- Wat is ransomware precies?
- Wat is de oorzaak van de recente toename van ransomware-aanvallen?
- Catastrofale ransomware-aanvallen in 2021
- Hoe kun je ransomware-infecties voorkomen?
Ransomware-aanvallen behoren tot de meest voorkomende inbreuken op de cyberbeveiliging, vooral omdat ze relatief eenvoudig uit te voeren zijn. Tijdens ransomware-aanvallen richten cybercriminelen zich op individuen of bedrijven om hun computersystemen te saboteren en hun data te gijzelen, waarna slachtoffers opgedragen wordt losgeld te betalen om de toegang tot hun bestanden te herstellen. Het afgelopen jaar is duidelijk geworden dat veel grote en kleine bedrijven en organisaties niet afdoende zijn beschermd tegen deze vorm van cybercrime, met alle desastreuze gevolgen van dien. De Amerikaanse verzekeringsmaatschappij CNA Financial betaalde dit jaar het hoogste bedrag ooit. Om na een ransomware-aanval in maart de controle over zijn netwerken terug te krijgen, moest het bedrijf maar liefst $40 miljoen in cryptovaluta betalen, waarmee een wereldrecord gevestigd werd.
Wat is ransomware precies?
Je kunt op verschillende manieren slachtoffer worden van ransomware-aanvallen. Bijvoorbeeld wanneer malware je computer binnenkomt via een gehackte website (of een legitieme website met kwaadaardige advertenties), wanneer je geïnfecteerde bestanden downloadt, als je apps of programma’s van onbekende bronnen installeert, via een kwaadaardige bijlage of link en op verschillende andere manieren. Ransomware vergrendelt de toegang tot je computersystemen en -bestanden totdat je een flink bedrag in cryptovaluta betaalt. De software is eenvoudig via criminele online marktplaatsen te verkrijgen maar helaas is het niet zo eenvoudig om je systemen tegen deze dreiging te beveiligen.
Ransomware-aanvallen richten zich vaak op organisaties met enorme hoeveelheden gevoelige (consumenten)gegevens en cyberverzekeringen, waardoor deze bedrijven eerder geneigd zijn grote sommen geld te betalen. Populaire slachtoffers zijn medische instellingen, overheidsorganisaties, supermarktketens, mediaconglomeraten, banken, universiteiten, enzovoort. “Er hebben inmiddels al vele spraakmakende ransomware-aanvallen plaatsgevonden in ziekenhuizen of andere medische organisaties – wat verleidelijke doelwitten zijn. Omdat er levens op het spel staan weten criminelen dat deze instellingen eerder geneigd zijn om losgeld te betalen om een probleem uit de weg te ruimen”, aldus cybersecurityblog CSO.
Wat is de oorzaak van de recente toename van ransomware-aanvallen?
In juni 2021 waren wereldwijd ongeveer 1.210 bedrijven per week het doelwit van ransomware-aanvallen. De grootste toename vond plaats in sectoren als transport, retail en het onderwijs. Het wordt voor cybercriminelen steeds eenvoudiger om dit soort aanvallen uit te voeren. Hackers kunnen alles wat ze moeten weten eenvoudig leren via sites als YouTube en ook kunnen ze moeiteloos toegang krijgen tot ransomware-software-as-a-service. De geanonimiseerde cryptovaluta-overboekingen maken exorbitante losgeldeisen bovendien steeds eenvoudiger. En door onze toenemende afhankelijkheid van digitale infrastructuur zijn slachtoffers eerder bereid om te betalen. Dit is voor cybercriminelen wel heel lucratief en moedigt hen aan om deze aanvallen steeds vaker te plegen.
“De ransomware-business is booming. We zien een wereldwijde toename van ransomware in alle grote geografische gebieden, vooral in de laatste twee maanden. We denken dat de trend wordt aangedreven door tientallen nieuwkomers in de ransomware-business”, aldus Lotem Finkelstein, hoofd van bedreigingsinformatie bij Check Point Software. Een andere reden waarom we steeds vaker met ransomware-aanvallen te maken krijgen is het snel toenemende gebruik van het internet. Als gevolg van de pandemie zijn miljoenen mensen over de hele wereld veel meer online gaan werken of leren.
Opmerkelijke ransomware-aanvallen in 2021
We zijn iets meer dan halverwege het jaar en we hebben al een enorme toename gezien in het aantal en de ernst van ransomware-aanvallen. Ook organisaties die beveiliging of verzekering bieden tegen deze aanvallen blijven niet ongedeerd. Als gevolg van de disruptie, downtime, openbaargemaakte gevoelige gegevens en financiële verliezen, hebben veel slachtoffers aan de losgeldeisen voldaan, hoewel niet alle criminelen garanderen de toegang tot systemen en gegevens na betaling te herstellen. Hier is een overzicht van de meest opmerkelijke ransomware-aanvallen van dit jaar.
