Ransomware: wat is het en hoe verdedig je je ertegen?

Afgelopen maand ging het opnieuw meermaals in het nieuws over organisaties en bedrijven die zijn getroffen door ransomware. Royal Dirkzwager, KNVB, fruitbedrijf Dole en kassafabrikant NCR waren dit keer de dupe. De gevolgen zijn vaak groot; de bedrijfsvoering is ontregeld en zijn er berichten van grote financiële schade. In dit artikel duiken we wat verder in op ransomware en beantwoorden we de vragen: wat is het en hoe verdedig je je ertegen? 

Wat is ransomware?

Ransomware is een soort schadelijke software die bestanden "gijzelt" door ze te versleutelen. Het belooft het slachtoffer de bestanden pas weer toegankelijk te maken als er losgeld betaald wordt. De kwaadwillenden die ransomware verspreiden zetten slachtoffers vaak onder druk. Er moet snel betaald worden, gebeurt dat niet dan dreigen ze de bestanden permanent ontoegankelijk te maken of - tot schrik van veel organisaties - (bedrijfs)informatie publiek te maken.

Ransomware is big business: er gaat veel geld in om, veel kwaadwillenden verspreiden ransomware geautomatiseerd en op grote schaal en er zijn zelfs programma's voor wederverkoop inclusief klantenservice voor hun afnemers ("Ransomware-as-a-Service").

Hoe wordt ransomware verspreid?

Veel ransomware komt vaak bij slachtoffers binnen via "social engineering", ook wel sociale manipulatie genoemd. Slachtoffers worden verleid om een kwaadaardig programma te starten. Het start met een onschuldig ogende e-mailbijlage die gestuurd wordt naar een groep mensen of via een web-advertentie. De kwaadwillenden trekken alles uit de kast om de mensen die de e-mail ontvangen, of de web-advertentie zien, over te halen ergens op te klikken. Ze spelen in op de nieuwsgierigheid, angst, hebzucht, ontwetendheid of medelijden van de lezer. Achteraf blijkt de onschuldig ogende bijlage of advertentie eigenlijk een kwaadaardig programma te zijn. Zodra dat kwaadaardige programma wordt gestart, wordt de "gijzeling" in gang gezet.

Een bekend geval van een kwaadaardige web-advertentie is de CryptoWall-ransomware uit 2014. Daar werden mensen verleid om op een advertentie te klikken en een programma te openen om bijvoorbeeld zogenaamd een update te doen van een bekend softwarepakket zoals Adobe Reader, of gratis toegang te krijgen tot pikante websites.

Hoe werkt ransomware?

Zodra het slachtoffer verleid is tot het starten van het kwaadaardige programma, gaat dit programma stilletjes en vrijwel onzichtbaar te werk met het ontoegankelijk maken van bestanden op het apparaat. Eventuele cloud- of NAS-drives die gekoppeld zijn met een getroffen apparaat, kunnen ook door ransomware ontoegangelijk worden gemaakt.

De manier waarop de bestanden ontoegankelijk worden gemaakt is met versleuteling. Alleen de kwaadwillende weet wat de sleutel is om de bestanden weer toegankelijk te maken. Wanneer de bestanden zijn versteuteld, dan geeft de ransomware het slachtoffer vaak een melding waarbij de boodschap niet te missen is: "betaal snel, anders ben je je bestanden kwijt".

De kwaadwillenden beloven om na betaling van veel geld of cryptovaluta, je weer toegang te geven tot jouw bestanden. Of het verstandig is om een gijzelnemer te vertrouwen is natuurlijk maar de vraag...

Wat kan je doen als je getroffen bent door ransomware?

Algemeen advies: niet betalen. Het belonen van gijzelnemers is natuurlijk geen goed plan. Daarnaast is er geen garantie dat je je bestanden terugkrijgt wanneer je hen betaalt.

Verschillende bedrijven en politiediensten, waaronder de Nederlandse Politie, hebben een initiatief opgericht met de naam No More Ransom. Zij geven goede adviezen over wat te doen als je getroffen bent door ransomware. Daarnaast bieden zij voor sommige ransomware zelfs gratis ontsleutelingstools.

