Wat is ransomware? Alles wat je onderneming moet weten over gijzelsoftware

Tips
door
KU Leuven

Wat is ransomware ? Waarom wordt je onderneming vandaag meer dan ooit bedreigd door cybercriminelen? Waaraan herken je een cyberaanval? En hoe wapen je je onderneming beter tegen deze gijzelsoftware? In dit artikel geeft een cybersecurity -specialist alle antwoorden.

""
Ransomware van hackers legt gemakkelijk een onderneming stil © Shutterstock

Ransomware bedreigt op dit moment elke Vlaamse onderneming. Deze kwaadaardige gijzelsoftware is in staat om grote en kleine bedrijven voor weken stil te leggen en voor jaren te beschadigen.

Enkel ondernemingen die zich grondig én tijdig verweren, zijn in staat om de schade die cybercriminelen met ransomware aanrichten te voorkomen of te beperken.

👉 Ondernemer Stijn Gansemans verloor 25.000 euro aan hacking. Lees hoe hij zich vandaag beschermt tegen cybercriminelen

Dit artikel helpt je om jouw onderneming beter te beveiligen tegen ransomware . Vincent Naessens, cybersecurity -expert van KU Leuven, geeft hieronder de antwoorden op de belangrijkste vragen van Vlaamse ondernemingen.

Wat is ransomware ?

Ransomware is kwaadaardige gijzelsoftware. ‘Ransom’ betekent letterlijk ‘losgeld’. ‘Ware’ duidt op de software die tot doel heeft om losgeld te verkrijgen.

Via ransomware worden bestanden van slachtoffers versleuteld. Daardoor worden gegevens die digitaal zijn opgeslagen ontoegankelijk of worden machines die aangesloten zijn op het bedrijfsnetwerk buiten werking gesteld. De enige manier om de opgelopen schade te herstellen, is het betalen van losgeld. Dat zeggen de hackers althans.

Na betaling krijgt het slachtoffer een decryptiesleutel. Eens deze wordt ingevoerd, komen de bestanden weer vrij en kunnen machines terug opgestart worden.

Ook zonder het betalen van losgeld zijn er oplossingen om data weer terug te zetten en systemen te herstarten… als je voorbereid bent en steeds een actuele back-up hebt die niet door hackers beschadigd werd.

Bij de vraag ‘Wat doe je best na een aanval?’ vind je meer tips hierover.

Beveilig je kmo nu met steun van VLAIO

Je wil niet dat jouw onderneming gehackt wordt? Beveilig je bedrijf dan beter tegen hackers, ransomware , virussen...

Dat kan nu voordeliger via de Cybersecurity -verbetertrajecten. Met deze trajecten steunt de Vlaamse overheid kmo's bij het inkopen van extern advies en begeleiding in de cybersecurity .

Klik door naar de Cybersecurity-verbetertrajecten

Waarom worden er vandaag meer aanvallen dan ooit uitgevoerd?

Ransomware is niet nieuw. Wie er online informatie over zoekt, vindt gemakkelijk artikels en YouTube-filmpjes uit 2010. Hierin wordt ransomware al heel nauwkeurig uitgelegd.

Toch is het terecht dat we er vandaag meer over spreken en lezen. Bedrijven moeten meer dan ooit op hun hoede zijn omdat ransomware aan populariteit wint door de technologische evolutie.

Aan de kant van ondernemingen wordt er steeds meer kritische apparatuur aangesloten op internet. Hierdoor zijn er meer bedrijven waar schade kan worden aangericht.

Ook houden ondernemingen steeds meer digitale data bij, waardoor grote en kleine bedrijven digitaal kwetsbaarder worden. Geen enkel bedrijf kan vandaag werken zonder netwerk, servers, internet en online bestanden. Dat was tien jaar geleden nog anders.

""
Meer hacking door de opkomst van bitcoins © Foto Andre Francois McKenzie, Unsplash

Aan de kant van hackers zijn de bitcoin en andere digitale munten een zegen. Het zijn heel handige betaalmiddelen om anoniem grote sommen over te maken. Daardoor blijven afpersers gemakkelijk buiten schot van politiediensten. Door cryptomunten kunnen cybercriminelen hun geld ontvangen, doorsluizen en beheren zonder gevat te worden.

