp van post-exploitatietools. CrowdStrike ziet bovendien een groeiende trend van ransomware-aanvallen gericht op bedrijven waarbij sprake is van data-afpersing. Dat blijkt uit de 2021-editie van het Global Threat Report (GTR).

Naast de kans dat slachtoffers van ransomware hun systemen niet meer (volledig) kunnen gebruiken of geen toegang meer hebben tot hun data, lopen ze ook steeds vaker het risico dat bedrijfsgegevens op straat komen. Enerzijds wordt deze tactiek gebruikt om slachtoffers te dwingen tot betaling, anderzijds is het een reactie op een toenemend aantal bedrijven die de versleuteling van hun gegevens teniet kunnen doen met behulp van goede back-ups. De toename van data-afpersing is mede te verklaren door de introductie van dedicated leak sites (DLS) waarop data van slachtoffers wordt gepubliceerd.

We staan ook graag even stil bij een positieve ontwikkeling op het gebied van ransomware deze week: No More Ransom bestaat deze week namelijk 5 jaar. Het initiatief dat werd gestart door rechtshandhavingsinstanties en IT-securitybedrijven om slachtoffers van ransomware te helpen hun bestanden te herstellen werd gelanceerd in juli van 2016.

Om mensen en organisaties te helpen in de strijd tegen ransomware, hebben Team High Tech Crime van de Politie, Europol’s European Cybercrime Centre, Kaspersky en McAfee gezamenlijk een website ingericht. Het doel was om slachtoffers van ransomware-aanvallen te helpen hun versleutelde bestanden terug te krijgen zonder de criminelen te betalen. Daartoe worden doorlopend decryptietools gepubliceerd. Wanneer slachtoffers van ransomware deze tools downloaden, krijgen zij hun data terug zonder losgeld te betalen. Daarnaast bevat de website ook preventieadvies en instructies voor het melden van cybercriminaliteit in verschillende landen – want aangifte doen is altijd belangrijk!

Sinds de oprichting is het initiatief gegroeid naar meer dan 170 partners en zijn er inmiddels 121 decryptietools beschikbaar. No More Ransom vierde het lustrum met de wapenfeiten dat naar schatting zo’n 760 miljoen euro aan illegale winsten is voorkomen, en dat maar liefst 6 miljoen mensen de gratis decryptietools hebben gedownload.

Voor meer informatie kun je terecht op de website nomoreransom.org.

Uiteraard is ransomware ook in de security awareness trainingen van Awareways een belangrijk onderwerp. Bijvoorbeeld in de Human Firewall Training, waarin we diverse thema’s – van sterke wachtwoorden en de veiligheid van je werkplek tot phishing en ransomware –  in de gehele organisatie inzetten. Iedere medewerker is immers onderdeel van de veiligheidsketen! In deze collectieve crisisoefening simuleren we een aanval en nemen ze het op tegen gevaarlijke hackers.

In onze uitdagende training gaan medewerkers vanuit stimulerende gamification principes aan de slag om het informatiebewustzijn op het juiste niveau te krijgen. In een kat-en-muisspel worden realistische risico’s en (cyber)dreigingen gecombineerd met de dagelijkse praktijk, werksituaties en informatievoorzieningen van jouw organisatie. We combineren een theoretische opbouw van kennis met een praktische toetsing daarvan, op basis van alledaagse scenario’s die specifiek in jouw organisatie (kunnen) spelen. Onze trainingen zijn interactieve programma’s mét begeleiding – monitoring, rapportage en bijsturing – en ondersteunende communicatie.  Dankzij stimulerende gamificatie en organisatiegebonden storytelling maken we de beveiliging van jouw organisatie een collectieve inspanning. Ideaal voor BIO of ISO 27001. Let’s level up!

Daarnaast is phishing nog altijd aanvalsstrategie nummer 1 – óók voor ransomware. Onze Phishing Simulatie biedt een online platform waarmee ransomware aanvallen op een simpele en kosteneffectieve manier kunnen worden gesimuleerd.

We zijn ervan overtuigd dat we met ons team van experts de juiste aanpak hebben om iedere organisatie weerbaar te maken tegen phishing en andere digitale dreigingen. Uiteraard is daarbij ook voorzien in templates rondom ransomware beveiliging die jouw medewerkers leren omgaan met de concrete gevaren van ransomware en ransomware aanvallen.

Er is zoals bij alle vormen van cybercrime helaas geen honderd procent bescherming tegen ransomware als aanvalsstrategie. Maar, de manier waarop ransomware wordt ‘afgeleverd’ bij het slachtoffer is veelal vergelijkbaar met hoe andere malware varianten je bedrijf besmetten – bijvoorbeeld via phishing. Veel maatregelen die je kunt nemen om beter beschermd te zijn komen daarom overeen met de stappen die je kunt zetten tegen phishing en andere pogingen met malware.

We zetten er 5 op een rij.

