De wereld in gijzeling

Grootste Ransomware uitbraak maakt veel slachtoffers

De grote kranten, het NOS journaal, de online media – in de afgelopen 24 uur berichtten zij allemaal over nieuws dat normaliter de koppen niet haalt.

De IT-beveiliging van bedrijven schiet tekort en computersystemen over de gehele wereld zijn besmet geraakt met ‘gijzelsoftware’ (misschien wel het nieuwe woord van het jaar na ‘sjoemelsoftware’?), hele bedrijven liggen plat en de schade is groot. Ransomware is inmiddels voor een groot deel van Nederland geen vreemd woord meer, maar nu ook grote en bekende bedrijven hiervan in Nederland het slachtoffer zijn geworden beginnen mensen zich zorgen te maken. U ook?

Petya-RansomWare

Ransomware

Ransomware is inderdaad een zeer gevaarlijke vorm van malware die momenteel opvallend succesvol is en veel van de huidige beveiligingsmethodes lijkt te weten omzeilen. Maar ook eentje die slim gebruik maakt van het feit dat niet iedere computer altijd up-to-date is. Het risico van iedere succesvolle ransomware-besmetting is ook heel groot: van enkele bestanden tot alles op een computer inclusief Windows, gegevens op een server of NAS, Dropbox, GoogleDrive etc. is totaal onbruikbaar en ontoegankelijk geworden zonder dat eerst de losprijs wordt voldaan. Echte ransomware geeft na betaling de gegevens veelal weer vrij, maar de code achter deze aanval is zodanig dat dit nu ernstig in twijfel wordt gebracht. En na betaling loopt men het risico een volgende keer een eerste doelwit kan zijn van een nieuwe aanval.

Allereerst is het goed om te kijken naar deze laatste uitbraak; is er sprake van een wereldwijde aanval, is deze nieuwste ransomware uitbraak baanbrekend en is dit het begin van meer (en erger)?

Petya

Het begon op dinsdag 27 juni 2017 in de Oekraïne, waar zowel de centrale bank, overheidsinstanties, uiteenlopende bedrijven en privé gebruikers als eerste op grote schaal werden besmet met een blijkbaar nieuwe vorm van ransomware. Alle computers waren versleuteld en onbruikbaar; een deel van het openbare leven kwam tot stilstand. Daarna kwamen meldingen uit andere delen van Europa en Amerika die ook te maken kregen van besmette computersystemen en de gevolgen daarvan. Spanje, Frankrijk, Engeland en ook in Nederland ondervonden bedrijven de gevolgen. Op de Maasvlakte stonden hele vrachtterminals stil als gevolg, een groot bouwbedrijf ligt helemaal stil en ook de leveringen van een groot koeriersbedrijf ondervinden hinder.

IT securitybedrijven hebben de nieuwe ransomware besmetting de naam Petya (of PetrWrap, GoldenEye) gegeven en aangegeven dat bepaalde onderdelen overeenkomen op eerdere ransomware varianten. Petya maakt ook gebruik van het feit dat computers vaak niet up-to-date zijn en via een bekend Windows-lek kunnen worden besmet. Dit lek, de EternalBlue-exploit genaamd, maakt het tevens mogelijk dat één computer andere computers binnen het netwerk besmet en zodoende achter de firewall zijn kwaad verricht.

Petya probeert echter ook via al aanwezige admin-tools het beheer van andere computers over te nemen om hiermee andere computers te infecteren met de ransomware. Verschillende onderzoekers hebben inmiddels een aantal bijzonderheden in deze versie ransomware gevonden, waarmee een besmetting binnen een netwerkomgeving op verschillende manieren snel en effectief wordt uitgevoerd. Een volledige identificatie van Petya is nog niet afgerond.

Dit weten we tot nu toe

Op dit moment weten we dat infectie kan gebeuren via het smb-protocol, wat open van en naar het internet moet staan (Dit is absoluut geen best-practice! Blokkeer SMB-poorten altijd!) of via e-mail met een bijlage zoals “inmyguy.xls.hta“, welke na het openen zichzelf uitpakt via [% APPDATA%] \ 10807.exe. Een derde aanvalsvector is een mail met de bijlage “Order-20062017.doc“, welke de CVE-2017-0199 (CVSS score: 9.3) kwetsbaarheid misbruikt, deze download een bestand vanaf http://84.200.16 [.] 242 / myguy.xls (*code is aangepast ter bescherming). De malware zal zich dan op het systeem nestelen via bekende exploits, het gebruik van tools van SysInternals en Mimikatz faciliteren voor distributie en het stelen van (domein) login gegevens uit de LSASS.exe service. Tevens zal het de LokiBOT malware droppen op het systeem, deze (extra) malware zal trachten privégegevens te stelen en via een HTTP POST naar een command en control center sturen. Denk aan wachtwoorden, login informatie van web browsers en diverse crypto wallets (bitcoin ea).

Hierna versleuteld het bestanden en het file-index (ntfs) systeem. Na ~10 tot 60 minuten zal het systeem door een geforceerde crash rebooten en onderstaand scherm tonen:

Petya-RansomWare

En nu? Afwachten totdat ik aan de beurt ben?

Om besmetting met deze, maar ook toekomstige aanvallen van ransomware effectief te voorkomen zijn enkele hele simpele, maar wel belangrijke spelregels van belang:

  1. Zorg er voor dat alle systeemsoftware altijd up-to-date is (Windows, applicaties, tools, etc.), met name de volgende kritische updates:
    • a. Microsoft Security Update voor Windows SMB Server (MS17-010)
    • b. Beveiligingsupdate voor het Microsoft Office-beveiligingslek (MS2017-0199)
  2. Zorg voor een goede en altijd up-to-date antimalware bescherming zowel aan de rand van het netwerk (UTM-firewall) als op de endpoint (pc en server), eventueel aangevuld met specifieke anti-ransomware software.
  3. Zorg voor regelmatige backups van belangrijke gegevens en bewaar deze op een externe locatie. Systeemsoftware kan opnieuw worden geïnstalleerd, persoonlijke of bedrijfsgegevens zijn onvervangbaar.
  4. Denk goed (beter) na bij het gebruik van e-mail en internet m.b.t. verdachte berichten en websites, ingesloten links naar websites, gebruik van gevoelige data.
  5. Blokkeer het gebruik van de Microsoft PsExec tool dat als een standaard onderdeel van de SysInternal Suite wordt geleverd die door veel beheerders wordt gebruikt voor uiteenlopende beheertaken.
  6. Voorkom het ontvangen van bestanden die macro’s of andere onderdelen bevatten die een activiteit of proces kunnen starten.

