In oktober 2016 werd gestart met verschillende tests, ontworpen om ransomware binnen geback-upte data snel op te sporen. De reden? De afgelopen jaren is ransomware een steeds grotere bedreiging geworden voor individuen en bedrijven, omdat de cybercriminelen achter deze aanvallen steeds verfijnder te werk gaan. Met name het mkb blijkt kwetsbaar en is eerder bereid losgeld te betalen om data terug te halen dan grote bedrijven.
De meeste cyberaanvallen worden uitgevoerd door grote criminele organisaties die gebruikmaken van verreikende botnets. Deze botnets verspreiden via phishingcampagnes malware die data versleutelt. Slachtoffers worden vervolgens overgehaald om besmette e-mailbijlages of links te openen. Soms begint ransomware met bangmakerij, zoals een waarschuwing dat de computer van het slachtoffer zogenaamd is gebruikt voor iets illegaals.
Antivirussoftware is niet toereikend
Antivirussoftware is dus duidelijk geen overbodige luxe. Toch weten veel soorten ransomware de software te omzeilen. Antivirussoftware werkt namelijk op basis van een database met kenmerken van virussen. Als die niet continu up-to-date gehouden wordt, heeft ransomware – die wél continu wordt aangepast – vrij baan. Bij een goede anti-ransomwarestrategie hoort dus ook het informeren van medewerkers over de gevaren en het maken van regelmatige back-ups. Daarnaast is het belangrijk dat applicaties gepatcht en up-to-date zijn om kwetsbaarheden te verminderen. Mocht ransomware deze maatregelen toch weten te omzeilen, dan helpt een goed back-upbeleid je snel te herstellen.
>> Lees ook Internet of Things: kansen en bedreigingen
Aanval in de kiem smoren
Door back-ups te maken, zijn aanvallen al in een vroeg stadium op te sporen. Een nieuwe back-up is immers gemakkelijk te vergelijken met een oude, waardoor veranderingen snel aan het licht komen. Dat is belangrijk, omdat ransomware zich vliegensvlug via dat ene besmette device door het hele netwerk kan verspreiden. En dat betekent: hoe sneller je een aanval in de kiem smoort, hoe beter.
Twee tests
Wij ontwikkelden twee verschillende tests met als uitgangspunt bekende ransomware-eigenschappen. Beide tests konden frequente back-ups bijbenen, baseerden zich enkel op informatie uit snapshots en voorkwamen verdere besmetting.
Vergelijking van back-ups
De eerste test onderzocht of er bij een back-up verschillen waren in bestanden ten opzichte van de vorige back-up. Dit kan er namelijk op wijzen dat er ransomware in het spel is. Uit deze test bleek dat ongeveer 80 procent van de geteste ransomware de bestandsnaam wijzigde bij het versleutelen van bestanden. De overige 20 procent wijzigde geen bestandsnamen.
Versleutelde bestanden
De tweede test speurde naar specifieke aanwijzingen die erop duiden dat bestanden versleuteld zijn. Alle bestandstypes bevatten een bepaalde mate van organisatie en structuur. Versleutelde data daarentegen is volledig willekeurig ingericht. Een hoge informatiedichtheid in back-updata kan dus wijzen op de aanwezigheid van ransomware.
Via back-ups ransomware aanvallen te lijf gaan
Op basis van de verzamelde testresultaten werd een nieuwe functie ontwikkeld om ransomware op te sporen. Wanneer ransomware wordt gesignaleerd, gaat er een alert uit dat bedrijven en andere gebruikers het probleem snel vast laat stellen. Zo kunnen ze data dankzij de meest recente back-up terughalen. Vergelijkbare technologieën die via back-ups de strijd aangaan met ransomware-aanvallen, zijn flink in opkomst. Een dergelijke methode komt goed van pas voor het geval ransomware wel door de firewall en antivirusbescherming weet te breken.
De populariteit van ransomware lijkt onder cybercriminelen nog niet af te nemen
Het einde van ransomware-aanvallen is nog niet in zicht
De populariteit van ransomware lijkt onder cybercriminelen nog niet af te nemen. Onlangs ondervroegen wij meer dan duizend IT-dienstverleners wereldwijd over de huidige stand van zaken voor wat betreft ransomware. 97 procent van de respondenten gaf aan dat ransomware-aanvallen op kleine bedrijven steeds meer plaatsvinden – en de komende twee jaar zet deze trend zich voort.
Phishing-e-mails oorzaak nummer 1
Uit het onderzoek blijkt dat van 91 procent van de respondenten het slachtoffer zijn geweest van ransomware. 40 procent daarvan werd het afgelopen jaar zelfs zes keer of vaker aangevallen. Oorzaak nummer één? Bijna de helft (46 procent) van de respondenten noemde phishing-e-mails. De gemiddelde losgeldeis lag tussen de 450 en 1.800 euro. Voor 10 procent van de respondenten bedroeg de losgeldeis meer dan 4.500 euro.
Te weinig kennis over risico’s ransomware
Toch is geld niet het grootste verlies dat bedrijven kunnen lijden. De downtime die volgt op een ransomware-aanval kan grotere gevolgen hebben. Volgens 63 procent van de respondenten leidde een ransomware-aanval tot zeer ernstige downtime. Tot slot bleek uit het onderzoek dat IT-dienstverleners en hun mkb-klanten anders aankijken tegen de dreiging van ransomware. De meerderheid van de IT-dienstverleners maakt zich grote zorgen om ransomware, maar gaf aan dat klanten er niet erg mee zitten. Hoogstwaarschijnlijk beschikken zij over te weinig kennis over dit onderwerp.
>> Lees ook Malware en ransomware: Het jachtseizoen is geopend
Vroege opsporing kan een hoop ellende besparen
De belangrijkste les van de tests, is dat vroege opsporing essentieel is. Dit stelt IT-professionals namelijk in staat om:
• de omvang van de schade op afstand te beoordelen;
• de besmetting onder controle te krijgen en te minimaliseren;
• snel te bepalen wat de meest recente ‘goede’ back-up was;
• verschillende computerupdates uit te voeren om beschadigde bestanden naar de laatste ‘goede’ staat te herstellen.
Wanneer een besmetting wordt onderschept voordat deze zich kan verspreiden, is de hersteltijd aanzienlijk korter. Door vroege opsporing kost het IT-dienstverleners minder tijd en moeite om data en applicaties te herstellen, waardoor hun klanten profiteren van betere dienstverlening.
Robert Gibbons, chief technology officer bij Datto
>> Lees alles over cybersecurity in: Cybersecurity steunt op techniek, mens én organisatie
Dit artikel is gepubliceerd in Security Management nummer 6