Ransomware is big business, maar wat moet je doen wanneer je wordt getroffen? Betalen of niet? Het antwoord is helaas voor elk bedrijf anders. We bekijken de trends van ransomware de komende jaren en analyseren wat je moet doen na een ransomware-aanval.
Ransomware is grondig geëvolueerd de afgelopen jaren. Waar cybercriminelen met Cryptolocker in 2013 vooral gezinnen wilden verleiden om 500 dollar te betalen in cryptogeld, zijn bedrijven vandaag veel aantrekkelijker. Het losgeld stijgt minstens met factor 10 en hackers gaan veel professioneler te werk.
Wie nooit heeft gehackt, kan een ransomwarekit bestellen op het ‘dark web’ en op enkele dagen kan je starten. “We noemen deze groep de n00bs of script kiddies”, zegt Chester Wisniewski, Principal Research Scientist bij Sophos. “Zij hebben doorgaans niet veel succes omdat ze geen talent hebben. Deze kits mikken op niet up-to-date Windowsversies en oude webbrowsers om binnen te breken. Verder dan dat geraken ze niet.”
Bedrijven die hun Windows-systemen regelmatig updaten, komen zelden in de problemen bij dit soort aanvallen. Het gevaar verhoogt pas wanneer hackers ook echt ervaring hebben. Dan verhoogt het gevaar en stijgt het losgeld gevoelig.
Losgeldbedragen blijven stijgen
Wie talent heeft om te hacken, kan kmo’s in het vizier nemen in combinatie met goede ransomwarecode. Losgeldeisen variëren tussen de 10.000 en 50.000 euro vandaag, oftewel het equivalent van een paar maanden salaris voor je werknemers. In tijden van een pandemie is de kans groot dat je je zaak moet sluiten bij zo’n aanval.
Wie talent heeft om te hacken, kan kmo’s in het vizier nemen in combinatie met goede ransomwarecode.
Chester Wisniewski, Principal Research Scientist bij Sophos
De allerbeste cybercriminelen, dikwijls gesponsord door een natiestaat, gaan achter de grote bedrijven en eisen miljoenen dollars aan losgeld. De Russische hackergroep Evil Corp zou 10 miljoen dollar van Garmin hebben geëist na een ransomwareaanval. “De grootste som die ik ooit heb gezien, is 34 miljoen dollar met Ryuk Ransomware. Ikzelf heb al eens een bedrijf moeten helpen dat voor 15 miljoen dollar werd afgeperst,” zegt Wisniewski.
“Ik dacht dat we vorig jaar aan het plafond zaten wat betreft losgeldsommen. Foute prognose, want de losgelden zijn sterk gestegen in 2020. Ik hoop dat we nu wel een plafond hebben bereikt.”
Betalen of niet?
Wanneer je bent getroffen, moet je dan betalen? Iedereen raadt het af, maar helaas is het niet zwart-wit. Er bestaan speciale teams die een bedrijf helpt onderhandelen met hackers. Niet betalen is soms geen optie, omdat je hele business rond de versleutelde data draait en je niet zonder kan. Probeer dan maar koud te zeggen dat je niet wil betalen, waarna de hacker prompt je data wist.
“Uit anekdotes heb ik het gevoel dat de helft van alle bedrijven betaalt. Dat is een bedroevend hoog aantal, wat het rendabel maakt voor hackers om meer in te zetten op ransomware. Het is een vicieuze cirkel”, zegt Wisniewski. “Gelukkig merken we dat door de oplopende prijzen de herstelkosten vandaag bijna even hoog zijn zonder dat je het losgeld betaalt dan wanneer je dat wel doet.”
“Recent hebben we een bedrijf moeten helpen dat geen back-ups had van zijn systeem. Alles herstellen zoals voordien, zou 2 miljoen dollar kosten. Het losgeld dat de hackers vroegen, was 1,5 miljoen dollar. Je zou denken dat het losgeld een betere deal is, maar daarna moet je je netwerk en alle systemen errond opnieuw opbouwen om alle poorten te sluiten waar de hacker is binnengekomen. In dit geval kostte dat nog eens 2 miljoen dollar. Dan is de keuze snel gemaakt: niet betalen en helemaal opnieuw beginnen.”
Een succesvolle aanval kost altijd geld, of je nu betaalt of niet.
Chester Wisniewski, Principal Research Scientist bij Sophos
Een succesvolle aanval kost altijd geld, of je nu betaalt of niet. Laat je daarom goed begeleiden door een specialist om te analyseren wat je kosten zijn. Het hebben van back-ups is sowieso een belangrijke troef om kosten te besparen, zolang die ook niet geïnfecteerd zijn.
Een hacker blijft in je systeem zitten
Betalen betekent niet dat je er vanaf bent. Zoals Wisniewski hierboven al omschreef, kost het veel geld om systemen opnieuw zuiver te krijgen. Je systemen blijven geïnfecteerd en de hacker heeft nog steeds toegang via bijvoorbeeld access points, RDP (Remote Desktop Protocol), VPN, firewall: alles kan geïnfecteerd zijn.