Het resultaat van deze nieuwe ransomware-besmetting, de snelheid waarmee systemen en organisaties over de gehele wereld zijn beïnvloed en het effect ervan op de samenleving geven duidelijk aan dat IT een ‘bedrijfskritische’ rol speelt, maar ook dat de perceptie hiervan en de beveiliging nog te wensen overlaten. Een beter begrip van beide factoren moet leiden tot een minder grote impact van dit soort aanvallen, al blijft het gevaar nooit geheel uit te sluiten. Goede UTM-firewalls beschermen al direct op de internetaansluiting tegen deze vormen van malware en ransomware, zodat alle achterliggende computersystemen veilig zijn. Beveiliging van de pc en server endpoints blijven echter een onmisbare schakel voor totale bescherming.

Dit blog is eerder geplaatst op de website van SECWATCH.

Waarom de ophef over de WannaCry-cyberaanval?

WannaCry is toch gewoon weer een nieuwe gijzelsoftware?

Dit bericht is geüpdatet op 16 mei 2017.

Waarom de ophef over de WannaCry-cyberaanval? Het is toch gewoon weer een nieuwe ransomware (gijzelsoftware) variant? Deels klopt dit, echter de gevolgen voor slachtoffers, vooral bij bedrijven, zijn vele malen groter dan bij andere ransomware infecties. Daarnaast is WannaCry (ook wel WannaCrypt, WanaCrypt0r 2.0 of Wanna Decryptor genoemd) goed voorbereidt. Dit laatste blijkt onder andere uit het grote aantal (28) talen dat ondersteund wordt door Wanna Cry.

WannaCry-ransomware melding met talen

Grote gevolgen

Het verschil is dat een met WannaCry geïnfecteerde computer niet alleen bestanden in het netwerk versleuteld, maar ook zoveel mogelijk anders Windows-computers probeert te infecteren. Onderstaande foto van een klaslokaal laat dit duidelijke zien. Steeds meer en meer computer raakten geïnfecteerd en toonde het Wanna Decrypt scherm.

Als gevolg van het feit dat een geïnfecteerde computer ook andere computer infecteerde resulteerde bij Q-Park Nederland in het buitenwerking raken van betaalautomaten, simpelweg omdat deze ook geïnfecteerd raakten.

WannaCry-ransomware infectie Q-Park Nederland

Niet alleen bestanden worden gegijzeld, maar WannaCry legt ook hele netwerken plat doordat de infectie niet beperkt blijft tot enkele PC’s. Dit in tegenstelling van het meerderndeel van de gijzelsoftware.

Bedankt NSA!

En de ransomware maakt gebruik van EternalBlue, een aanvalsmethode ontwikkelt door de NSA (National Security Agency) die lang geheim werd gehouden. Door deze geheimhouding was Microsoft niet op de hoogte van het Windows-lek waar EternalBlue gebruik van maakte.

De hackers groep The Shadow Brokers wisten de gegevens over het lek bij de NSA te stelen. Op 14 april 2017 brachten zij het lek naar buiten. Hierdoor kwam het waarschijnlijk ook in handen van de cybercriminelen achter WannaCry.

Microsoft heeft het lek overigens al op 14 maart 2017 gedicht. Bedrijven die slachtoffer zijn geworden hebben dus 2 maanden lang de kritische updates van Microsoft niet geïnstalleerd.

Kill switch

Een 22 jarige Britse security onderzoeker, bekend onder de Twitter-naam MalwareTech vond een zogenaamde kill switch. In de malware vond hij een controle op het bestaan van een domeinnaam, wanneer deze domeinnaam actief was, stopte WannaCry met zijn kwaadaardige werk op een geïnfecteerde machine. Het aantal slachtoffers stagneerde, maar korte tijd later kwam er een update van WannaCry zonder kill switch, het gevaar is dus nog lang niet geweken!

Om te zien hoeveel WannaCry slachtoffers betaald hebben om hun bestanden terug te krijgen en hoeveel geld de cybercriminelen tot nu toe verdiend hebben, kun je kijken op het Twitter-account @actual_ransom. Dit account plaatst automatisch updates over betalingen aan een 3-tal Bitcoins-account die gelinkt zijn aan WannaCry. In het weekend was het vrij rustig met betalingen, maar op maandag 15 mei 2017 komen er duidelijk veel meer betalingen binnen. Dit Twitter-account plaatst overigens elke 2 uur een overzicht van het totale bedrag dat in ontvangen op de dire Bitcoins-accounts.

Voorkoming

Om te voorkomen dat jezelf of je organisatie slachtoffer wordt van Wanna Cry is het zaak om ervoor te zorgen dat alle Windows computers voorzien zijn van de laatste updates. Omdat ook WannaCry zich verspreidt via e-mail, en het openen van een bijlage zorgt voor de infectie, is het goed om de tips van Veilig e-mailen te blijven volgen.

Update 16 mei 2017

Meerdere bronnen, waaronder Kaspersky Lab, melden inmiddels dat de malware zeer waarschijnlijk niet via e-mail is verspreid. Tot op heden zijn er namelijk geen e-mails gevonden die de malware verspreiden via een bijlage of een link. Of WannaCry computer geïnfecteerd heeft via gehackte websites of direct vanaf het internet wordt momenteel nog onderzocht.

Opvallend is wel dat iedereen vermoede dat deze aanval via malafide e-mails was uitgevoerd, mede omdat veruit de meeste ransomware via malafide e-mails wordt verspreid. Daarom blijft het wel belangrijk om op te letten met het openen van bijlagen en het klikken op links in e-mails.

Ransomware-ontwikkelaar vraagt om hulp!