Technisch is het aanvallen van bedrijven en particulieren de laatste jaren fors geprofessionaliseerd en eenvoudiger geworden. Hackers kunnen ransomware -as-a-service kopen, net zo eenvoudig als jouw onderneming CRM-software koopt voor het beheren van je klantenbestand, Basecamp voor je projectmanagement en Hubspot voor je online marketing.

👉 Voorkom dat jouw onderneming slachtoffer wordt. Start met deze 10 tips om je onderneming beter te beveiligen tegen hackers

Na de betaling van losgeld ondersteunen de hackers de getroffen bedrijven meestal goed bij het herstellen van de opgelopen schade. De cybercriminelen helpen als een professionele helpdesk om versleutelde bestanden te herstellen en machines weer operationeel te krijgen.

Want ja, ook hackers hebben hun reputatie hoog te houden. Want wanneer duidelijk zou worden dat de gegijzelde informatie nadien niet correct wordt teruggegeven, zal niemand nog willen betalen voor zijn gegevens.

""
Bedrijven moeten meer dan ooit op hun hoede zijn omdat ransomware aan populariteit wint door de technologische evolutie.
Vincent Naessens, cybersecurity-expert van KU Leuven en DistriNet

Hoe selecteren cybercriminelen hun slachtoffers?

Er zijn ruwweg twee stromingen te herkennen in ransomware -aanvallen: 

1. De gerichte aanvallen

Grotere ondernemingen worden wel degelijk heel gericht aangevallen door cybercriminelen. Zij voeren bewust geplande aanvallen uit waaraan weken of maanden wordt voorbereid. Denk aan de aanvallen op Picanol en ASCO. Dit waren geen toevalstreffers.

2. Niet-gerichte aanvallen

Kleinere kmo’s worden meestal getroffen door ransomware die in het wilde weg over internet wordt verspreid. Denk aan de mailcampagnes met linken. Het klikken op zo’n link kan leiden tot installatie van malware op de getroffen laptop.

Eens iemand een link aanklikt en de virusscanners en software niet up-to-date zijn, zijn de criminelen binnen. Deze aanvallen worden met ‘wormen’ uitgevoerd. Het bekendste voorbeeld is hier Wannacry in 2017. Deze worm kon naar binnen dringen bij organisaties die hun Windows niet geupdatet hadden. Het gijzelde ze vervolgens.

Organisaties die enkele honderden dollar losgeld betaalden, kregen een digitale sleutel opgestuurd om hun gegevens terug op orde te zetten.

👉 Je bent gehackt? Cybercriminelen gijzelen je data, netwerk en servers? Je organisatie is het slachtoffer van phishingmails? Dit artikel zegt je waarom en hoe je deze cyberaanval moet aangeven.

Vormen kleine Vlaamse kmo’s een doelwit?

Vlaamse kmo’s zijn geen speciaal doelwit van cybercriminelen. Voor hen maakt het niet uit wie ze treffen.

Ze mikken op iedereen die hen geld kan opleveren. Van grote multinational tot een zelfstandige die alleen werkt. In die zin worden ook Vlaamse kmo’s vaak getroffen, en zelfs particulieren.

Je bent gehackt? Cybercriminelen gijzelen je data, netwerk en servers? Je organisatie is het slachtoffer van phishingmails? Dit artikel zegt je waarom en hoe je deze cyberaanval moet aangeven.

In 2020 ontving CERT.be, de operationele dienst van het Centre for Cybersecurity Belgium, 7.433 meldingen van partnerorganisaties (early warnings), gevonden kwetsbaarheden, kleine cyberincidenten, zoals phishing , tot meldingen van grote(re) cyberaanvallen met vraag tot bijstand van CERT.be.

Het e-mailadres verdacht@safeonweb.be ontving 3,2 miljoen berichten. Dat betekent dagelijks meer dan 8.800 berichten, wat bijna een verdubbeling is tegenover 2019. Dankzij de doorgestuurde berichten kon het CCB 667.356 frauduleuze links (phishing, valse webshops, oplichting…) laten blokkeren.

👉 Het aantal aanvallen met ransomware belooft in 2021 verder op te lopen. Lees hierover Ransomware bedreigt je onderneming in 2021! Let op voor deze 6 gevaren.

Hoe ziet het typische aanvalspatroon er uit?

Organisaties en particulieren liggen continu onder vuur. Via phishing mails, frauduleuze websites, online virussen, telefoongesprekken, sms’jes… proberen ze zwakheden op te sporen en te misbruiken.

