Hoe werkt ransomware?
Er zijn meerdere technieken die worden gebruikt door ransomware cybercriminelen, waaronder:
- Screen locker ransomware blokkeert de toegang tot het scherm van het apparaat, met uitzondering van de gebruikersinterface van de malware.
- PIN locker ransomware wijzigt de PIN-code van het apparaat, waardoor de inhoud en de functionaliteit ervan ontoegankelijk worden.
- Disk coding ransomware encrypts the MBR (Master Boot Record) en/of kritische bestandssysteemstructuren en verhindert zo de toegang van de gebruiker tot het besturingssysteem.
- Crypto-ransomware codeert gebruikersbestanden die op de schijf zijn opgeslagen.
Warning
Over het algemeen vragen dit soort ransomware om betaling, meestal in Bitcoin, Monero of een andere moeilijk te traceren cryptocentrische valuta. In ruil daarvoor beweren de cybercriminelen dat ze de gegevens zullen ontcijferen en/of de toegang tot het betreffende apparaat zullen herstellen. Maar er is absoluut geen garantie dat cybercriminelen aan hun kant van de afspraak zullen leveren (en soms niet in staat zijn om dit te doen, hetzij opzettelijk of als gevolg van incompetente codering). Therefore ESET recommends not paying the sum demanded - at least not before contacting ESET technical support to see what possibilities exist for decryption.
Why should SMBs care about ransomware?
Volgens de Ponemon 2017 State of Cybersecurity in Small & Medium-Sized Businesses (SMB) survey, elk ander bedrijf in de peiling had in de afgelopen 12 maanden een ransomware-aanval meegemaakt, sommige bij meerdere gelegenheden. De meeste (79%) zagen hun systemen infiltreren als gevolg van social engineering-aanvallen.
Deze statistieken documenteren twee dingen:
1. In tegenstelling tot hun eigen overtuigingen worden SMB's een steeds interessanter doelwit voor cybercriminelen.
2. Het MKB is een waardevoller doelwit voor cybercriminelen dan consumenten en kwetsbaarder dan grote ondernemingen, omdat kleine en middelgrote ondernemingen doorgaans niet over de financiële en informatiebeveiligingsmiddelen van hun zakelijke tegenhangers beschikken. Deze combinatie vormt een "sweet spot" voor de aanvallers.
Meer lees
In hetzelfde rapport wordt ook opgemerkt dat desktops de meest doelgerichte apparaten waren (78%), gevolgd door mobiele telefoons en tablets (37%) en bedrijfsservers (34%). Als de ransomware-aanval succesvol was, betaalden de meeste (60%) van de slachtoffers het gevraagde losgeld. Het bedrag dat zij betaalden was gemiddeld meer dan $2150. Maar er zijn betere manieren om met de ransomware-dreiging om te gaan, door zich te richten op preventie en herstel.
Hoe houdt u uw organisatie beschermd?
Basisstappen voor preventie en herstel:
- Regelmatig een back-up maken van de gegevens en minstens één volledige back-up van de meest waardevolle gegevens off-line bewaren
- Houd alle software en apps - inclusief besturingssystemen - gepatcht en geüpdatet
- Gebruik een betrouwbare, meerlaagse beveiligingsoplossing en zorg ervoor dat deze gepatcht en up-to-date is.
Aanvullende beschermende maatregelen
- Verminder het aanvalsoppervlak door onnodige diensten en software uit te schakelen of te verwijderen.
- Scan netwerken op risicovolle accounts met behulp van zwakke wachtwoorden en zorg ervoor dat ze worden verbeterd
- Beperk of verbied het gebruik van het Remote Desktop Protocol (RDP) van buiten het netwerk, of schakel netwerkauthenticatie in.
- Gebruik een Virtual Private Network (VPN) voor medewerkers die op afstand toegang hebben tot bedrijfssystemen
- Controleer de firewallinstellingen en sluit alle niet-essentiële poorten die tot een infectie kunnen leiden.
- Herziening van de regels en het beleid voor het verkeer tussen de interne bedrijfssystemen en het (de) externe netwerk(en)
- Bescherm de configuraties van uw beveiligingsoplossingen met een wachtwoord om te voorkomen dat ze worden uitgeschakeld door een aanvaller
- Segmenteer het bedrijf LAN in subnetten en sluit deze aan op firewalls om de zijdelingse beweging en de mogelijke impact van ransomware of andere aanvallen binnen het netwerk te beperken.
- Bescherm uw back-ups met twee- of multifactor authenticatie
- Train uw personeel regelmatig om cyberbedreigingen te herkennen en hoe om te gaan met social engineeringaanvallen
- Beperk de toegang tot gedeelde bestanden en mappen alleen tot degenen die deze nodig hebben, inclusief het maken van alleen-lezen inhoud, en wijzig deze instelling alleen voor personeel dat schrijftoegang moet hebben.
- Detectie van potentieel onveilige/ongewenste toepassingen (PUSA/PUA) mogelijk maken om hulpmiddelen te detecteren en te blokkeren die door aanvallers kunnen worden misbruikt om de beveiligingsoplossing uit te schakelen
Geen enkel bedrijf is volledig veilig voor ransomware
Als uw bedrijf niet is getroffen door ransomware, zou u in de verleiding kunnen komen om aan te nemen dat deze bedreiging voorbehouden is aan grotere organisaties. De statistieken laten zien dat u zich zou vergissen. Ook kan een gerichte aanval uit de hand lopen en ongedifferentieerde schade veroorzaken, zelfs wereldwijd. In juni 2017 heeft een malware-aanval in Oekraïne, gedetecteerd door ESET als Diskcoder.C (aka Petya of NotPetya), zich al snel een weg naar buiten gebaand. Later bleek het om een goed georchestreerde supply chain-aanval te gaan die populaire boekhoudsoftware infiltreerde om uit de hand gelopen Oekraïense organisaties aan te vallen en te schaden, waardoor vele wereldwijde en kleinere bedrijven werden geïnfecteerd en honderden miljoenen dollars aan schade werden aangericht.
Another ransomware worm detected by ESET as WannaCryptor.D (aka WannaCry) spread rapidly, using the leaked NSA tool EternalBlue, which exploited a vulnerability in the SMB (Server Message Block) network protocol, mainly used to provide shared access to files and printers. Despite Microsoft issuing patches for most of the targeted, vulnerable Windows OSes almost two months prior to the attack, WannaCryptor.D infiltrated networks in thousands of organizations worldwide. The cost of the damage resulting from this cyberattack has been estimated in billions of USD.
ESET-beveiliging beschermt tegen ransomware
Krijg effectieve bescherming tegen ransomware met ESET meerlaagse endpoint beveiliging inclusief Ransomware Shield en LiveGrid® bescherming via de cloud en netwerk aanvalsbescherming. Combineer ESET's krachtige scan-engine met ESET Cloud Administrator (ECA) en krijg gedetailleerd inzicht in het netwerk.