Kia Motors
In februari van dit jaar werd Kia Motors America, waarvan het hoofdkantoor in Californië gevestigd is, het slachtoffer van een ransomware-aanval door de DopplePaymer ransomware-bende. Kia heeft de aanval niet officieel bevestigd, hoewel het bedrijf wel melding maakte van wijdverbreide storingen in IT, telefoondiensten en betalingssystemen, evenals storing van dealerspecifieke applicaties die dagenlang aanhielden. De aanval had voor veel belangrijke systemen gevolgen. Denk daarbij aan de systemen waarmee klanten hun nieuw gekochte auto’s in ontvangst kunnen nemen, maar ook klantenservicesystemen, zelfhulpportals en mobiele UVO Link-apps, waardoor klanten geen toegang hadden tot functies als remote start. Volgens experts ging de aanval vergezeld van een ransomware-brief, waarin werd vermeld dat een aanzienlijke hoeveelheid bedrijfsgegevens was geëxfiltreerd en waarin een betaling van $20 miljoen in Bitcoin werd geëist om bestanden te ontgrendelen en te voorkomen dat de bende deze zou vrijgeven aan het publiek.
CNA Financial
In maart werd CNA Financial, een van ’s werelds grootste commerciële verzekeraars, getroffen door een geavanceerde ransomware-aanval, die wijdverbreide netwerkstoringen veroorzaakte. Twee weken nadat hackers de gegevens van CNA hadden gestolen en de systemen hadden vergrendeld, betaalde de verzekeraar maar liefst $40 miljoen losgeld, aldus Bloomberg. De aanvallers, die naar verluidt verbonden zijn met het door Rusland gesteunde cybersyndicaat Evil Corp, gebruikten een nieuwe versie van de Phoenix CryptoLocker-malware, die niet alleen op meer dan 15.000 computers in het netwerk van CNA gegevens versleutelde, maar ook op de computers van externe werknemers die met hetzelfde netwerk waren verbonden.
Volgens betrouwbare bronnen negeerde CNA aanvankelijk de eisen van de hackers en zocht het naar opties om gegevens te herstellen zonder met de cybercriminelen te communiceren. Een week later ging het bedrijf echter toch in onderhandeling met de hackers, die aanvankelijk $60 miljoen eisten. Volgens een woordvoerder van CNA duurde het ongeveer drie weken voordat de ransomware-aanval was opgelost, waarna de systemen werden hersteld. Er zijn tijdens de aanval geen klantaccounts in gevaar gebracht.
Health Service Executive (HSE) Ierland
Op 14 mei, na een catastrofale ransomware-aanval door de Conti ransomware-groep, sloot het Ierse Health Service Executive (HSE), de overheidsorganisatie die alle openbare zorgdiensten in Ierland beheert, zijn IT-systemen uit voorzorg af, waardoor er geen toegang meer mogelijk was tot computerbestanden. Hierdoor ontstonden disrupties in de zorgverlening, zoals vertragingen en annuleringen van consulten en behandelingen. Bij veel zorgcentra werd aan patiënten gevraagd om papieren documenten mee te nemen. Tijdens de aanval werden verschillende patiënt- en personeelsgegevens gelekt, waaronder medische gegevens, namen, (e-mail)adressen en telefoonnummers.
In een verklaring op de website stelt de HSE: “Er is een kleine hoeveelheid HSE-gegevens op het dark web verschenen. Er wordt actie ondernomen om de mensen die hierdoor worden getroffen te helpen”. Op 5 juli ondervonden de zorgdiensten als gevolg van de ransomware-aanval nog steeds ernstige verstoringen. Desondanks waren noch de HSE, noch de regering bereid om het losgeld van $20 miljoen te betalen. In een onverwachte wending overhandigde de Conti ransomware-groep de decoderingstool om het netwerk te herstellen. Op zijn website op het darknet vertelde Conti de HSE dat “we de decoderingstool voor uw netwerk gratis leveren. Maar u moet begrijpen dat we veel privégegevens zullen verkopen of publiceren als u niet met ons communiceert en de situatie probeert op te lossen”.
Colonial Pipeline
Op 7 mei meldde de Colonial Pipeline Company, die de grootste petroleumpijpleiding in de VS exploiteert en bijna de helft van de brandstofvoorraad aan de oostkust levert, dat het bedrijf slachtoffer was geworden van een ransomware-aanval. De aanval werd toegeschreven aan de in Rusland gevestigde hackergroep Darkside en is naar verluidt de grootste cyberaanval ooit op een Amerikaans energiesysteem. Het bedrijf werd gedwongen om de pijpleiding uit te schakelen en verschillende van zijn systemen af te sluiten. De sluiting duurde enkele dagen en veroorzaakte paniekaankopen, prijspieken en brandstoftekorten. Joseph Blount, CEO van Colonial Pipeline, zei dat hij akkoord ging met de losgeldbetaling van $5 miljoen omdat men niet zeker wist hoe ernstig de systemen van het bedrijf geïnfiltreerd waren en hoe lang het zou duren om de pijplijn weer op gang te krijgen. “Ik nam het niet licht op. Ik moet toegeven dat ik me niet op mijn gemak voelde om zoveel geld de deur uit te zien gaan naar dit soort mensen. Maar het was de juiste beslissing voor het land”. Amerikaanse wetshandhavers hebben uiteindelijk $2,3 miljoen van de hackergroep terug weten te krijgen.