Eens de hackers binnen geraken, verloopt een aanval in twee fasen:

Tijdens de eerste fase versleutelt de hacker waardevolle bestanden of schakelt het belangrijke apparatuur uit. Tijdens de tweede fase vraagt hij losgeld. Eens betaald, geeft hij de controle over bestanden en apparatuur terug aan het gehackte bedrijf.

Tijdens deze aanval wordt de aangevallen onderneming vaak onder druk gezet. Hiermee wil de hacker zich verzekeren van een snelle betaling. Hij zet de onderneming bijvoorbeeld onder een tijdsdruk, met een aftelklok duidelijk in beeld. De dreigende boodschap luidt: wanneer er niet betaald wordt binnen de tijd, verdubbelt het gevraagde losgeld.

👉 “You have only 48 hours for payment. After that decryption cost will be doubled.” Zo luidde de boodschap van de hackers aan een Vlaamse kmo. Lees Het cyberhacking-dagboek van een Vlaamse kmo.

Een andere veel gebruikte tactiek om druk te zetten, is het geleidelijk aan lekken van gestolen gegevens op het internet. Om de zoveel tijd lost de hacker bijvoorbeeld een reeks buitgemaakte VISA-nummers. Dit is schadelijk voor de getroffen organisatie en iedereen die zijn VISA-gegevens opgeslagen heeft bij de kmo, bijvoorbeeld om online betalingen te doen.

Criminelen die deze oppikken op duistere sites waarop hackers ze lossen, kunnen er betalingen mee doen.

Ook populair: paswoorden lekken. Omdat veel gebruikers hetzelfde paswoord voor verschillende diensten gebruiken, zullen ze zeker kwaad zijn dat deze gelekt worden… en dat zet extra druk op de aangevallen organisatie.

""
Een aanval op een klein bedrijf of zelfstandige duurt niet langer dan een paar seconden © Foto Sandeep Swarnkar, Unsplash

Hoe lang duurt zo'n ransomware -aanval?

Een aanval op een klein bedrijf of zelfstandige duurt niet langer dan een paar seconden. Wanneer een virus of worm erin slaagt zich te nestelen, versleutelt het vrijwel onmiddellijk en autonoom toegang tot bestanden, en vraagt het om losgeld.

Eens betaald, krijgen de slachtoffers binnen enkele minuten de sleutel. Hiermee kunnen ze meteen weer operationeel zijn zonder grote schade.

Een gerichte aanval op een groot bedrijf is complexer en kan weken tot maanden voorbereid zijn. Net zo kunnen de criminelen al weken of maanden in de systemen aan het rondneuzen zijn voordat de hacking aan het licht komt.

De strategieën die hackers hanteren worden steeds vernuftiger. Soms speuren ze in een eerste stap naar informatie over slachtoffers op LinkedIn of Facebook. Daarna sturen ze gepersonaliseerde mails naar het slachtoffer waardoor die in de verleiding komt om op een kwaadaardige link te klikken, en zo de malware binnenhaalt.

Eens dat is gebeurd, kunnen hackers vanop afstand wachtwoorden stelen, gevoelige data doorsluizen of andere machines in de buurt infecteren of buiten werking stellen. Zo kunnen ze geleidelijk aan doordringen tot kritische infrastructuur binnen een bedrijf.

Waaraan herken je een aanval die bezig is?

Een bedrijf dat voorbereid is, kan inderdaad ontdekken dat er een cyberaanval wordt uitgevoerd. Het ontdekt bijvoorbeeld verdacht verkeer op haar netwerk. Zo worden plots nogal wat rechten van bestanden opgevraagd of wordt de structuur van het bestandensysteem nauwkeurig in kaart gebracht.

Anomaliedetectiesystemen kunnen ook opmerken dat paswoorden geconsulteerd en veranderd worden. Of dat er gezocht wordt naar kritische bestanden en apparaten.

Anomaliedetectiesystemen merken verdacht verkeer op en waarschuwen in dat geval de netwerkbeheerder.

Een andere manier om aanvallen op te merken, is het aanmaken van honeypots.

""
Honeypots zijn vals lokaas voor cybercriminelen. © Foto Alexander Mils on Unsplash

Honeypots zijn bestanden en mappen met fictieve gegevens en aantrekkelijke bestandsnamen. Ze zijn zo verleidelijk dat ze criminelen en kwaadaardige software aantrekken, maar ze zijn volledig vals. Eens deze honingpotten geconsulteerd worden, gaat er een alarm af. Want wie behalve mensen en software met slechte bedoelingen, zouden deze bestanden consulteren?

