Ransomware is malware dat een apparaat kan vergrendelen of de inhoud kan versleutelen om geld van de eigenaar af te persen. In ruil beloven exploitanten van de kwaadaardige code – uiteraard zonder enige garantie – om de toegang tot de betreffende machine of gegevens te herstellen.
Dit soort kwaadaardige software wordt gebruikt voor afpersing. Wanneer een apparaat succesvol is aangevallen, blokkeert de malware het scherm of versleutelt het data die op de schijf zijn opgeslagen. Vervolgens wordt een verzoek getoond aan het slachtoffer om te betalen.
Als je bent aangevallen, zal ransomware je in de meeste gevallen informeren door een losgeldbericht op je scherm weer te geven of door een tekstbestand (bericht) toe te voegen aan de betreffende mappen. Veel ransomwarefamilies wijzigen ook de bestandsextensie van de versleutelde bestanden.
Er zijn meerdere technieken gebruikt door ransomware-operators:
• Diskcoder ransomware versleutelt de hele schijf en voorkomt dat de gebruiker toegang krijgt tot het besturingssysteem.
• Screen locker blokkeert de toegang tot het scherm van het apparaat.
• Crypto-ransomware versleutelt data die op de schijf van het slachtoffer zijn opgeslagen.
• PIN locker richt zich op Android-apparaten en wijzigt de toegangscodes om hun gebruikers te blokkeren
Alle bovengenoemde soorten ransomware vragen om betaling, meestal met het verzoek om het in Bitcoin, of een andere moeilijk te traceren cryptocurrency, over te maken. Als tegenprestatie beloven de exploitanten dat ze de gegevens ontsleutelen of de toegang tot het getroffen apparaat herstellen.
We moeten benadrukken dat er geen garantie is dat cybercriminelen hun deel van de afspraak nakomen (en soms niet in staat zijn dit te doen, hetzij opzettelijk of vanwege incompetente codering). Daarom raadt ESET aan de gevraagde som niet te betalen - in ieder geval niet voordat je contact opneemt met de technische ondersteuning van ESET om te zien welke mogelijkheden voor ontsleuteling bestaan.
Basisregels die je moet volgen om te voorkomen dat je data verloren gaat:
• Maak regelmatig een back-up van je data en houd tenminste één volledige back-up offline.
• Houd al uw software – inclusief besturingssystemen – gepatcht en up-to-date.
Maar om alle gebruikers/organisaties te helpen bij het herkennen, voorkomen en verwijderen van ransomware, is een betrouwbare en een multi-layered security oplossing de meest efficiënte oplossing.
• Verklein het aanvalsoppervlak door onnodige services en software uit te schakelen of te verwijderen.
• Scan netwerken op risicovolle accounts met zwakke wachtwoorden.
• Beperk of verbied het gebruik van Remote Desktop Protocol (RDP) van buiten het netwerk of schakel Network Level Authentication in.
• Gebruik een Virtual Private Network (VPN).
• Controleer de instellingen van de firewall.
• Een overzichtsbeleid voor verkeer tussen intern en extern netwerk (internet)
• Stel een wachtwoord in in de configuratie van uw beveiligingsoplossing(en) om te voorkomen dat de aanvaller wordt uitgeschakeld.
• Beveilig uw back-ups met authenticatie met twee of meerdere factoren.
• Train uw personeel regelmatig om phishing-aanvallen te herkennen en aan te pakken.
Het eerste gedocumenteerde gevalvan ransomware was in 1989. Het werd de AIDS Trojan genoemd en werd via de post fysiek verspreid via duizenden floppy disks die beweerden een interactieve database te bevatten over AIDS en risicofactoren die met de ziekte zijn geassocieerd. Bij het starten van de floppy heeft de malware de gebruiker buitengesloten van veel van de data op de schijf.
AIDS Trojan eiste US $189losgeld (of zoals in de losgeldbrief genaamd ‘’licentievergoeding’’) dat naar een postbus in Panama verstuurd moest worden, waardoor de gebruiker het programma 365 keer kon uitvoeren. Dr. Joseph Popp werd geïdentificeerd als de auteur; autoriteiten verklaarden hem echter mentaal ongeschikt om terecht te staan.
In mei 2017 verspreidde een door ESET gedetecteerde ransomware-worm WannaCryptor, ook wel bekend als WannaCry, zich snel met behulp van de exploit EternalBlue gelekt via NSA. Laatstgenoemde had een kwetsbaarheid uitbracht in de populairste versies van Windows-besturingssystemen. Ondanks het feit dat Microsoft meer dan twee maanden voorafgaand aan de aanval patches had uitgegeven voor veel van de kwetsbare besturingssystemen, werden bestanden en systemen van duizenden organisaties over de hele wereld het slachtoffer van de malware. Schade die het veroorzaakte, werd geschat op miljarden dollars.
In juni 2017 begon malware, die door ESET werd ontdekt als Discoder.C, ook bekend onder de naam Petya, rondes te maken in Oekraïne. Al snel kwam de aanval het land uit. Zoals later bleek, was het een goed georkestreerde supply chain-aanval die populaire boekhoudsoftware misbruikte om Oekraïnse organisaties aan te vallen en schade toe te brengen.
Het liep echter uit de hand door het infecteren van veel internationale bedrijven waaronder Maersk, Merck, Rosneft en FedEx. Dit veroorzaakte honderden miljoenen dollars aan schade.