Haast alle ransomware-aanvallen maken gebruik van een toolkit die telkens hetzelfde patroon volgt. Dat helpt forensische onderzoekers om te zoeken naar bepaalde patronen om systemen zo zuiver mogelijk te maken. “Een bedrijfsnetwerk 100 procent zuiver krijgen lukt haast nooit”, zucht Wisniewski. “Er zijn teveel toestellen en plaatsen waar hackers zich schuilhouden.”
“Zelfs wanneer je alles opnieuw opbouwt en zuiver afwerkt, dan nog is er geen zekerheid. Denk bijvoorbeeld aan wachtwoorden binnen een Active Directory. De kans is groot dat een van de werknemers een slecht nieuw wachtwoord kiest dat heel sterk lijkt op het vorige dat de hacker in zijn bezit heeft. 100 procent zeker ben je nooit in de securitywereld, spijtig genoeg.”
Preventie en snelle detectie
Wat kan je doen als bedrijf om de kans op besmetting tot het minimum te beperken? IT-teams kennen meestal wel de problemen, maar vooral bij kmo’s merk je dat ze vaak de kwetsbaarheden van gisteren oplossen en niet naar de toekomst kijken. 100 procent preventie kan echter niet, zelfs niet met de allerbeste antivirus, EDR, next-gen firewall en allerlei netwerklagen. Dat neemt niet weg dat elke extra stap een hacker kan tegenhouden of vertragen, zodat je tijdig kan handelen.
“De tijd dat hackers en criminele organisaties puur automatisch werk verrichten, ligt achter ons. Vandaag is de helft van hun werk manuele taken om achter gegevens te vissen. Je mag vandaag als bedrijf niet kiezen tussen preventie en detectie, je hebt beide nodig. Iedere hacker kan ergens binnen geraken. Het is vaak cruciaal als bedrijf om dat te detecteren en snel te handelen”, zegt Wisniewski.
De meeste aanvallen vandaag vergen drie tot tien dagen om ransomware te activeren. Dat geeft bedrijven weinig tijd om te reageren voordat alles te laat is. Na twee dagen is er dikwijls nog geen dataverlies, maar na vijf dagen al een deel of misschien alles. Netwerksegmentering is ook een goede tactiek om hackers te ontmoedigen. Elke laag vraagt opnieuw om een manuele aanpak, wat jou alweer meer tijd geeft om te reageren voor het te laat is.
Wat doet de hacker met je data?
Na een ransomware-aanval wil elk bedrijf zo snel en veilig mogelijk opnieuw aan de slag gaan. Ze staan er dikwijls niet bij stil dat de hacker nog steeds hun data heeft. Zelfs wanneer je betaalt, weet je nooit zeker of de hacker al jouw data heeft gewist op zijn of haar persoonlijke opslag.
Niets houdt hackers tegen om data beschikbaar te stellen op het ‘dark web’ om daar opnieuw geld te verdienen.
Chester Wisniewski, Principal Research Scientist bij Sophos
“Daarrond hebben we geen cijfers, maar ik ben zelf oprecht benieuwd hoeveel van die gestolen data echt verwijderd worden. Niets houdt hen tegen om die data beschikbaar te stellen op het ‘dark web’ om daar opnieuw geld aan te verdienen. Ik denk persoonlijk dat data altijd waardevol is en dat niemand ze echt deletet. Malafide hackers zijn geen nobele personen. Kijk maar naar de criminele organisaties die hun pijlen richten op ziekenhuizen, gemeentehuizen en scholen. Ze hebben nul morele waardes”, zegt Wisniewski gefrustreerd.
Zelden rechtvaardigheid
Doordat de hackers dikwijls vrijuit gaan, ziet het er niet naar uit dat ransomware aan populariteit gaat inboeten. “Het is vaak een geopolitieke kwestie”, zucht Wisniewski. “We weten meestal wie de criminelen zijn. Die informatie delen we met de FBI, Europol of andere bevoegde instantie. Ik vermoed dat zij exact weten waar ze zitten en wie ze zijn, maar dikwijls kunnen ze weinig doen.”
“Zo was er vorig jaar een groep rond de SamSam ransomware die over drie jaar tijd zes miljoen dollar heeft verdiend met het verkopen van hun toolkit. De FBI wist ervan, maar de aanvallers situeren zich in Iran. De VS en Iran praten niet, dus houdt het vaak op. Soms worden er rekeningen geblokkeerd en blokkeren ze de mogelijkheid tot internationaal reizen, maar het blijft een delicate kwestie tussen twee natiestaten.”
Richting 2021 en verder speculeren vindt Wisniewski lastig. Hij verwacht wel dat het aantal afpersingen sterk gaat stijgen. “Zeker met GDPR in het achterhoofd weegt dat zwaar door. Klantdata publiceren op het ‘dark web’ kan op dat vlak veel meer schade aanrichten dan een miljoen dollar losgeld. “