Ransomware is bijna dagelijks in het nieuws. Maar hoe komen de aanvallen eigenlijk tot stand? Hoe gaan de criminelen te werk? En welke trends zijn daarbij te zien? We nemen een kijkje achter de schermen van cybercrime.
Een beetje ambitieuze cybercrimineel weet waar de kansen liggen. Natuurlijk zijn er zat krabbelaars die proberen de kost te verdienen met phishingmailtjes vol taalfouten. Maar wie het grote geld zoekt, kiest tegenwoordig voor ransomware. Want dat biedt de beste kansen om te cashen: als u een grote organisatie lam kunt leggen, stromen de bitcoins al snel binnen.
Geen wonder dus, dat het aantal ransomware-aanvallen blijft groeien. En dat ransomware een geoliede machine is geworden, waarvoor criminelen allerlei gespecialiseerde diensten kunnen inkopen.
Ransomware as a Service
Sinds enkele jaren kunt u ransomware gewoon aanschaffen op het Dark Web. Met deze Ransomware as a Service (RaaS) konden veel cybercriminelen hun eerste stappen op dit werkterrein zetten. Helaas is de kwaliteit van de software niet altijd geweldig. Niet alle makers zijn namelijk topprogrammeurs. Zo maken ze fouten die ertoe kunnen leiden dat bestanden verkeerd versleuteld worden. Dit soort fouten kunnen twee kanten op vallen: cybersecurity-onderzoekers kunnen de versleuteling kraken of er raken bestanden beschadigd, soms onherstelbaar.
Maar ook als dat niet gebeurt, zijn de problemen groot. Het ontsleutelen met de sleutel van de criminelen gaat namelijk vaak erg langzaam. En niet zelden blijven er na afloop bestanden over waar het niet blijkt te werken.
Geen wonder dus, dat steeds meer organisaties weigeren losgeld te betalen. Ze zorgen liever voor een goede back-up. En soms slagen slachtoffers erin hun bestanden te redden via Nomoreransom.org. Op die website plaatsen organisaties als Tesorion ontsleutelsoftware die ze hebben ontwikkeld voor diverse ransomware-producten.
Naming and shaming
Uiteraard laten de criminelen dat niet op zich zitten. Een van de bendes, de Maze Group, begon data van organisaties te kopiëren voor ze de encryptiesoftware erop loslieten. Zo konden ze de organisatie langs twee kanten onder druk zetten: als de versleuteling niet het gewenste effect had, konden ze dreigen dat ze alle bedrijfsgeheimen op internet zouden plaatsen. Daar hebben dit soort bendes speciale websites voor. Deze ‘double extortion’ bleek te werken. Het succes leidde snel tot navolging.
Maar nog altijd weigeren veel organisaties zich af te laten persen. Daarom zetten bendes zoals REvil een tandje bij met ‘triple extortion’. Ze kijken in de data wie de klanten en leveranciers zijn. Die benaderen ze dan rechtstreeks, om ze te melden dat ze de data van de organisatie hebben buitgemaakt. Denk bijvoorbeeld aan gevoelige gegevens van scholieren: de hoop is dat ouders het schoolbestuur dan onder druk zetten om te betalen, zodat de gegevens van hun kinderen niet online komen.
Soms stappen de criminelen ook naar de media om hun slachtoffer onder druk te zetten met ‘naming and shaming’. Tegelijk proberen ze herstelpogingen te frustreren met constante DDoS-aanvallen.
Maximale druk
U ziet het: cybercriminelen hebben het er maar druk mee. Ze moeten van alles in het werk stellen om hun doel te bereiken.
Dat heeft geleid tot specialisatie. Er zijn nu allerlei groepen actief: sommige zijn goed in het binnendringen van bedrijfsnetwerken, andere in het ‘low and slow’ zoeken naar waardevolle informatie. Weer andere zijn experts in het feitelijke afpersen.
Het is een echte markt geworden. U kunt tegenwoordig accountgegevens kopen waarmee u toegang krijgt tot een grote organisatie. De handelaren – zogeheten ‘access brokers’ – hebben daarvoor speciale forums opgezet die niet algemeen toegankelijk zijn. Ze geven een indicatie van het aantal medewerkers en de omzet, plus een vraagprijs.
Die prijs varieert per branche. Een overheidsorganisatie komt u binnen voor gemiddeld 6.000 dollar; toegang tot een universiteit kost slechts $ 3.800. Die laatste branche is vooral populair in augustus, als de nieuwe studenten arriveren. Dan geeft ransomware immers de meeste problemen voor de slachtoffers.
Sommige brokers proberen hackers tegen elkaar op te laten bieden. Dat kan leiden tot nog grotere bedragen. Geen wonder dat de aanvaller koste wat het kost het losgeld binnen wil krijgen: de inzet wordt immers steeds hoger.
Dus wordt de druk maximaal opgevoerd. Hoe meer de slachtoffers onder spanning staan, hoe beter. Dit verklaart ook waarom in de coronatijd steeds meer ziekenhuizen werden aangevallen. Die konden zo’n ransomware-aanval er echt niet bij hebben. Maar daar lagen de criminelen uiteraard niet wakker van.
Eén klap
Organisaties blijven terugvechten. Ze versterken hun verdediging tegen hacks en social engineering. Daarom bestaat de nieuwste trend uit ‘supply chain attacks’: criminelen kijken of ze kunnen binnenkomen via de bedrijfsnetwerken van leveranciers. Zoals een softwareleverancier of een internetprovider. Dat heeft het extra voordeel dat ze misschien in één klap meerdere organisaties kunnen hacken.
Veel organisaties zijn hier nog niet op verdacht. Die kijken alleen naar functionaliteit en kosten. Ze denken dat alles veilig is wanneer een IT-provider wappert met een security-certificaat. Maar de praktijk is vaak verbijsterend. Slechts één voorbeeld: het Computer Emergency Response Team van Tesorion zag dat een IT-provider meerdere systemen bij een klant hetzelfde wachtwoord gaf. Hier hebben de cybercriminelen dan ook misbruik van gemaakt.
Wees voorbereid
De conclusie: houd uw beveiliging goed op orde! Niet alleen bij de eigen systemen en medewerkers, maar ook in de samenwerking met andere organisaties. En kijk daarbij niet alleen naar wat er op papier staat. Het is de inrichting van de systemen in de praktijk die telt.
Hoe houdt u ransomware buiten de deur?
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.