Het kan de besten overkomen: ransomware heeft z’n weg gevonden naar een achterpoortje in je netwerk en je data is versleuteld. Je komt voor een prijzig ultimatum te staan: betaal je de hackers losgeld of onderzoek je alternatieven?
Update – De universiteit van Maastricht in Nederland werd eind vorig jaar het slachtoffer van ransomware. De universiteit communiceerde heel open over het probleem, en gaf enkele dagen geleden aan dat ze de cybercriminelen 200.000 euro losgeld heeft betaald. Is betalen een goed idee? Hieronder volgt de geüpdatete versie van de analyse die we in 2019 al brachten rond dit probleem.
Je hoeft maar even een slechte inschatting te maken door een update te lang uit te stellen of op een link in een magnifiek uitgewerkte phishingmail te klikken en je kan jezelf toevoegen aan een lange lijst met slachtoffers van ransomware. Ransomware blijft een erg populaire aanvalsvector voor cybercriminelen. Wie malware op grote schaal verspreid of een zero-day kan uitbuiten, zal altijd wel enkele slachtoffers vinden die bereid zijn om losgeld in bitcoin over te maken. Slachtoffers worden soms doelgericht gekozen, maar veelal circuleert ransomware gewoon in het wild, wachtend op een toegankelijke prooi.
Nee
Stel dat jij bij het openklappen van je laptop getrakteerd wordt op een ransomwareboodschap, is het dan tijd om je bitcoin-chequeboekje boven te halen? Het eenvoudige, korte en enige ‘juiste’ antwoord is nee. In principe mag je onder geen beding betalen, om dezelfde reden dat de VS niet onderhandelen met terroristen. De enige reden dat ransomware bestaat, is precies omdat mensen en bedrijven plooien voor de chantage. Door te betalen geef je cybercriminelen zowel nieuwe middelen als motivatie om hun ransomwarecampagnes verder te zetten. In een ideale wereld betaalt niemand en is ransomware al lang weinig meer dan een nare herinnering.
Het is natuurlijk geen ideale wereld. Mensen betalen wel en ransomware blijft bestaan. Een principieel standpunt innemen is eenvoudig op papier, maar een stuk moeilijker als het over je hele fotobibliotheek gaat en al helemaal uitdagend wanneer er kritieke bedrijfsdata versleuteld raakte. Voor je overweegt om toe te geven aan de criminelen, is het echter een goed idee om alle mogelijke opties uit te putten.
Back-up een optie?
De eerste is de eenvoudigste: hoe staat het met je back-ups? Zijn die nog intact? Misschien zijn de bestanden versleuteld, maar kan je via software nog terugrollen naar een oudere versie van je data? Die optie geniet steeds de voorkeur, zelfs al verlies je enkele dagen werk. Een betaling is immers geen garantie op een succesvolle decryptie. Is er geen back-up beschikbaar, dan is het tijd om even dieper in te zoomen op wat er precies gebeurd is.
Zeg immers niet zomaar ‘ransomware’. Onder de noemer woont een breed scala aan malware. Sommige versies zijn erg venijnig en gebruiken encryptiemethodes die simpelweg niet te kraken zijn. Versleuteling van het niveau van pakweg Bitlocker, met correct geïmplementeerde AES256-encryptie, is in principe waterdicht. Criminelen die de techniek voor slechte doeleinden gebruiken, laten een puinhoop achter die niet te herstellen valt zonder decryptiesleutel.
Gratis decryptie
Niet alle ransomware is echter van hetzelfde niveau. Beveiligingsonderzoekers gaan steevast aan de slag met nieuwe ransomware en van tijd tot tijd ontdekken ze manieren om bestanden te recupereren zonder decryptiesleutel van de hackers. Momenteel zijn er een tiental versies van ransomware waarmee je je bestanden kan terugkrijgen zonder dat je losgeld hoeft te betalen. Het gaat onder andere om verschillende versies van GandCrab, JSWorm, Mira en Megalocker.
Op de website nomoreransom.org vind je een actuele lijst. De site is een samenwerking tussen onder andere Europol, de Nederlandse politie en McAfee. Je vindt er decryptietools, net als hulpmiddelen waarmee je kan ontdekken of er hoop is voor jouw bestanden. Upload een bestand naar de ‘Crypto Sheriff’ op de website om te ontdekken of er een tool beschikbaar is om je te helpen.
Geen uitweg
Heb je geen back-ups en bestaat er geen decryptietool? Dan worden de mogelijkheden plots erg beperkt. Betalen begint er dan steeds meer als een aanlokkelijke optie uit te zien. Gaat het om persoonlijke data, dan moet je afwegen of het losgeld overeenkomt met de waarde van een kans om je data terug te zien. Besef dat er geen zekerheid is: het is niet omdat je betaalt, dat criminelen je effectief een werkende decryptiesleutel zullen opsturen.
Het is niet omdat je betaalt, dat criminelen je effectief een werkende decryptiesleutel zullen opsturen.