Ook cybercriminelen willen een eerlijke business

Cybercriminelen zijn er bij gebaat dat gegijzelde bestanden goed ontcijferd worden, wanneer een ransomware-slachtoffer het losgeld heeft betaald. Dit heb ik in een voorgaande blog ook al aangegeven:

Ondanks dat je met criminelen te maken hebt krijg je in de meeste gevallen wel weer toegang tot hetgeen gegijzeld is. De reden is simpel; de toegang teruggeven houdt het ransomware-model in stand. Wordt er niets teruggegeven na betaling, dan gaat uiteindelijk ook geen enkel slachtoffer meer betalen. Waarom zou je immers nog.

Ook wanneer ik dit tijdens een van mijn trainingen of presentaties aangeef, zie je dat aanwezigen hier soms toch aan twijfelen. De redenering is juist, maar is de praktijk dan ook zo? Het blijven criminelen…

Ransomware-crimineel vraagt om hulp

Vertaling: “Een ransomware-ontwikkelaar heeft me vandaag benaderd met de vraag of ik hem kon helpen met hun ransomware. Ze zijn tegen een bug aangelopen in de CryptoAPI van zijn versleutelingsroutine.”

Een ransomware-onderzoeker (Fabian Wosar, beveiligingsonderzoeker bij Emsisoft) is benaderd door een cybercrimineel, met de vraag of hij kan helpen om een fout in de versleutelingsroutine van zijn ransomware op te lossen. Door de fout kunnen bestanden niet ontcijferd worden wanneer een ransomware-slachtoffer heeft betaald. Dit komt omdat de fout er tijdens de versleuteling (het moment waarop de bestanden gegijzeld worden) voor zorgt dat bestanden niet versleuteld worden. Wanneer de ransomware de versleuteling niet juist kan uitvoeren wordt de inhoud van de betreffende bestanden overschreven met willekeurige karakters, met als gevolgd dat de bestanden onherstelbaar beschadigd zijn.

Onder het mom van “een eerlijke business” wil de ransomware-ontwikkelaar het probleem graag oplossen, zodat zij hun slachtoffers “waarvan zij geld krijgen” de bestanden ook echt terug kunnen geven.

ransomware-ontwikkelaar-vraagt-om-hulp

Vertaling: “Omdat je eerder schreef dat je medelijden hebt met slachtoffers van ransomware…. kan jij ze helpen. Zoals je weet gebruiken we de CryptoAPI en wanneer de versleuteling faalt, vullen we de bestanden met onzin. Als gevolg hiervan klagen sommige slachtoffers… we proberen alles eerlijk te houden, maar het geld is belangrijker voor ons, dus daarom verliezen deze slachtoffers enkele van hun bestanden. Hoe jij hen kan helpen? Ik weet dat jij de beste bent in versleutelingstechnieken, dus wij kunnen jou daarom de versleutelings- en ontcijferingscode sturen zodat jij ons kunt aangeven waar de fout zit. Wij lossen het op zodat er geen nep-versleuteling plaatsvind met onzin.”

Deze vraag toont aan dat cybercriminelen daadwerkelijk weten baat te hebben bij een goede ontcijfering van gegijzelde bestanden. Toch handig als je van hulp krijgt van een crimineel 😉

 

Dossier: Ransomware

Alles wat je moet weten over ransomware

dossier ransomware

Ransomware is een snelgroeiend probleem, de vraag is niet of je slachtoffer wordt maar eerder wanneer! In dit dossier vertellen wij je alles over ransomware. In de onderstaande artikelen worden de grootste vraagstukken beantwoordt.

Heb jij vragen over ransomware die je graag beantwoord wilt hebben en hier niet genoemd staan? Laat het ons dan weten via het contactformulier.

Hoe kun je je beschermen tegen ransomware?

Ransomware: Gebruik je gezonde verstand!

Hoe kun je je beschermen tegen ransomwareIn deze serie over ransomware hebben we het uitgebreid gehad over wat ransomware is, hoe het werkt, welke criminaliteit erachter schuil gaat en wat de verwachtingen zijn voor de toekomst. Deze laatste zien er niet rooskleurig uit. Tijd dus om ons goed te beschermen tegen ransomware.

Basis is natuurlijk dat de beveiliging van je computer op orde is. Anti-virus geïnstalleerd en geüpdatet. Firewall actief. Zowel het besturingssysteem als de programma’s die erop staan geüpdatet. Natuurlijk ontbreekt een regelmatige, recentelijke en goede back-up niet. Meer tips over het beveiligen van je computer vind je hier.

Het overgrote deel van de ransomware komt binnen via e-mail. Alertheid tijdens het e-mailen is dus geboden. Het is dus wijs om inkomende e-mail altijd te controleren op de kenmerken van phishing. Een recent en veelvoorkomende manier om ransomware te verspreiden is via e-mails die afkomstig lijken van PostNL.

Persoonlijke PostNL malware mail 2016

Het bovenstaande voorbeeld bevat vele kenmerken van phishing waarop alle alarmbellen bij je moeten afgaan. Maar ook het gezonde bestand is hier belangrijk. Wanneer je niets besteld hebt, ontvang je ook niets… Daarnaast zal een bezorger eerder een briefje bij je in de bus doen dan je een e-mail sturen, toch?

Mocht je nog twijfelen, dan is het raadzaam om de link te analyseren alvorens erop te klikken. Ga en met de muisaanwijzer op staan en klik NIET. Bij de muisaanwijzer of onder in beeld verschijnt de url waar de link naar toe verwijst. Bij onze tips over veilig surfen vind je een eenvoudige manier om een link te analyseren.

Tot slot ben jij de laatste pion in de beveiliging. Cybercriminelen doen er alles aan om bestaande beveiligingsoplossingen te omzeilen. Ransomware wordt daarom niet altijd gedetecteerd door je antivirus-oplossing. Phishing-e-mails worden daarom niet altijd geblokkeerd door de verschillende e-mail-filters. Kortom, je kunt niet meer alleen vertrouwen op de beveiliging. Wat overigens niet wil zeggen dat deze niet meer noodzakelijk is, het tegendeel is waar. Maar jij staat daar als laatste man of vrouw in de verdediging. Jij bent het uiteindelijk diegene die een infectie initieert door op een link te klikken of een bijlage te openen. Cybercriminelen doen er daarom alles aan om jou te verleiden om op een link te klikken of een bijlage te openen.