Hoe voorkom je dat je slachtoffer wordt van ransomware?

Een goede verdediging tegen ransomware, of malware en virussen in het algemeen, bestaat uit een aantal onderdelen:

  • Wees je bewust van ransomware en social engineering.

"Een gewaarschuwd mens telt voor twee", dat spreekwoord gaat zonder meer op. Als je weet wat ransomware en social engineering is, dan kun je jezelf er beter tegen verdedigen.

  • Zorg voor een goede back-up van je bestanden

Als je altijd een kopie achter de hand hebt van je bestanden, dan ben je niet alleen beter beschermd tegen ransomware, maar ook als je apparaat onverhoopt gestolen zou worden of stuk gaat. Zorg er natuurlijk wèl voor dat de back-up met een veilig wachtwoord toegankelijk is. Kies voor back-ups ook een oplossing waarbij je automatisch oude versies van bestanden bewaart, alleen dan weet je zeker dat je kan terugvallen op een goede kopie. Je weet immers meestal pas dat je door ransomware getroffen bent als het al te laat is.

Denk bovenbien bij het maken van back-ups aan de "3-2-1"-regel:
- Er horen 3 backups te zijn;
- Op 2 verschillende opslagmediums;
- Waarvan 1 off-site (buitenshuis) moet zijn bewaard.

Als je kiest voor een cloud-opslagdienst, kijk dan natuurlijk goed of dat die jouw privacy respecteert.

  • Installeer veiligheidsupdates van je besturingssysteem en programma's.

Veel kwaadaardige programma's misbruiken kwetsbaarheden in programma's, om zo door al aanwezige veiligheidsmaatregelen heen te komen. Dus: update, update, update! Bij een update worden namelijk gevonden kwetsbaarheden in programma's opgelost. Let uiteraard altijd goed op dat je alleen updates uit vertrouwde kanalen installeert.

  • Gebruik een goede virusscanner.

Voorkomen is beter dan genezen. Een virusscanner detecteert veel bekende kwaadaardige programma's zoals ransomware en stopt ze voordat ze schade aanrichten. Ook herkent een goede virusscanner kenmerken van kwaadaardige programma's die *nog niet bekend* zijn als ransomware of virus. Hiervoor maken virusscanners gebruik van een zogenaamde heuristische analyse: een manier om dingen te herkennen die goedaardige programma's niet zomaar zouden doen.

Goed om te weten: bij een internetabonnement van Freedom krijg je het uitgebreide pakket F-Secure SAFE: https://freedom.nl/diensten/beveiliging. Hiermee kan je tot maar liefst vijf apparaten beschermen: PC, laptop, tablet of mobiele telefoon.


Tot de volgende keer, en blijf veilig online!


Zie het oorspronkelijke bericht op https://freedom.nl/nieuwsartikel/ransomware-wat-is-het-en-hoe-verdedig-je-je-ertegen

Mooie topic!
Heb daar alleen nog een vraag over. Jullie hebben het over F-Secure pakket bij Freedom. Mij is laten weten dat je er als iMac gebruiker niets aan hebt en dat het installeren ervan dus eigenlijk geen zin heeft. Is dit ook zo?

Daarnaast een vraag:
Welke virusscanner zou je moeten installeren op een iMac? En is dat wel nodig? Want volgens Apple zou het niet nodig zijn en andere experts zeggen weer dat je dat wel moet doen. Maar welke dan?

Backup-3-2-1 regel, maar … …

dat die backups niet de hele dag “aan jouw systeem” zitten !
Koppel ze - na het maken - los,
anders wordt ook jouw aangesloten backup versleuteld !

Dus:

1 like

Hoi

De effectiviteit van virusscanners is zwaar overgewaardeerd. Voorbeeld: Wat als je te maken hebt met een nieuw virus dat nog niet bekend is bij de virusscanner leverancier.
Daarnaast kan een virusscanner op zich weer een veiligheids risico zijn; Laat je je virusscanner als een men in te middle meeluisteren op een HTTPS verbinding? Of juist niet?

