Op 3 juli 2021 kwam het nieuws naar buiten dat internationaal zeker duizend bedrijven slachtoffer zijn geworden van een grote ransomware-aanval waar mogelijk de aan Rusland gelieerde REvil-groep achter zit. Onder meer de Zweedse supermarktketen Coop, twee Nieuw-Zeelandse scholen, een Nederlandse technisch dienstverlener en verschillende IT-dienstverleners en bedrijven in Duitsland waren slachtoffer van de aanval. Maar wat is ransomware nou precies en wat is de impact van een dergelijke aanval? In deze blog geef ik kort antwoord op deze vragen.
Wat is ransomware?
Ransomware is kwaadaardige software, ook wel malware genoemd, die ervoor zorgt dat de gegevens op een laptop, smartphone of ander apparaat vergrendeld worden voor de gebruiker, zodat de toegang tot de gegevens onmogelijk wordt gemaakt. De criminelen achter de ransomware-aanval eisen losgeld, vaak in de vorm van Bitcoins of andere cryptocurrencies. Zo eiste de REvil-groep 70 miljoen dollar in Bitcoin voor een decryptietool om de gegevens weer te ontsleutelen en bedrijven weer toegang te geven tot hun gegevens. De ransomware is dus een soort gijzelsoftware, omdat de gegevens ontoegankelijk blijven totdat het slachtoffer het geëiste losgeld betaalt.
Hoe ransomware een organisatie binnendringt
Ransomware kan op verschillende manieren een apparaat besmetten. In het recente geval van de REvil-groep was de oorzaak bij de aangevallen bedrijven terug te leiden tot een gemeenschappelijke factor, namelijk softwarebedrijf Kaseya. Kaseya ontwikkelt software voor serviceproviders die voor hun klanten, zoals dus de Zweedse supermarktketen en de Nieuw-Zeelandse scholen, op afstand systemen kunnen beheren. De aanvallers gebruikten deze software van Kaseya om de klanten van de serviceproviders te infecteren. Andere manieren waarop een apparaat besmet kan raken met ransomware is door middel van phishing, waarbij een geïnfecteerde link in een e-mailbericht door een schijnbaar betrouwbare (persoon in de) organisatie wordt verstuurd. Op het moment dat de ontvanger op de link klikt, wordt de kwaardaardige software op het apparaat geïnstalleerd. Dit zijn twee voorbeelden waarop ransomware binnen een bedrijf kan komen. Realiteit is dat alle mogelijk denkbare kwetsbaarheden door de kwaadwillende kunnen worden ingezet om binnen te komen.
Tips om ransomware te voorkomen
Hoewel het onmogelijk lijkt om een aanval van ransomware te voorkomen, zijn er toch enkele tips om de kans op een aanval zo klein mogelijk te houden. Bekende voorbeelden zijn het gebruik van gedegen anti-virussoftware (zodat (verborgen) malware aan de poort al herkend en geweigerd kan worden), het up-to-date houden van softwaresystemen zodat aanvallers niet via de bekende kwetsbaarheden in het systeem kunnen aanvallen en tenslotte ook het informeren van medewerkers binnen de organisatie. De meeste aanvallen kunnen geweerd worden als medewerkers op de hoogte zijn van de risico’s die de organisatie online loopt. Zo moet de organisatie medewerkers informeren over de gevaren van illegale downloads en het openen van onbekende links in e-mails. Deze awareness onder medewerkers kan er, in combinatie met technische maatregelen, voor zorgen dat ransomware buiten de deur blijft.
Betalen van losgeld de oplossing?
Op het moment dat een organisatie ondanks eventuele maatregelen toch besmet raakt, is het dus vaak zo dat de criminelen achter de aanval losgeld vragen in ruil voor de decryptiesleutel van de gegijzelde gegevens. Het betalen van dit losgeld is echter geen garantie voor het terugkrijgen van de gegevens en houdt deze vorm van digitale criminaliteit in stand. Daarom wordt over het algemeen afgeraden om het losgeld te betalen. Criminelen gebruiken encryptie om de gegevens te vergrendelen en omdat de aanvallers de ransomware meestal niet zelf maken, zijn de codes om de bestanden te kunnen vergrendelen en dus ook ontgrendelen vaak al online gepubliceerd, bijvoorbeeld op nomoreransom.org. Kaseya heeft laten weten dat zij ook op geen enkele manier het geëiste losgeld hebben betaald tijdens de REvil-aanval. Het bedrijf heeft een generieke decryptiesleutel ontvangen om daarmee de gegevens van alle slachtoffers te kunnen ontgrendelen.
Op het moment dat u zelf slachtoffer wordt van een ransomware-aanval is het advies om altijd aangifte te doen bij de politie, ook al kan u (weer) bij uw bestanden. Door het doen van aangifte krijgt de politie inzicht in de typen ransomware die worden gebruikt en kan de politie mogelijk meer slachtoffers voorkomen.