Tip 1: Wees voorbereid en op je hoede

Pogingen van phishing helemaal blokkeren is niet gemakkelijk, maar je kunt zeker stappen zetten om jezelf beter af te schermen. De spamfilters van de meest gebruikte webmailprogramma’s zijn al vrij goed, maar kijk ook eens bij je mailinstellingen. In Outlook bijvoorbeeld kun je het filter strenger zetten om meer inkomende berichten te blokkeren. Daarnaast maak je eenvoudig zelf filters door te blokkeren op onderwerp en bepaalde woorden. Een aparte folder waar e-mails met ‘afmelden’, ‘uitschrijven’ of ‘unsubscribe’ terechtkomen, scheelt je heel veel digitale folders en advertenties in je inbox. Maak gebruik van de beschikbare anti-phishing functionaliteit en stel deze zorgvuldig in.

Daarnaast is een goede virusscanner een must om nieuwe virussen in een vroeg stadium te kunnen herkennen. Scan bestanden bijvoorbeeld met virustotal.com, waarmee software door online virusscanners wordt getest. Die website kun je ook gebruiken om de URL van een website op betrouwbaarheid te testen. Dus voor wie twijfelt over een linkje in een e-mail: niet op klikken, maar even kopiëren en invoeren op virustotal.com.

Phishing beperkt zich bovendien allang niet meer tot e-mailverkeer alleen. De schadelijke linkjes en bijlagen met malware zijn net zo goed op websites te vinden en worden steeds vaker ook via social media verspreid. Daar zijn ze vaak zelfs effectiever, omdat je er eerder geneigd bent een link te volgen dan in een dubieuze e-mail van een onbekende afzender. Zeker als dat bericht van een bekende lijkt te komen. Wees dus op je hoede. 

Tip 2: Updates verkleinen de kans op besmetting

Je herkent ongetwijfeld de vele meldinkjes op je laptop of telefoon: ‘Er is een update beschikbaar’. Vervelend? Besef dan dat het vaak gaat om cruciale beveiligingsupdates. De nieuwste versie van de software van besturingssystemen en programma’s is er niet alleen om het gebruiksgemak te verbeteren, maar ook om een lek in de beveiliging te dichten.

Voer updates dus toch maar uit als er weer zo’n notificatie pingelt, liefst zo snel mogelijk. En kijk ook eens goed wat je doet. Wanneer je een update installeert, klik je vaak achteloos op ‘next’, ‘next’, ‘next’, totdat er ‘finish’ of ‘gereed’ staat. Check in het vervolg bij al die stappen of je de juiste vinkjes zet. Software staat namelijk standaard ‘open’, het is aan jezelf om er de juiste sloten op te zetten. Per stapje moet je even lezen waar je akkoord op geeft.

Zorg daarnaast dat al je belangrijkste bestanden ook ergens anders opgeslagen zijn, bijvoorbeeld op een externe harde schijf of met een beveiligd account in de cloud. Zo kan een ransomware-infectie je waardevolle gegevens niet voor altijd vernietigen. 

Tip 3: Gebruik sterke wachtwoorden – altijd en overal!

Een goed en sterk wachtwoord verzinnen vindt iedereen lastig. Logisch, want we hebben zakelijk en privé heel veel verschillende accounts en de eisen voor een sterk wachtwoord lijken alsmaar strenger te worden. Ze moeten langer, complexer en bijvoorbeeld een verplichte combinatie van letters, cijfers en speciale tekens bevatten. Die strenge eisen zijn er echter niet voor niets. Wachtwoorden zijn de toegang tot je e-mail, je digitale werkplek en al je accounts online en dus een geliefd doelwit van criminelen. Het is daarom cruciaal om een sterk en vooral lang wachtwoord te bedenken, dat je niet gebruikt voor meerdere accounts. | Lees al onze tips voor sterke wachtwoorden

Tip 4: Toch geklikt? Niet betalen!

Natuurlijk kan het gebeuren dat er op een linkje wordt geklikt. Of tóch een foute bijlage wordt geopend. En malware alsnog wordt binnengehaald, al dan niet gevolgd door een berichtje van de dader. De eerste stap is dan altijd: aangifte doen. En: hoe sneller je handelt, hoe groter de kans dat de schade van bijvoorbeeld ransomware beperkt kan worden.

Team High Tech Crime (THCT) van de politie raadt slachtoffers structureel af om hackers te betalen. Dat kan erg lastig zijn als bijvoorbeeld het hele netwerk stilligt of wanneer je bedrijf een verlies lijdt, maar betalingen houden het verdienmodel van cybercriminelen in stand. Uit onderzoek blijkt dat die buit bovendien (deels) ingezet wordt om nieuwe aanvallen op te zetten. Daarnaast geeft betalen geen enkele garanties dat de problemen verholpen zijn.

Tip 5: controleer of er al een ontsleutelprogramma is

Hulp nodig bij het ontsleutelen? We noemden eerder op deze pagina niet voor niets het initiatief No More Ransom. Er is op dit moment nog niet voor elk type ransomware een oplossing, maar de website van deze organisatie wordt doorlopend aangevuld met nieuwe sleutels en programma’s, dus kijk altijd op nomoreransom.org als je door ransomware getroffen wordt – je vindt er mogelijk al een oplossing.