Het volgende voorbeeld toont een recente ransomware-e-mail die afkomstig lijkt van Ziggo.
Ziggo voorbeeld phishing ransomware oktober 2016

Laat je niet van de wijs brengen door het bedrag, blijf nadenken. Heb jij überhaupt wel een abonnement bij Ziggo? Heb je het wel en twijfel je aan de echtheid? Bel dan Ziggo op het telefoonnummer dat je van ze hebt (in ieder geval niet het nummer wat eventueel in de e-mail staat). Of login op de website van Ziggo via “Mijn Ziggo” om een eventuele betalingsachterstand te verifiëren. Klik in ieder geval niet op een link zonder goed na te denken en zonder een goede analyse van de url waarnaar de link verwijst.

We hebben het voornamelijk gehad over links in e-mails, maar bijlagen zijn minstens zo gevaarlijk. Het voorbeeld van Ziggo kan ook verstuurd worden met de betreffende “factuur” als bijlage. Ook hiervoor geldt natuurlijk niet klikken/openen! Wanneer er enige twijfel is over de herkomst van een e-mail klik dan nooit op een link en open nooit de bijlagen.

Gebruik je gezonde verstand! Laat je niet verleiden te snel op een link te klikken of een bijlage te openen. Nieuwsgierigheid en angst zijn beide slechte raadgevers.

Is een back-up voldoende in de strijd tegen ransomware?

Back-up is noodzakelijk, dus ook bij ransomware

We hebben het in deze blogserie al eerder aangegeven; het hebben van een back-up is noodzakelijk in de strijd tegen ransomware. Een back-up voorkomt geen ransomware infectie, maar het beperkt wel de schade tot het minimum. Tenminste, als de back-up goed is en van een recente datum.

Back-up of geen back-up

Dropbox - makkelijk delen van bestandenVeel computergebruikers maken inmiddels gebruik van online opslagdiensten als Dropbox, Apple iCloud, Google Drive of Microsoft Onedrive. Ondanks dat er bij dergelijke oplossingen ook vaak gesproken wordt over back-up, zijn dit geen back-up-oplossingen. Alle genoemde en vergelijkbare diensten zijn erop gericht om bestanden te synchroniseren met verschillende apparaten. Zo zijn je foto’s van je telefoon direct toegankelijk vanaf je computer en heb je op je tablet direct toegang tot de documenten die je op je laptop gemaakt hebt.

Back-up

Voor vele is het een back-up; wanneer de harde schijf van je computer defect is staan alle bestanden nog in de cloud. Installeer je een nieuwe harde schijf dan komen de bestanden, na aanmelding op de betreffende dienst, vanzelf weer terug.

Toch geen back-up

Is een back-up voldoende in de strijd tegen ransomware?In de beschreven situatie fungeren deze diensten inderdaad als back-up. Belangrijker is wat ze doen wanneer ransomware vat krijgt op de bestanden. Wanneer bestanden versleuteld worden, dan worden deze direct met de cloud opslagdienst gesynchroniseerd. De bestanden zijn dan niet alleen versleuteld op je computer, die geïnfecteerd is, maar ook op alle andere apparaten die ermee synchroniseren. Het probleem wordt alleen maar groter!

“Maar ik kan voorgaande versies van de bestanden laten terugzetten” is vervolgens het veel gehoorde argument. Maar heb je dit wel eens geprobeerd? Vaak moet je bestand-voor-bestand terug zetten. Dus ook je duizenden foto’s een-voor-een… Succes. In deze situatie is het dus geen geschikte back-up.

Offline

De beste back-up is er een die “offline” is. Dit kan letterlijk offline zijn op, een externe harde schijf die alleen tijdens het maken van een back-up verbonden is met de computer.  Zolang de externe schijf niet verbonden is met je computer, kan ransomware de bestanden op deze schijf ook niet versleutelen.

Ook back-ups naar speciaal hiervoor ingerichte clouddiensten kunnen als een “offline” back-up bieden. Dat wil zeggen dat een eerder gemaakte back-up niet door programma’s, en dus ook niet door ransomware, overschreven kunnen worden. Een zelfde back-up mogelijkheid is soms te creëren met een NAS (Network Attached Storage).  Gebruik je een clouddienst of een NAS voor je back-ups, wees er dan zeker van dat ransomware daar inderdaad niet bij kan.
Vertrouw dus niet op clouddiensten die alleen je bestanden synchroniseren, ook al spreken ze soms van back-ups. Zorg voor een goede back-up naar een speciale clouddienst, een speciaal hiervoor ingerichte NAS of een externe harde schijf. En bedenk goed; voorkomen is beter dan genezen.

Wat is de relatie tussen ransomware en de meldplicht datalekken?

Ransomware infecties zijn meestal een datalek

In de voorgaande blogs uit deze serie is beschreven wat ransomware is en hoe het werkt. Ook is duidelijk aangegeven dat dit een groot en nog steeds groeiend probleem is. Een tweede uitdaging, met betrekking tot beveiliging, is de meldplicht datalekken die op 1 januari 2016 is ingegaan.

Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) onverwijld een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En in een aantal gevallen moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Kader meldplicht datalekken

Iedereen heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer en een zorgvuldige omgang met zijn persoonsgegevens. De regels hiervoor zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Hierin staat dat u de persoonsgegevens die u verwerkt moet beveiligen tegen verlies en tegen onrechtmatige verwerking (artikel 13 Wbp). Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens als het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a,
eerste lid, Wbp). Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a, tweede lid, Wbp).

De wet (art. 34a Wbp) bepaalt dat melding moet worden gedaan bij iedere “inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.” In artikel 13 wordt aangegeven dat het doel van de beveiliging moet zijn de gegevens te beschermen “tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Ransomware en meldplicht datalekkenMet verlies wordt bijvoorbeeld bedoeld een achtergelaten usb-stick of laptop waarop onbeveiligde persoonsgegevens staan. In geval van ransomware is “enige vorm van onrechtmatige verwerking” van toepassing, feitelijk betekent dit “iedere verwerking die geen grondslag heeft“. En verwerking is dan weer “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval … uitwissen of vernietigen van gegevens” (bron: Arnoud Engelfriet, Security.nl)

Wanneer ransomware bestanden met persoonsgegevens versleutelt, dan wordt dit natuurlijk gedaan “zonder toestemming of andere wettelijke grondslag“. Daarmee wordt de beveiligingsplicht uit artikel 13 geschonden met als gevolg dat de meldplicht datalekken van toepassing is.