JBS
Kort na de aanval op de Colonial Pipeline Company werd de wereldwijde vleesverpakker JBS USA door een ransomware-aanval getroffen, waardoor het bedrijf zijn activiteiten in Canada, Australië en de VS moest stopzetten. Hierdoor kwam de voedselvoorziening in gevaar en schoten de prijzen omhoog. “Nadat de cyberaanval dankzij onze snelle respons, robuuste IT-systemen en versleutelde back-upservers opgelost was, hebben we onze wereldwijde bedrijfsactiviteiten weer opgestart”, aldus een door JBS uitgegeven verklaring.
Een tijdje later bevestigde het bedrijf echter dat het $11 miljoen had betaald aan de aan Rusland gelieerde hackergroep REvil (ook bekend als Sodinokibi) om ervoor te zorgen dat er geen gegevens werden geëxfiltreerd, verdere productieverstoring te voorkomen en de gevolgen voor boeren, supermarkten en restaurants te minimaliseren. Een groot deel van de faciliteiten van JBS was op het moment van betaling echter alweer operationeel. “Volgens de resultaten van het voorlopige onderzoek zijn er geen bedrijfs-, klant- of werknemersgegevens gecompromitteerd”, aldus de rundvleesfabrikant. Hoewel de FBI het betalen van losgeld afraadt, zei JBS dat het overleg had gepleegd met externe cyberbeveiligingsexperts “om onvoorziene problemen in verband met de aanval te voorkomen en ervoor te zorgen dat er geen gegevens zijn geëxfiltreerd”.
Coop-supermarkten in Zweden
Op 3 juli moesten honderden Coop-supermarkten in Zweden als gevolg van een catastrofale ransomware-aanval hun deuren sluiten omdat hun kassa’s niet meer werkten en Coop-medewerkers geen betalingen konden verwerken. Slechts vijf van de meer dan 800 winkels van Coop waren niet getroffen. De aanval was niet direct gericht op Coop, maar was onderdeel van een wereldwijde aanval waarbij het in Miami gevestigde Kaseya, een leverancier van ICT-beheersoftware, het belangrijkste doelwit was.
Via zwakke plekken in de softwarebeveiliging slaagden de cybercriminelen erin om wereldwijd nog eens 1.000 bedrijven die gebruikmaken van Kaseya-klantsystemen met de REvil-coderingstrojan – die vermomd was als een software-update – te infecteren. De ransomware versleutelde bestanden, waarna hackers $70 miljoen eisten om de toegang tot de bestanden te herstellen. Naast de Coop-winkelketen werden diverse andere bedrijven overal ter wereld door deze aanval getroffen. Ciaran Martin, hoogleraar cyberbeveiliging aan de Universiteit van Oxford, zei dat dit “waarschijnlijk de grootste ransomware-aanval aller tijden” was. De criminelen die de verantwoordelijkheid voor de aanval opeisten zeiden meer dan een miljoen systemen te hebben geïnfecteerd.
Hoe kun je ransomware-infecties voorkomen?
Vanwege de eenvoud en winstgevendheid van ransomware-aanvallen komen deze steeds vaker voor. Andrei Mochola, hoofd consumentenzaken bij Kaspersky Lab, zegt: “We dringen er bij alle slachtoffers van ransomware, of het nu grote organisaties of individuele personen zijn, op aan om het losgeld dat door criminelen wordt geëist niet te betalen. Daarmee houd je de praktijken van deze cybercriminelen namelijk in stand. En, zoals ons onderzoek aantoont, is er geen garantie dat het betalen van het losgeld je ook daadwerkelijk de toegang tot je versleutelde gegevens teruggeeft”. Voorkomen is beter dan genezen en er zijn verschillende manieren om ervoor te zorgen dat je niet het volgende slachtoffer van een ransomware-aanval wordt.
Ten eerste is het belangrijk om het beste beveiligingssysteem te installeren dat je je kunt veroorloven. Alert blijven is een andere manier om een ransomware-infectie te voorkomen. Als je merkt dat je systemen trager worden, verbreek dan de internetverbinding, schakel je systemen uit en neem contact op met je netwerkbeveiligingsprovider. Het is ook belangrijk om werknemers te trainen op het gebied van de gevaren van cybercriminaliteit en hen bewust te maken van het belang van cybersecurity. Gebruik gegevensversleuteling om persoonlijke informatie, e-mails en bestandsuitwisselingen te beschermen. Maak regelmatig backups van je gegevens. Voorkom en verhelp kwetsbaarheden door applicaties regelmatig te upgraden en instrueer medewerkers om voor de diverse applicaties waar ze mee werken verschillende wachtwoorden te gebruiken.
