Het is half 9 ’s ochtends. Je zet je computer aan en logt in. Nu zouden enkele momenten van sereniteit moeten volgen terwijl je programma’s en bestanden zich inladen. Net zoals iedere ochtend.
Maar dit keer word je verwelkomd door een onbekend scherm. Je wordt medegedeeld dat je bestanden niet toegankelijk zijn. Ze zitten verborgen achter een encryptie muur. Het bericht legt kalmpjes uit dat weerstand zinloos is: proberen toegang te krijgen tot je bestanden is een verspilling van je tijd. Tenzij je een Bitcoin bedrag overmaakt naar je gijzelaars, zullen je bestanden worden vernietigd. Nu pas valt de timer op die aangeeft dat je nog 43 uur hebt om aan deze eisen te voldoen.
Ik neem het je niet kwalijk als je denkt dat het bovenstaande klinkt als de opening van een slechte hacker-film. Het concept achter ransomware klinkt bijna te absurd om waar te zijn. Maar niet alleen bestaat dit type malware echt, het neemt ook toe aan populariteit onder hackers. Hoe werkt ransomware, en hoe kun je je ertegen verdedigen?
Wat is ransomware?
Ransomware is een type malware dat dreigt de data van zijn slachtoffers te openbaren of te blokkeren, tenzij losgeld wordt betaald. Sommige simpele ransomware is vrij eenvoudig te verijdelen voor iemand met technische kennis. Meer geavanceerde malware echter gebruikt een techniek genaamd “cryptoviral exortion.” Als dit het geval is ben je de pineut: je zult je data alleen terug kunnen krijgen door een som crypto valuta over te maken, zoals Bitcoin. Crypto valuta maken het praktisch onmogelijk om de herkomst van de daders te herleiden.
Sinds 2012 zijn ransomware aanvallen gigantisch toegenomen. Er werden 181.5 miljoen ransomware aanvallen geregistreerd in de eerste helft van 2018. Dit is een toename van 229% ten opzichte van diezelfde periode in het voorgaande jaar.
Onlangs nog werd Honda getroffen door een ransomware aanval. Het bedrijf heeft tijdelijk haar productiecapaciteiten moeten terug schalen en delen van hun klantenservice- en financiële afdelingen moeten sluiten. De impact van deze aanval was overweldigend. Klanten konden niet meer online hun lease betalen of Honda’s klantenservice bereiken. Flexwerkers (die een aanzienlijk portie vormen van de getroffen afdelingen) werden niet doorbetaald terwijl hun kantoor gesloten was. Kortom, praktisch alle stakeholder groepen van Honda werd schade berokkend. Dichter bij huis is ook de Universiteit van Maastricht recentelijk getroffen door een randomware aanval.
Hoe krijgen hackers dit precies voor elkaar? Net als veel andere malware, glipt ransomware in de meeste gevallen computers binnen via een Trojaans Paard (trojan): malware die vermomd is als legitieme software. Denk hierbij aan een email bijlage die een gebruiker download of opent. Er zijn uitzonderingen hierop. Bijvoorbeeld, de befaamde WannaCry worm was in staat van computer tot computer over te springen zonder menselijke interactie.
WannaCry, de ransomware die miljoenen mensen in zijn greep hield
WannaCry verscheen ten tonele in mei 2017. Het verspreidde zich via EternalBlue, een beveiligingslek wat interessant genoeg ontdekt was door de United States National Security Agence (NSA) bij oudere Windows systemen. De tools om EternalBlue uit te buiten waren gestolen en gelekt door een groep genaamd The Shadow Brokers tenminste een jaar voorafgaand aan de WannaCry aanval.
Toen WannaCry zich eenmaal toonde aan de wereld, waren de gevolgen rampzalig. Ziekenhuizen door het gehele Verenigd Koninkrijk werden offline geslagen door deze malware. Ook regeringssystemen, spoorwegnetwerken en particuliere bedrijven werden getroffen.
Hoewel Microsoft updates had gepubliceerd om het beveiligingslek te dichten, wist WannaCry zich te verspreiden binnen organisaties die deze updates niet hadden geïnstalleerd. Waarom zorgden zoveel IT-afdelingen er niet voor dat hun beveiliging up-to-date was? De redenen lagen – zoals vaak wanneer het gaat om software updates – ergens op het spectrum van apathie en ongemak. Organisaties zijn vaak bang dat nieuwe software hun oude programma’s en systemen kan breken. Hierdoor is het uitstellen van software updates (of deze ronduit negeren) gemeengoed.
De aanval werd binnen enkele dagen de nek omgedraaid door snel ontwikkelde beveiligingspatches door Microsoft, en de ontdekking van een “kill switch” die ervoor zorgde dat geïnfecteerde computers WannaCry niet verder konden verspreiden.