De Autoriteit Persoonsgegevens is hier heel helder over:

Heeft ransomware bestanden versleuteld die persoonsgegevens bevatten? Dan is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen.

Bij de veelgestelde vragen op de website van de Autoriteit Persoonsgegevens staat een aparte sectie Datalek door ransomware.

Waarom is ransomware succesvol?

De evolutie van ransomware garandeert succes

Waarom is ransomware succesvol?De klassieke bankoverval of gijzeling komt steeds minder voor. Logisch ook wanneer je bedenkt dat je praktisch hetzelfde kunt doen vanuit huis. De pakkans tijdens de digitale overval of gijzeling is veel kleiner, je hoeft immers geen bankgebouw binnen te lopen met een wapen en alle daarbij horende risico’s. Maar ook de kans op opsporing achteraf is vele malen kleiner, met het internet zijn de grenzen online vervaagd en daarmee ook de grenzen voor (cyber)criminaliteit. Helaas geldt dit niet voor opsporingsinstanties, die hebben per land te maken met verschillende wetten en regels. Een cybercrimineel uit Rusland kan via een server in Nederland gebruikers in Chili aanvallen met ransomware.

Kortom, cybercriminaliteit is al snel internationaal, en door daar listig gebruik van te maken wordt de pakkans heel klein. Dit geldt natuurlijke voor alle cybercriminaliteit en niet specifiek voor ransomware.

Waarom is ransomware dan wel zo succesvol en wordt het momenteel gezien als de grootste dreiging?

  • Business model is uiterst winstgevend
    De return on investment is groot in de verschillende businessmodellen. Of je als cybercrimineel de ransomware zelf ontwikkelt, inkoopt of via de cloud als dienst afneemt, maakt daarbij niet zoveel uit. Er zijn voorbeelden genoeg waarbij criminelen met 1 aanval binnen een maand enkele honderdduizenden euro’s winst maken. Ransomware-variant Cryptowall 3.0 leverde criminelen zelfs meer dan 300 miljoen Amerikaanse dollars op!
  • Back-ups
    We weten allemaal dat we om verschillende redenen backups moeten maken, maar doen we het ook? Zijn de gemaakte backups wel goede backups? Je bent niet de eerste die er achter komt dat de backups niet goed zijn gegaan op het moment dat je deze het hardste nodig hebt. Test ook eens of je een gemaakte backup kunt terugzetten.
    Er zijn manieren om de kans dat je slachtoffer wordt van ransomware te minimaliseren, maar als je dan toch nog slachtoffer bent geworden kan een backup je eerste redding zijn. Omdat veel mensen deze niet hebben of deze niet kunnen terugzetten, blijft het betalen van het losgeld vaak als enige optie over en speel je de cybercriminelen in de kaart.
  • Pak het meest waardevolle
    Het principe van ransomware is duidelijk; je gijzelt iets wat waardevol is voor het slachtoffer.
    Door het meest waardevolle van een computergebruiker af te nemen zal deze eerder bereidt zijn om het losgeld te betalen.
    In onderstaande situaties zijn mensen vaak wel bereid om het losgeld van enkele honderden euro’s te betalen. Bedenk maar eens wat jij zelf zou doen

    • Met 1 klik ben je ineens alle foto’s en documenten kwijt die je privé pc stonden. Inclusief zaken als het huiswerk van je kinderen, dagboeken, muziek, administratie en dergelijk.Quote ransomware slachtoffer
    • Als zzp-er raak je in 1 klap je hele bedrijfsadministratie van de afgelopen jaren kwijt.
    • Als aannemer verlies je na een verkeerde klik van een collega de toegang tot alle bouw- en constructietekeningen die de afgelopen 15 jaar zijn gemaakt.
  • Verhoog de druk
    Om het slachtoffer verder onder druk te zetten passen de cybercriminelen verschillende middelen toe. Zo verwijdert JigSaw (deze ransomware kreeg de naam vanwege een getoond masker vernoemd naar een persoon uit de filmreeks Saw) elk uur bestanden van de computer. Het aantal dat wordt verwijdert is elk uur meer dan het voorgaande uur. Als je de computer wordt herstart of het ransomware-proces beëindigd, zal Jigsaw na te zijn herstart duizend bestanden van de computer verwijderen. Hierbij wordt je gestraft wanneer je de ransomware probeert te verwijderen.
    Wanneer je überhaupt niet betaalt, bijvoorbeeld omdat je een goede recente backup hebt, is er ook ransomware die dreigt met publicatie van versleutelde gegevens. Toch vervelend als al je foto’s of je gehele bedrijfsadministratie zo op internet verschijnen.
  • Doe wat wordt beloofd
    De vraag; “als je betaald, krijg je dan jouw bestanden ook echt weer terug?” wordt mij vaak gesteld. Het antwoord is in de meeste gevallen “Ja”. De criminelen achter de gijzelsoftware zijn erbij gebaat dat slachtoffers die betalen ook daadwerkelijk weer toegang krijgen tot hun bestanden. Hiermee houden ze namelijk de ransomware-markt in stand. Wanneer ze slachtoffers de toegang tot de gegijzelde bestanden namelijk niet teruggeven, zal niemand meer betalen en sterft ransomware uit. Om dezelfde reden wordt geadviseerd om nooit te betalen, want als niemand betaald, zal ransomware verdwijnen.
  • De helpende hand
    Ransomware wordt als volwaardig product gezien door cybercriminelen. Heb je problemen met het ontcijferen van gegijzelde bestanden dan is er een helpdesk die je helpt. Denk aan het voorgaande punt, de criminelen zijn erbij gebaat dat het goed gaat.

    UltraCrypter helpdesk via Bleepingcomputer

    Bron: Bleeping Computer

    Betalingen via Bitcoins zijn gebruikelijk voor gijzelsoftware, maar voor vele van ons onbekend terrein. Geen nood, via een live chat word je ook daarmee geholpen.
    Kortom, ze helpen je wanneer je problemen hebt. Van slachtoffer wordt je ineens een klant die geholpen moet worden.

