Wat is ransomware?

Ransomware bestaat uit twee hoofdvormen: crypto-ransomware en vergrendelingsransomware, die verder zijn onderverdeeld in verschillende subtypen.

Crypto-ransomware
Bij een cryptoransomware-aanval heeft de aanvaller gevoelige gegevens of bestanden van een slachtoffer versleuteld en verleent de aanvaller pas weer toegang nadat het gevraagde losgeld is betaald. In theorie geeft de aanvaller, zodra het slachtoffer betaalt, een decoderingssleutel af waarmee deze toegang krijgt tot de bestanden of gegevens. Dit is echter niet vanzelfsprekend. Veel organisaties hebben de toegang tot hun bestanden permanent verloren, zelfs nadat ze het losgeld hebben betaald.

Vergrendelingsransomware
Bij vergrendelingsransomware blokkeren kwaadwillenden het apparaat van het slachtoffer en tonen ze hem of haar een losgeldbericht op het scherm met instructies over hoe het losgeld moet worden betaald om weer toegang te krijgen. Deze vorm van ransomware betreft meestal geen versleuteling. Zodra het slachtoffer dus weer toegang heeft tot het apparaat, zijn eventuele gevoelige bestanden en gegevens ook toegankelijk. Vergrendelingsransomware wordt vaak gebruikt op mobiele apparaten.

Deze twee belangrijkste vormen van ransomware vallen in de volgende subtypen:

Scareware
Scareware maakt gebruik van angst om mensen te laten betalen. Bij dit soort cyberaanvallen doen de kwaadwillenden zich voor als een wetshandhavingsinstantie en sturen ze een bericht naar het slachtoffer waarin ze hem of haar beschuldigen van een misdrijf en een boete eisen.

Doxware
Bij Doxware stelen kwaadwillenden persoonlijke informatie en dreigen deze openbaar te maken als er geen losgeld wordt betaald.

Dubbele afpersing-ransomware
Bij ransomware met dubbele afpersing versleutelen aanvallers niet alleen bestanden, maar stelen ze ook gevoelige gegevens en dreigen ze deze openbaar te maken als het losgeld niet wordt betaald.

Wipers
Wipers dreigen de gegevens van het slachtoffer te vernietigen als ze het losgeld niet betalen.

De meeste ransomware-aanvallen verlopen volgens een proces met drie stappen.

1. Toegang krijgen
Kwaadwillenden gebruiken verschillende methoden om toegang te krijgen tot gevoelige gegevens van een bedrijf. Een van de meest voorkomende methoden is phishing. Dit is wanneer cybercriminelen e-mail, sms-berichten of telefoongesprekken gebruiken om mensen te misleiden om hun referenties op te geven of malware te downloaden. Kwaadwillenden richten zich ook op werknemers en andere gebruikers met kwaadaardige websites die gebruikmaken van een zogenaamde exploitkit om automatisch malware te downloaden en te installeren op het apparaat van het slachtoffer.

2. Gegevens versleutelen
Zodra de ransomware-aanvallers toegang krijgen tot de gevoelige gegevens, kopiëren ze deze en vernietigen ze het originele bestand, samen met alle back-ups waartoe ze toegang hebben gehad. Vervolgens versleutelen ze hun kopie en maken ze een decoderingssleutel aan.

3. Losgeld eisen
Nadat de gegevens ontoegankelijk zijn gemaakt, stuurt de ransomware een waarschuwingsbericht waarin staat dat de gegevens zijn versleuteld. Ook wordt er om geld gevraagd, meestal in de vorm van cryptovaluta, in ruil voor de decoderingssleutel. De kwaadwillenden achter deze aanvallen dreigen mogelijk ook de gegevens openbaar te maken als het slachtoffer weigert te betalen.

Naast de directe verstoring van de bedrijfsvoering kunnen de gevolgen van een ransomware-aanval ook bestaan ​​uit aanzienlijke financiële verliezen, reputatieschade en operationele uitdagingen op de lange termijn.

Financiële gevolgen
De kosten voor het betalen van losgeld kunnen aanzienlijk zijn en vaak oplopen tot miljoenen dollars. Bovendien is er geen garantie dat de aanvallers de decoderingssleutel zullen verstrekken of dat het goed zal werken.

Zelfs wanneer organisaties weigeren het losgeld te betalen, kunnen er nog steeds grote financiële kosten zijn. De onderbreking die wordt veroorzaakt door een ransomware-aanval kan leiden tot langdurige downtime, wat van invloed is op de productiviteit en mogelijk leidt tot verlies van omzet. Het herstellen van een aanval brengt extra kosten met zich mee, waaronder de kosten van forensisch onderzoek, juridische kosten en investeringen in verbeterde beveiligingsmaatregelen.

Reputatieschade
Klanten en partners kunnen het vertrouwen verliezen in een bedrijf dat is gehackt, wat kan leiden tot een afname van de klantloyaliteit en mogelijk toekomstig omzetverlies. Spraakmakende aanvallen trekken vaak de aandacht van de media, wat de reputatie en het merkimago van een bedrijf kan schaden.

Operationele uitdagingen
Zelfs met back-ups bestaat het risico op gegevensverlies of -beschadiging, wat gevolgen kan hebben voor de bedrijfscontinuïteit en operationele efficiëntie. Bedrijven kunnen ook te maken krijgen met juridische en wettelijke boetes voor het niet beveiligen van gevoelige gegevens, met name als ze onderworpen zijn aan regelgeving voor gegevensbescherming, zoals de Algemene Verordening Gegevensbescherming in de Europese Unie of de California Consumer Privacy Act.