👉 Sommige ondernemingen beperken nadien bewust de toegang tot handige tools. Hierdoor heeft bijvoorbeeld de onderneming Pilz één jaar na de hacking nog steeds geen wifi en WeTransfer. Lees Pilz verliest alles in een cyberattack.

Welke schade lopen gehackte ondernemingen op?

Ondernemingen die het slachtoffer worden van hackers lopen op meerdere domeinen schade op:

  • Financiële schade door het verlies aan productie en verkoop. Hun onderneming ligt een paar dagen tot weken stil of draait niet op het normale tempo. Dit kan klanten aanzetten om een andere leverancier te zoeken.
  • Reputatieschade. Getroffen ondernemingen die dit aan hun klanten moeten laten weten, lopen reputatieschade op. Het vertrouwen is beschadigd. Klanten, leveranciers en partners vrezen dat hun gegevens openbaar gemaakt worden. Al wie digitaal gelinkt is, dreigt ook gehackt te worden. Velen zullen gehackte ondernemingen dan ook liever mijden. En het opbouwen van de reputatie als betrouwbare partner kost veel tijd.
  • Schade bij het personeel omdat het tijdelijk werkloos wordt tot de systemen en machines hersteld zijn.
  • Betalen van losgeld. De gevraagde bedragen kunnen sterk verschillen… en oplopen. Een zelfstandig architect zal enkele honderden euro’s moeten betalen om zijn gegevens terug te krijgen. Een kleinere kmo een paar duizend euro. De bedragen worden bewust relatief laag en haalbaar gehouden om een snelle betaling te verzekeren. Maar de bedragen lopen op tot tien- of honderdduizenden euro’s bij een gerichte aanval op een groter bedrijf.
""
Al wie digitaal gelinkt is, dreigt ook gehackt te worden.
Vincent Naessens, cybersecurity-expert van KU Leuven en DistriNet

Maar veel bedrijven betalen wel omdat ze zo snel mogelijk weer aan de slag willen. Denk maar aan ziekenhuizen, medische labo’s, advocatenkantoren, productiebedrijven… 

In totaal betaalden Belgische bedrijven in 2020 meer dan 100 miljoen euro losgeld aan hackers.

""
Dit is een van de vijf manieren om terug te vechten tegen ransomware, volgens de comic van F-Secure. © Cartoon F-Secure

Wat doe je best na een aanval?

Ga eerst alle mogelijke oplossingen na voordat je de hackers betaalt. Want ja, er bestaan betere oplossingen dan het het betalen van losgeld. Consulteer hiervoor een cybersecurity -specialist.

Je bent ook verplicht om de ransomware -aanval aan te geven aan de politie. Contacteer hiervoor je lokale politie.

Meld het hacking incident ook bij de CERT. Met deze informatie kan het hackings voorkomen.

 

Volgens de specialisten van KU Leuven hoeft herstellen van een ransomwareaanval niet zo’n moeizaam proces te zijn als je zou denken. Met de juiste strategieën kunnen bedrijven snel en veilig herstellen van een ransomwareaanval en weer aan de slag gaan zonder aanzienlijke downtime. In het artikel Ransomware: herstelopties en preventie beschrijven ze de belangrijkste stappen waarmee gegevens te herstellen zijn na een ransomware-aanval.

👉 Wees slimmer dan hackers. Beveilig je nu met steun van VLAIO via de Cybersecurity-verbetertrajecten van VLAIO.

Hoe voorkom je een aanval?

Elke onderneming kan de kans om getroffen te worden, verkleinen. 

Bovendien heb je zelf ook vat op de schade die criminelen kunnen aanrichten en de snelheid waarmee je weer opstart.

Deze drie verbeteringen voer je zelf door:

  1. Je personeel attent maken en leren hoe om te gaan met bedreigingen. Voer deze aandacht voor cyberveiligheid in je bedrijfscultuur in!
  2. Virusscanners installeren en up-to-date houden. Het overgrote deel van de virusscanners houdt gekende ransomware tegen. Minder effectief zijn ze tegen een gerichte aanval.
  3. Alle software en back-ups in je organisatie continu actueel houden.
TwitterLinkedIn