Goede (computer) beveiliging is als een ui; laag, na laag, na laag. Als één laag niet goed functioneert heb je al die andere lagen nog.
Een kasteel heeft zowel een slotgracht als een muur. Zowel een poort als een ophaalbrug.
Een virusscanner alleen is dus niet voldoende.

De belangrijkste verdediging is privilege separation. Kort samengevat:
Pietje mag niet aan de bestanden van Jantje zitten en andersom ook niet. Dit betekend dus ook dat de computer moet weten met wie die te maken heeft. En dus dat een login vereist is.
Als dat ook nog eens een apart wachtwoord vereist is voor het installeren en configureren van programma’s zijn deze in ieder geval veilig: Zolang als je dit wachtwoord niet invoert, worden je programma bestanden niet besmet.
BSD, Linux en Mac OS zijn in dit opzicht veilig. Hoe dat tegenwoordig met Windows zit weet ik eigenlijk niet. De laatste Windows versie dit ik gebruikt heb was uit 1993. Ik hoor hier graag meer over. Hoe is het tegenwoordig gesteld met Microsoft?

Blijft over je eigen bestanden. Hier geld het citaat uit het boek
‘Essential System Administration’: “Paranoia is common sense”;
Maw, alles wat ongebruikelijk is, is verdacht.

In internet programma’s (browser, email, whatever), geen auto-run of auto-install en plugins moeten altijd eerst vragen opgestart te worden.
Eerst even kijken waar een link naar leid. Gaan links via tinyurl oid, dan heeft men dus wat te verbergen.

Vage emails: Even diep spitten.
Ik heb ooit een zeer echt ogende phish gehad. Het IP adres van een hostnaam in een URL bleek een whois registratie in Saoedi Arabië te hebben. Dat was dus het enige dat echt nep over kwam.
Vage attachments niet aan programma’s voeren maar bewaren en even low level in spitten; Is het wel wat het beweerd te zijn?
En natuurlijk even in de headers kijken. Gebruik een email programma waarmee dat makkelijk kan.

Cookies en Javascript staan hier standaard uit. Gaan alleen aan als het moet en nooit op elke willekeurige site. En in mijn email programma gaat scripting dus NOOIT aan.

Een firewall beschermd ook tegen ‘ET phone home’; ‘Internet of things’ apparaten die van alles doorseinen naar de fabrikant. Maar ook een netwerk printer die word ingezet voor een DDos.

En backups zijn natuurlijk een goed idee. Niet alleen van je eigen bestanden maar ook van de configuratie van je software. Al was het maar voor als je zelf wat sloopt.

Vr.Gr,
Rob

4 likes

Kijk eens bij clamav, die draaien op heel veel linux/unix systemen.
Cisco Talos is de sponsor van het project.

https://www.clamav.net/

Er staat ook een appeltje die een hap mist bij de logo’s.

1 like

In aanvulling op @sput, kan ik zeggen dat in mijn geval het draaien van virusscanners op de Mac meer voor problemen dan oplossingen heeft gezorgd. Het maakt m’n Macs zo veel trager dat het me hindert om m’n werk goed te doen. In geval van de ESET viruscanner (avoid at all cost!) interfereert het ook nog eens met de VPN verbinding met m’n werk en is het een enorme ‘memory hog’ (RAM loopt vol, en de fans gaan op een gegeven moment zodanig draaien dat je het gevoel krijgt naast de Polderbaan te staan). En zelfs al heb je wel een virusscanner, dan nog moet je alert blijven op verdachte files, attachments en emails. Ik zie de meerwaarde niet meer.

1 like

Hoi

Resource hog is inherent aan hoe een virus scanner werkt.
Privilege separation is veiliger en efficiënter.

Vr.Gr,
Rob

1 like

Windows 10
Als ik wat in de root van C: wil doen, krijg je dit.
Je kunt gewoon op doorgaan klikken zonder wachtwoord.
De gebruiker is immers een Admin in de standaard configuratie.
Een beperkt account aanmaken is ook niet waterdicht.

afbeelding

Dit topic is 14 dagen na het laatste antwoord automatisch gesloten. Nieuwe antwoorden zijn niet meer toegestaan.