Marcus Hutchins, een jonge engineer gespecialiseerd in malware en beveiligingsonderzoeker, was op vakantie toen de aanval gebeurde. “I picked a hell of a fucking week to take off work,” twitterde hij. Hij kapte z’n vakantie af en sprong achter z’n computer. Met behulp van data uit z’n malware-tracker systeem ontdekte hij wat de kill switch van WannaCry bleek te zijn: een domeinnaam genoteerd in de code die, toen hij deze registreerde, onmiddellijk het aantal infecties stopte. Hutchins, die kort hierna in de clinch lag met de FBI vanwege zijn verleden als hacker, werd wereldwijd geprezen als een held. Binnen de wereld van cybersecurity is hij een beroemdheid.
Uiteindelijk heeft WannaCry naar schatting meer dan 200.000 computers in 150 landen getroffen, met een totale schade die in de miljarden dollars liep. Het vermoeden is dat de aanval uit Noord-Korea afkomstig was, maar dit is nooit bewezen.
Hoe verdedig je jezelf tegen ransomware?
Als gebruiker ben je gelukkig niet machteloos tegenover ransomware. Sterker nog, je kunt je met minimale moeite verdedigen tegen malware zoals WannaCry. Zo zul je nooit tandenknarsend losgeld hoeven over te maken om te voorkomen dat je bestanden worden vernietigd (iets wat de autoriteiten overigens afraden).
Houd je software up-to-date
Het eerste dat je moet doen om je te beschermen ransomware is zorgen dat je alle software op je computer – inclusief je besturingsysteem – regelmatig bijwerkt. Door je software regelmatig bij te werken, zul je veel beter beschermd zijn tegen beveiligingszwakheden die ransomware hackers kunnen uitbuiten. Idealiter zorg je ervoor dat al je software zich automatisch update (iets wat je meestal kunt instellen) waardoor je dit niet zelf hoeft bij te houden.
Kijk uit met onbekende links en bijlagen
Kwaadaardige links en bestandsbijlagen behoren tot de meest voorkomende methodes die makers van ransomware gebruiken om ransomware je computer binnen te krijgen. Kijk daarom uit met onbekende links en bestandsbijlagen die je worden toegestuurd, vooral als deze uit je spam-folder afkomstig zijn. Meestal sturen makers van ransomware gigantische hoeveelheden spam naar potentiële slachtoffers. Deze emails bevatten links en bijlagen die, wanneer erop wordt geklikt, de ransomware automatisch downloaden. Makers van ransomware doen zich vaak voor als een gerenommeerde organisatie. Sta dus altijd op scherp – ook als het gaat om emails die legitiem ogen. Bijvoorbeeld, een afzender als info@rabo-bank.net duidt erop dat je waarschijnlijk met een hacker te maken hebt.
Maak een back-up van je bestanden
Het regelmatig maken van back-ups is iets wat sowieso slim is om te doen – los van bescherming tegen ransomware. Iedereen kan eenvoudig zijn bestanden opslaan in de cloud (iCloud, Google Drive, Dropbox) of op een draagbare harde schijf. Door dit te doen neem je de ammunitie van een ransomware hacker weg. Je hebt immers een back-up van alle gegevens die onder vuur liggen. Als gebruiker kun je vervolgens rustig de malware van je computer verwijderen en je bestanden terug kopiëren.
Gebruik antivirussoftware
Naast bovenstaande maatregelen, is het wijs de beste antivirus te gebruiken. Hiermee kun je je computer te beschermen tegen een breed scala aan online bedreigingen. De meeste antivirusprogramma’s beschikken over een ransomware-ontgrendelaar die je computer in real-time bewaakt en alle malware verwijdert die deze detecteert. Om antivirus optimaal te benutten, zorg ervoor dat je automatische database-updates en systeemscans instelt.
Welke antivirus moet je kiezen? Ik raad Norton of BitDefender aan. Dit zijn twee van ’s werelds langst bestaande en meeste populaire antivirus programma’s. Norton biedt ook nog eens een onbeperkte VPN-verbinding aan.
Hoe zit het met je onderneming verzekeren tegen ransomware?
Er zijn cyberrisk verzekeringen, aangeboden door partijen als AIG, Centraal Beheer en Allianz, die je als ondernemer kan afsluiten. Een probleem is dat verzekeren tegen ransomware aanvallen in toenemende mate onder druk zal komen te staan door de groeiende hoeveelheid cyberaanvallen en bijbehorende claims. Wanneer verzekeringsmaatschappijen het ransomware losgeld blijven ophoesten, zal het aantal aanvallen blijven toenemen. Hackers worden immers voor beloont voor hun moeite.
En zoals het oude credo luidt: voorkomen is beter dan genezen. Je zit natuurlijk helemaal niet te wachten op de stress die een ransomware aanval met zich meebrengt. Daarom raad ik je aan je software up-to-date te houden, uit te kijken met onbekende links en bestanden, regelmatig backups te maken van je bestanden, en een antivirus aan te schaffen (via Norton of BitDefender).