Veel van de meest geavanceerde, door mensen uitgevoerde ransomwareaanvallen worden uitgevoerd door ransomwaregroepen, die werken met een ransomware-as-a-service-bedrijfsmodel.

 

• Sinds de opkomst in 2019 richt LockBit zich op verschillende sectoren, waaronder financiële dienstverlening, Gezond­heids­zorg en productie. Deze ransomware staat erom bekend zichzelf binnen netwerken te verspreiden, wat het bijzonder gevaarlijk maakt. De partners van LockBit zijn verantwoordelijk voor talloze spraakmakende aanvallen, waarbij ze geavanceerde technieken gebruikten om gegevens te versleutelen en losgeld te eisen. 
• Bij de aanvallen van BlackByte is vaak sprake van dubbele afpersing, waarbij cybercriminelen gegevens versleutelen en weghalen, waarbij ze dreigen de gestolen gegevens openbaar te maken als het losgeld niet wordt betaald. Deze ransomware is gebruikt om kritieke infrastructuursectoren aan te vallen, waaronder de overheid en financiële dienstverlening.
• De groep achter de Hive-ransomware, die actief was tussen juni 2021 en januari 2023, gebruikte dubbele afpersing en was doorgaans gericht op openbare instellingen en kritieke infrastructuur, waaronder Gezond­heids­zorgfaciliteiten. In een belangrijke overwinning tegen cybercriminaliteit infiltreerde de FBI in 2022 het netwerk van Hive, waarbij decoderingssleutels werden buitgemaakt en losgeldeisen van meer dan 130 miljoen dollar werden voorkomen. 
• De Akira-ransomware is een geavanceerde malware die sinds begin 2023 actief is en gericht is op zowel Windows- als Linux-systemen. Kwaadwillenden gebruiken Akira om toegang te krijgen via kwetsbaarheden in VPN-diensten, met name die zonder multifactorauthenticatie. Sinds de opkomst van Akira zijn meer dan 250 organisaties getroffen en is er ongeveer 42 miljoen dollar aan ransomware-opbrengsten binnengehaald.

 

Als je het slachtoffer bent geworden van een ransomware-aanval, zijn er opties voor hulp en verwijdering.

De geïnfecteerde gegevens isoleren
Isoleer zo snel mogelijk de gecompromitteerde gegevens om te helpen voorkomen dat de ransomware zich verspreidt naar andere delen van je netwerk.

Een antimalwareprogramma uitvoeren
Zodra je geïnfecteerde systemen hebt geïsoleerd, gebruikt je een antimalwareprogramma om de ransomware te verwijderen.

Bestanden ontsleutelen of back-ups herstellen
Gebruik indien mogelijk ontsleutelingshulpprogramma's van politie- of beveiligingsonderzoekers om bestanden te ontsleutelen zonder het losgeld te betalen. Als ontsleuteling niet mogelijk is, herstel je bestanden uit je back-ups.

De aanval melden
Neem contact op met je lokale of nationale wetshandhavingsinstanties om de aanval te melden. In de Verenigde Staten zijn dit deplaatselijke vestiging van de FBI,de IC3of de Geheime dienst. Hoewel hiermee je eigen dringende problemen waarschijnlijk niet zijn verholpen, is dit wel belangrijk, omdat deze autoriteiten verschillende aanvallen actief bijhouden en bewaken. Als je de details van je ervaring deelt, kan dat nuttig zijn voor hun pogingen om een ​​cybercrimineel of een cybercriminele groep op te sporen en te vervolgen.

Wees voorzichtig met het betalen van ransomware
Hoewel het verleidelijk kan zijn om losgeld te betalen, is er geen enkele garantie dat de cybercriminelen hun woord houden en je weer toegang geven tot je gegevens. Beveiligingsexperts en wetshandhavingsinstanties adviseren slachtoffers van ransomware-aanvallen om het gevraagde losgeld niet te betalen, omdat het slachtoffers kwetsbaar maakt voor toekomstige bedreigingen en criminele praktijken actief bevordert.

Beveiligingsonderzoekers verwachten dat ransomware in de komende jaren steeds vaker en complexer zal worden. Dankzij de vooruitgang in AI kunnen cybercriminelen hun ransomware sneller automatiseren en verbeteren. Steeds meer mensen met beperkte technische vaardigheden stappen in het spel, omdat ze op AI gebaseerde ransomware-hulpprogramma's op het dark web kunnen kopen of kunnen samenwerken met een ransomware-as-a-service-organisatie.

Grotere, geavanceerdere cybercriminele organisaties, waaronder ook actoren van nationale overheden, richten zich steeds vaker op kritieke infrastructuur en toeleveringsketens, wat leidt tot aanzienlijke verstoringen van gemeentelijke en zakelijke activiteiten. Vaak richten deze instanties zich op overheden, transportsystemen en zorginstellingen met als doel de dienstverlening lam te leggen.

Om deze veranderende bedreigingen het hoofd te bieden, zetten organisaties AI in voor cyberbeveiliging. Daarmee kunnen ze ransomware-aanvallen sneller en effectiever detecteren en aanpakken. Deze technologieën analyseren enorme hoeveelheden gegevens om patronen en afwijkingen te identificeren die kunnen duiden op een ransomware-aanval. Veel van deze oplossingen kunnen ook automatisch reageren op gedetecteerde bedreigingen, waardoor er minder tijd nodig is om een aanval te beperken.

Het Zero-Trust-beveiligingsmodel is in opkomst en is ook een manier om cyberbeveiliging te verbeteren en de verspreiding van ransomware en andere schadelijke activiteiten te beperken.