Wat is Ransomware?

Delen
Copied to clipboard!
Luister naar het artikel
00:00 / 00:00

Ransomware is een type malware (malafide software) dat zichzelf voordoet op een hoop verschillende manieren en dat individuele computers maar ook netwerken van bedrijven, ziekenhuizen, luchthavens en overheidsinstellingen kunnen beïnvloeden.  

Ransomware wordt constant doorontwikkeld en wordt steeds geavanceerder sinds het eerste vastgestelde incident in 1989. Terwijl het bij simpele formats doorgaans niet-encryptie ransomware betreft, maken moderne varianten gebruik van cryptografische methodes voor bestandsversleuteling, waardoor deze niet te kraken zijn. Encryption-ransomware wordt ook op hard-drives gebruikt als methode om een operating-system volledig te vergrendelen, waardoor een slachtoffer geen toegang meer heeft tot het OS.  Het ultieme doel is om slachtoffers over te halen om losgeld te betalen voor decryptie, wat doorgaans wordt gevraagd in de vorm in digitale valuta - die lastig te traceren zijn (zoals Bitcoin of andere cryptocurrencies). Hoewel er geen garantie bestaat of er wel gehoor wordt gegeven door de aanvallers na de betaling. 

De populariteit van ransomware is het laatste decennium aanzienlijk toegenomen (met name in 2017) en cyber-aanvallen met financiële motieven zijn momenteel de meest prominente malware-bedreiging in de wereld - zoals gerapporteerd door Europol (IOCTA 2018).


Hoe worden slachtoffers gemaakt?

  • Phishing: een steeds terugkerende vorm van social engineering. In de context van ransomware zijn phishing-mails één van de meest voorkomende vormen van malware distributie. Het slachtoffer wordt doorgaans geïnfecteerd door een email-bijlage of links die vermomd zijn als legitiem. Binnen een netwerk van computers is het voldoende dat één slachtoffer de gehele organisatie in gevaar kan brengen.

  • Exploit Kits: dit is een pack gemaakt van verschillende malafide tools en een vooraf geschreven exploit-code. Deze kits zijn ontworpen om misbruik te maken van problemen en zwakke plekken in software-applicaties en operating systems om op die manier malware te verspreiden (onbeveiligde computers met gedateerde software zijn de meest voorkomende doelwitten). 

  • Malvertising: aanvallers misbruiken advertentienetwerken om ransomware te verspreiden


Hoe kan je jezelf bescherming tegen ransomware aanvallen?

  • Gebruik externe bronnen om regelmatig een back-up van  je bestanden te maken, zodat je deze kan terugzetten als een potentiële infectie is verwijderd;

  • Wees alert met email attachments en links. Vermijd het klikken op ads en websites met een onbekende bron;

  • Installeer een betrouwbaar antivirusprogramma en houd software applicaties en het operating system up to date;

  • Enable de ‘show file extensions’ optie bij Windows-settings zodat je eenvoudig de extensions van je bestanden kan zien. Vermeid file-extensions zoals .exe .vbs en .scr;

  • Vermijd het bezoeken van websites die niet beveiligd zijn door middel van het HTTPS protocol (URLs beginnen dan met “https://”). Houd hierbij wel rekening dat veel malafide websites het HTTPS protocol gebruiken om slachtoffers te misleiden en dat alleen het protocol niet garandeert dat de website legitiem of veilig is.

  • Bezoek NoMoreRansom.org, dit is een  website gemaakt door handhavingsinstanties en IT beveiligingsbedrijven die samenwerken om ransomware tegen te gaan. De website biedt gratis decryptie toolkits voor gebruikers en preventieadvies.  


Voorbeelden van Ransomware

GrandCrab (2018)

Voor het eerst waargenomen in januari 2018 en in minder dan een maand tijd heeft deze vorm van ransomware meer dan 50.000 slachtoffers gemaakt, voordat een samenwerking van de Roemeense autoriteiten met Bitdefender en Europol dit een halt toe riep (een gratis recovery toolkit in voorhanden). GrandCrab werd verspreid d.m.v. malvertising en phishing-mails en was de eerste ransomware die losgeld eiste in DASH cryptocurrency. De initiële losgeld bedragen varieerden van 300 tot 500 US dollars.


WannaCry (2017)

Een wereldwijde cyberaanval dat meer dan 300.000 computers in 4 dagen tijd infecteerde. WannaCry verspreide door misbruik te maken van een exploit beter bekend als EternalBlue en richte zich op Microsoft Windows operating systems (de meeste geïnfecteerde computers draaide op Windows 7). De aanval werd afgestopt door nood-patches uitgegeven door Microsoft. Veiligheidsexperts van de VS beweren dan Noord-Korea achter deze aanval zat, hoewel hier nooit bewijs voor is geleverd.  


Bad Rabbit (2017)

Dit was ransomware dat zich verspreidde door zich voor te doen als Adobe Flash update dat vervolgens werd gedownload via valse websites. De meeste geïnfecteerde computers werden aangetroffen in Rusland en de infectie behoefde een handmatige installatie van een .exe bestand. De prijs voor decryptie was rond die tijd om en nabij de 280 US dollar (0,05 BTC).


Locky (2016)

Doorgaans verspreid via email als een factuur met geïnfecteerde bijlage. In 2016 werd het Hollywood Presbyterian Medical Center geïnfecteerd door Locky en het betaalde 40 BTC aan losgeld (17.000 US dollar in die tijd) om weer toegang te krijgen tot het computersysteem van het ziekenhuis. 

Loading