In een professionele context moet je nagaan wat het economisch belang van de getroffen data is. Valt ze te reproduceren, of stevent je organisatie af op een faillissement als de gegevens niet snel opnieuw beschikbaar zijn? Een architectenbureau dat al zijn plannen ziet verdwijnen heeft bijvoorbeeld niet al te veel keuze: niet betalen betekent hier al snel het einde van het bedrijf. Soms is het vraagstuk niet moeilijker dan een vergelijking tussen de kost van de betaling van het losgeld en de kost van het niet betalen ervan.
Ransomware-klantendienst
Zomaar het gevraagde losgeld betalen, blijft echter een laatste optie. Veel ransomware komt met een aanspreekpunt. Via een soort klantendienst helpen cybercriminelen je om bijvoorbeeld aan bitcoin te komen en te betalen, maar vaak staan ze ook open voor onderhandeling over de prijs. In 2016 werkte beveiligingsbedrijf F-Secure zich nog in het nieuws door een analyse van de klantendiensten gekoppeld aan verschillende veelvoorkomende ransomware-aanvallen. In veel gevallen was het mogelijk om de prijs te halveren of zelfs daaronder te gaan na contact met de criminelen zelf. Duidelijk maken dat je wil betalen, maar het gevraagde bedrag oprecht te hoog is, lijkt vaak te werken.
Een mooi voorbeeld hiervan circuleert nog op Reddit, waar een slachtoffer van een aanval gratis decryptie kreeg. De criminelen hadden een malwarecampagne op poten gezet speciaal gericht op Taiwan, maar het inkomen van die regio naar eigen zeggen zwaar overschat. Een kleine donatie na de decryptie zou wel geapprecieerd worden, klonk het. Wie niet waagt niet wint en de realiteit toont aan dat onderhandelen over de prijs op z’n minst het proberen waard is.
Het risico van betalen
Heb je al het bovenstaande geprobeerd, dan kan je eventueel overgaan tot de betaling van het losgeld in de hoop dat je data worden vrijgegeven. Zeker bij grotere malwarecampagnes is de kans reëel dat je geholpen wordt. Over het algemeen hebben criminelen er baat bij om hun belofte na te komen. Moesten ze te vaak met het geld aan de haal gaan zonder bestanden te herstellen, zou niemand nog betalen.
Google in ieder geval voor je betaalt. Sommige ransomware-aanvallen hebben geen winst voor hun makers als objectief. Van de NotPetya-aanval wordt bijvoorbeeld aangenomen dat die in hoofdzaak bedoeld was als aanval op de infrastructuur van Oekraïne. De hackers werden naar alle waarschijnlijkheid gesponsord door de Russische staat. Ransomware was hier weinig meer dan een vermomming voor een cryptolocker met een veel destructiever doel. Door de aard van de aanval waren er best veel slachtoffers, maar daar lagen de NotPetya-makers niet van wakker. Zie dit type aanval als een bommentapijt uit de tweede wereldoorlog, dat naast een munitiefabriek ook een ganse stad tot as herleid. Betalen heeft in dit geval geen enkele zin.
Preventiemaatregelen
Tot slot moeten we nog even vermelden dat voorkomen altijd beter is dan genezen. Het is perfect mogelijk om je te wapenen tegen ransomware-aanvallen. Updates zijn het belangrijkste stukje van de puzzel. Pas bleek nog dat up-to-date Windows-systemen doorgaans beschermd zijn tegen aanvallen die zero-daylekken gebruiken. Helaas installeren mensen en bedrijven dergelijke updates te laat, met alle gevolgen van dien. Kijk maar naar de BlueKeep-kwetsbaarheid: Microsoft rolde onmiddellijk een patch uit voor die aanvalsvector, maar bijna 800.000 systemen zijn nog steeds kwetsbaar.
Updates zijn het belangrijkste stukje van de puzzel.
Vervolgens speelt goede beveiliging natuurlijk een rol. Antivirussoftware wordt steeds beter in het herkennen van ransomware-aanvallen en gedragsmonitoring van professionele suites kan zelfs ongekende aanvallen blokkeren voor die een hele schijf kunnen versleutelen. Zorg zeker in professionele omgevingen voor endpoint-, netwerk- en serverbescherming. Voor een persoonlijk systeem kan Windows Defender volstaan.
Toegangscontrole
Kijk tot slot naar de manier waarop je back-ups maakt. Schrijftoegang naar de back-up-drive moet beperkt zijn. Als de back-up-drive gemapt staat op de pc’s van werknemers en één van die systemen wordt getroffen door een ransomware-aanval, wordt de netwerkschijf doorgaans netjes mee versleuteld. Online back-ups zijn extra robuust, omdat toegang daar per definitie beperkt is, zodat oude versies van bestanden gevrijwaard blijven. Voor erg kritieke bestanden is er geen betere oplossing dan een periodieke offline back-up. Zet cruciale projecten bijvoorbeeld wekelijks op een externe drive die je verder losgekoppeld laat van de rest van de infrastructuur.
Gerelateerd: Synology waarschuwt voor ransomware-aanvallen op NAS