  • Ontwikkelingen zijn ook gericht op jou
    In een voorgaande blog van deze ransomware-serie is al een overzicht gegeven van de evolutie van ransomware. De aanpassingen de worden doorgevoerd zijn niet altijd technologisch van aard, maar vaak ook gericht op jou als (toekomstig) slachtoffer. Jij bent als gebruiker van een computer de belangrijkste schakel. Ze doen er alles aan om jou te verleiden om op een link te klikken waarmee je de infectie initieert. Zoals in het voorgaande punt beschreven helpen ze jou ook na de infectie verder. Klant is koning.
    De Finse antivirus leverancier F-Secure heeft om deze reden verschillende ransomware-varianten beoordeeld op ‘klantvriendelijkheid’.

    Klantvriendelijkheidsonderzoek F-Secure

    Bron: F-Secure

    Het rapport lijkt met een knipoog geschreven, maar biedt desalniettemin een interessant inzicht in de processen achter ransomware-operaties.

  • Pakkans is klein
    Zoals in de introductie al aangegeven, is de kans om gepakt te worden nog relatief klein. Er worden regelmatig cybercriminelen opgepakt, ook in Nederland, maar dat is helaas nog maar het bekende topje van de ijsberg.

Ransomware wordt serieus, en soms uiterst professioneel, benaderd door cybercriminelen. Doe dit ook of jij bent de volgende…

Hoe wordt er geld verdiend met ransomware?

De businessmodellen van ransomware

Het standaard businessmodel van ransomware is eenvoudig; je maakt en verspreidt malware die bestanden op een computer of de computer zelf gijzelt. Vervolgens vraag je losgeld (ransom) om de gijzeling op te heffen. Verspreiding kan op vele manieren, via links in e-mails en social media, als bijlage van een e-mail, via advertenties op legitieme websites  (zogenaamde malvertising), via geïnfecteerde websites zelf of via aangeboden programma’s.

Hoe wordt er geld verdiend met ransomware?Vaak wordt mij de vraag gesteld of je na betaling de toegang tot je computer en bestanden terugkrijgt.
Ondanks dat je met criminelen te maken hebt krijg je in de meeste gevallen wel weer toegang tot hetgeen gegijzeld is. De reden is simpel; de toegang teruggeven houdt het ransomware-model in stand. Wordt er niets teruggegeven na betaling, dan gaat uiteindelijk ook geen enkel slachtoffer meer betalen, waarom zou je nog. Om dezelfde reden wordt dus geadviseerd om nooit te betalen. Als niemand meer betaald dan sterft ransomware vanzelf uit. Maar goed, dit nobele advies leg je natuurlijk snel naast je neer wanneer betaling de enige mogelijkheid is om toegang tot je bestanden terug te krijgen… Zorg daarom altijd voor een goede back-up, dan hoef je niet te betalen om je bestanden terug te krijgen.

Één aanval voor iedereen

Ransomware is een van de weinige businessmodellen voor cybercriminelen waarbij ze met 1 aanval een multinational, een autobedrijf, een ZZP-er en je schoonmoeder kunnen aanvallen. Gerichte aanvallen zijn dus niet noodzakelijk. Bekende recente voorbeelden van nep-mails die afkomstig leken van bijvoorbeeld ZiggoPostNL of KPN bevestigen dit. Zowel bedrijven als particulieren werden en worden hier het slachtoffer van.

Overigens sluit dit gerichte aanvallen niet uit. Zo richten cybercriminelen hun pijlen op ziekenhuizen.

Icon van IntelSecurity bij citaat ransomwareVoor criminelen zijn ziekenhuizen aantrekkelijke doelwitten omdat ze vaak een combinatie bieden van
een relatief zwakke beveiliging, complexe omgevingen en een dringende noodzaak voor toegang tot data, in situaties waarbij het soms draait om leven of dood
‘, zegt Wim van Campen, VP Noord- en Oost Europa, Intel Security

De ransomware is vaak generiek, niet speciaal ontwikkelt voor een bepaalde doelgroep. De doelgerichtheid zit in de manier van verspreiding. Neem de voorbeelden van hierboven, gebruikers met een Ziggo internetaansluiting zijn veel eerder geneigd om op de link te klikken in een nep-mail van Ziggo dan mensen met een XS4ALL-aansluiting. Dit heeft te maken met herkenning.

Bitcoins als betaalmiddelBitcoin logo - ransomware moet betaald worden met Bitcoins

In bijna alle gevallen moeten slachtoffers betalen via Bitcoins.

Bitcoin

Bitcoin is een nieuwe vorm van geld: revolutionair, decentraal, neutraal en vrijwillig. Het echte revolutionaire aan Bitcoin is dat er geen centrale instantie of regelgever zoals een centrale bank is die de valuta beheert en beïnvloedt. Bitcoins zijn digitaal geld en je kan ze online deus net zo gebruiken als Euro’s. Je kunt er online betalingen mee doen en ze weer inwisselen voor Euro’s.

Cybercriminelen gebruiken bij voorkeur Bitcoins omdat ze hiermee anoniem betalingen kunnen ontvangen.

Alle Bitcoin-transacties worden permanent openbaar opgeslagen op het netwerk, dus iedereen kan op elk moment het saldo en de transacties van elk Bitcoin-adres inzien. Hierdoor kunnen beveiligingsonderzoekers ook achterhalen hoeveel geld verdient is met bepaalde ransomware. Zolang de eigenaar van het Bitcoin accout waaraan betaald moet worden geen persoonlijke informatie heeft vrijgegeven kan de identiteit van de eigenaar ook niet worden vastgesteld aan de hand van zijn Bitcoin-adres. Zo kan de ontvanger anoniem blijven.

Als dienst afnemen.

Zoals het gaat in elke succesvolle markt, evolueert ook de ransomware markt. Zo kun je ransomware kopen en zelfs als dienst afnemen.

Door ransomware als dienst aan te bieden, kunnen ook minder technisch ingestelde criminelen veel slachtoffers maken. Om gebruik te mogen maken van software die door anderen is gemaakt, moeten ze wel een deel van de ‘opbrengsten’ afstaan.

Het gevaar van deze ontwikkelingen is dat deze vorm van cybercriminaliteit dus toegankelijker wordt voor criminelen met weinig tot geen technische kennis. Meer kwaadwillende kunnen op deze wijze profiteren van ransomware waardoor de dreiging alleen maar toeneemt.

Is ransomware een nieuwe dreiging?

De geschiedenis van ransomware

Is ransomware een nieuwe dreiging? Nee, maar wel eentje die juist nu volop in beweging en ontwikkeling is! Daarom richt ik me in deze blog met name op de recente geschiedenis. Uiteraard mag het begin niet ontbreken.

Het begin1989 - Rasomware

In 1989 werden 20.000 geïnfecteerde diskettes verspreid tijdens de AIDS conferentie van de Wereldgezondheidsorganisatie (World Health Organization, afgekort WHO). De diskettes bevatte de door Joseph L. Popp ontwikkelde AIDS Trojan (Ook bekend onder de namen Aids Info Disk of PC Cyborg Trojan). Dit Trojaanse paard infecteerde computers verborg mappen en versleutelde bestanden op de harde schijf. Dit werd niet direct na de infectie van de computer gedaan, maar het AIDS Trojan wachtte eerst tot de computer 90 keer was opgestart. Om de mappen en bestanden terug te krijgen moest de gebruiker $189,- betalen. Door de “zwakke” versleuteling die werd toegepast verscheen er al snel een mogelijkheid om de bestanden te ontcijferen zonder te betalen.

Een nieuw begin2005 - Rasomware

Het duurde vervolgens tot 2005 voordat ransomware pas echt van zich liet horen. In dat jaar verschenen er verschillende programma’s die gebruikers niet-bestaande infecties toonde en beloofde deze, tegen betaling, op te ruimen. Een jaar laten verscheen het Archievus-virus. Een ransomware-variant die gebruik maakte van zeer sterke versleuteling. Vanaf dit moment wordt er onderscheid gemaakt tussen twee type ransomware; Locker- en Crypto-ransomware.

Locker2008 - Rasomware

Locker-ransomware vergrendelde programma’s (zoals Internet Explorer) of de gehele computer en was vooral actief tussen 2008 en 2012. Vaak was de vergrendeling wel te verwijderen zonder te betalen. Dit type ransomware komt momenteel ook nog veel voor op Android telefoons en tablets.

Crypto2013 - Rasomware

Crypto-ransomware of cryptoware versleutelt bestanden en mappen op je harde schijf zodat deze onbruikbaar worden. Deze ransomware heeft vanaf 2013 al vele slachtoffers gemaakt en is inmiddels zo ver doorontwikkeld dat betaling de enige manier is om de bestanden te laten ontcijferen zodat ze weer leesbaar zijn. Om te voorkomen dat je moet betalen om je bestanden weer terug te krijgen, moet je dus een goede en recente back-up hebben.

Cryptoware voert vanaf 2013 de boventoon als het gaat om ransomware.  Cryptoware wordt steeds agressiever en de manier van verspreiding zijn zeer divers. Kortom, de ontwikkelingen volgen elkaar snel zodat antivirus bedrijven moeite hebben om dit bij te houden. Jij als gebruiker wordt daardoor een steeds belangrijker wapen in de strijd tegen ransomware. Het zijn meestal de gebruiker die een rasomware-infectie initieert.

Het moment2016 - Rasomware

In de voorgaande blog is al aangegeven dat ransomware een hot item is. Dit is niet alleen te meten aan het groeiend aantal slachtoffers, maar ook in de zichtbare ontwikkeling van de ransomware en de markt eromheen, de business modellen. Dit laatste bespreken we in een latere blog.

Onderstaand een overzicht van innovaties op ransomware gebeid die hebben plaatsgevonden in augustus en september. Alleen al het lezen van de titels geeft je een goede indruk van de ontwikkelingen in ransomware-land.

Hackers ontwikkelen ransomware voor slimme thermostaat 8 augustus 2016

Ransomware voor computers en smartphones bestaat al geruime tijd, en ook slimme televisies zijn kwetsbaar voor dergelijke malware. Nu is ook aangetoond dat een slimme thermostaat vatbaar zijn. De ransomware vergrendelt de thermostaat, maar de malware zou bijvoorbeeld ook de instellingen kunnen aanpassen en de temperatuur verlagen of verhogen. Lees meer…

Ongepatchte Androidtoestellen besmet met ransomware 9 augustus 2016

In april van dit jaar werd de eerste aanval ontdekt waarbij ongepatchte Androidtoestellen automatisch met ransomware werden geïnfecteerd en de tactiek wordt nog altijd toegepast. Drive-by downloads, waarbij alleen het bezoeken van een gehackte website of het te zien krijgen van een besmette advertentie voldoende is om besmet te raken, vonden voorheen alleen op Mac en Windows plaats. Verschillende kwetsbaarheden in Android maken het echter ook mogelijk om automatisch malware op toestellen te installeren.  Lees meer…

Nieuwe ransomware toont afbeelding Hitler en verwijdert data 9 augustus 2016

Onderzoekers hebben een nieuwe ransomware-variant ontdekt die op besmette computers een afbeelding van Hitler toont en na een uur allerlei gegevens van de gebruiker verwijdert. In tegenstelling tot crypto-ransomware versleutelt de “Hitler-ransomware” geen bestanden. Lees meer…

Ransomware verandert gedrag bij infecteren boekhouders 11 augustus 2016

Zodra Shade een computer heeft besmet controleert de ransomware eerst of de computer voor de boekhouding wordt gebruikt. Is dit niet het geval, dan worden de bestanden versleuteld. Gaat het echter om een boekhoudcomputer, dan zal Shade geen bestanden versleutelen maar een aangepaste versie van programma TeamViewer installeren. Daarmee hebben de aanvallers volledige controle over de computer. Lees meer…

PokemonGo-ransomware voegt backdoor-account toe 15 augustus 2016

De PokemonGo-ransomware toont een screensaver van het figuurtje Pikachu en voegt een backdoor-account toe, zodat de aanvaller op een later moment toegang tot het systeem kan krijgen. Iets dat vrij ongewoon voor ransomware is. Verder kopieert de ransomware zich naar alle aangesloten usb-sticks en plaatst tegelijkertijd een autorun.inf-bestand. Zodoende kan de ransomware ook andere computers infecteren wanneer de usb-stick daar wordt aangesloten. Eenmaal actief versleutelt het allerlei bestanden, net als andere ransomware. Lees meer…

Nieuwe ransomware speelt muziek en maakt screenshot 23 augustus 2016

Er is een nieuw ransomware-exemplaar ontdekt dat naast het versleutelen van bestanden voor losgeld ook muziek afspeelt en een screenshot van het actieve venster naar de aanvaller terugstuurt. Het gaat om de DetoxCrypto-ransomware, die als onderdeel van een partnerprogramma aan internetcriminelen lijkt te worden verkocht. In dit geval kunnen internetcriminelen de malware afnemen, waarbij ze een deel van de omzet aan de ransomwaremaker moeten afstaan. Lees meer…

Malware steelt wachtwoorden én installeert ransomware 3 september 2016

Onderzoekers waarschuwen voor kwaadaardige Word-documenten die wachtwoorden stelen en uiteindelijk ransomware installeren. Daardoor kunnen slachtoffers zowel hun inloggegevens als bestanden verliezen. De documenten doen zich onder andere voor als de c.v. van iemand. Lees meer…

Ransomware achterhaalt locatie slachtoffers via Google Maps 7 september 2016

Onderzoekers hebben een nieuw ransomware-exemplaar ontdekt genaamd CryLocker dat Google Maps gebruikt om de fysieke locatie van slachtoffers te achterhalen. Net als andere ransomware versleutelt CryLocker bestanden voor losgeld.
Waarom de ransomware deze informatie verzamelt is nog onduidelijk, maar volgens de website Bleeping Computer kan de informatie worden gebruikt om de locatie van het slachtoffer op een afbeelding weer te geven, zodat die verder onder druk wordt gezet om het losgeld te betalen. Lees meer…

Nieuwe ransomware biedt cybercriminelen genadeknop 9 september 2016

De “Give Mercy” knop is een feature van de Philadelphia-ransomware. Deze ransomware wordt voor een bedrag van 400 dollar aan cybercriminelen aangeboden. Net als andere ransomware versleutelt ook Philadelphia bestanden voor losgeld. Daarnaast biedt het criminelen allemaal opties om hun versie van de ransomware aan te passen, zoals de mogelijkheid om usb-sticks te infecteren of te bepalen welke bestanden en mappen versleuteld moeten worden.
Ook kunnen cybercriminelen zien waar hun slachtoffers zich bevinden en kan er via de genadeknop worden besloten om de bestanden van slachtoffers te ontsleutelen zonder dat die het losgeld hebben betaald. Lees meer…

Gevaarlijke aanval bedreigt miljoenen Androidtoestellen 10 september 2016

De eerste website op zijn lijst liet opeens een pop-up zien dat het toestel werd geüpdatet en niet moest worden uitgeschakeld. De melding bleef op het scherm staan en kon ook niet worden gesloten, waarop Brandt het toestel herstartte.
Tot zijn grote verbazing was er ransomware op het toestel geïnstalleerd, ook al had hij alleen een website bezocht. Het ging hier niet om crypto-ransomware die gegevens voor losgeld versleutelt, maar om ransomware die claimde van een Amerikaanse opsporingsdienst afkomstig te zijn en stelde dat de gebruiker een misdrijf had begaan. Vervolgens moest er een boete worden betaald om weer toegang tot het apparaat te krijgen Het bleek niet mogelijk om de ransomware te verwijderen. Lees meer…

Ransomware overschrijft MBR en versleutelt harde schijven 15 september 2016

Onderzoekers waarschuwen voor een nieuw ransomware-exemplaar dat de volledige harde schijf versleutelt, alsmede alle bestanden op aangesloten netwerkschijven. Daarnaast overschrijft deze ransomware ook de Master Boot Record (MBR) van de harde schijf, waardoor het systeem niet meer start. Lees meer…

Ransomware infecteert bedrijven via RDP-aanval 20 september 2016

Bij de nu waargenomen aanvallen proberen de aanvallers via brute force RDP-toegang tot de machines te krijgen. Zodra dit succesvol is wordt de Crysis-ransomware geïnstalleerd. Deze ransomware versleutelt bestanden op zowel de computer als aangesloten netwerkschijven en usb-apparaten. Volgens de virusbestrijder kan het verwijderen van de ransomware lastig zijn.
Bij de aanval wordt er namelijk ook malware op aangesloten apparaten zoals printers en routers geïnstalleerd. Daardoor kunnen de aanvallers het opgeschoonde systeem opnieuw infecteren. Om dergelijke aanvallen te voorkomen krijgen beheerders het advies RDP-toegang te beperken, sterke wachtwoorden te kiezen en twee-factor authenticatie te gebruiken. De ransomware laat onderstaande afbeelding op besmette systemen zien. Lees meer…

Ransomware bepaalt losgeld op basis van bestandsnaam 22 september 2016

In het geval van de nu ontdekte variant van de Fantom-ransomware wordt er een apart proces gebruikt om het losgeldbedrag te bepalen. Dit laat de ontwikkelaar met hetzelfde exemplaar verschillende campagnes uitvoeren, maar afhankelijk van de bestandsnaam verschillende bedragen vragen. Als de ransomware-ontwikkelaar thuisgebruikers als doelwit heeft geeft hij de ransomware een bestandsnaam die om een lager bedrag vraagt dan wanneer bedrijven of organisaties het doelwit zijn. Lees meer…

Een volledig overzicht van nieuws over ransomware in de afgelopen maanden vind je hier.

Uit bovenstaande artikelen kun je concluderen dat de markt van ransomware volop in beweging is. Cybercriminelen zoeken naar nieuwe manieren om computers, telefoons en zelf andere apparaten te infecteren. Daarnaast zoeken zij ook naar alternatieve manieren om gebruikers onder druk te zetten.

Het einde

Het einde is nog lang niet inzicht, de wereld van ransomware is nog steeds zeer winstgevend voor cybercriminelen. Het is dus niet de vraag of jij in aanraking komt met ransomware, maar wanneer.