Nieuwe ransomware-aanval versleutelt je data twee keer

Ransomware-groepen laten het vaak niet bij één aanval. Nadat een slachtoffer losgeld betaalt, kan het zomaar gebeuren dat hij nog een keer geraakt wordt. Of hackers dreigen gestolen data te lekken, zelfs nadat iemand al betaald heeft om zijn systemen terug te krijgen. Sinds kort is er een nieuwe manier waarop ransomware-groepen een slachtoffer extra dwarszitten: door data dubbel te versleutelen. 

Dubbele versleuteling kwam al eerder voor, maar dan ging het meestal om twee aparte ransomware-groepen die tegelijkertijd hetzelfde slachtoffer aanvallen. Antivirus bedrijf Emsisoft heeft echter een aantal incidenten ontdekt waarbij dezelfde groep bewust twee verschillende soorten ransomware over elkaar heen gebruikt. 

“Ransomware-groepen proberen constant uit te vinden welke strategie het beste werkt en hoe ze met zo weinig mogelijk moeite zoveel mogelijk geld kunnen binnenhalen”, zegt Emsisoft analist Brett Callow. “Bij deze benadering heb je één speler die twee types ransomware toepast”, legt Callow uit. 

Sommige slachtoffers krijgen twee losgeldbrieven tegelijkertijd, constateert Callow. In deze gevallen brengen aanvallers hun slachtoffers meteen op de hoogte van de dubbele aanval. In andere gevallen betaalt het slachtoffer eerst om zijn data terug te krijgen en ontdekt hij daarna pas dat zijn gegevens nogmaals versleuteld zijn. 

Verschillende vormen van dubbele versleuteling

“Zelfs in een standaard ransomware geval is het terughalen van data een nachtmerrie”, zegt Callow. Hij legt uit de dubbele versleuteling steeds vaker te zien. Daarom is het belangrijk dat organisaties er rekening mee houden in hun reactie op een aanval. 

Emsisoft heeft twee verschillende benaderingen ontdekt die hackers gebruiken bij dubbele versleuteling:

  1. Hackers versleutelen de data met ransomware A en versleutelen alles vervolgens nog een keer met ransomware B
  2. Hackers versleutelen een deel van de systemen binnen een organisatie met ransomware A en andere systemen met ransomware B

In het tweede scenario zorgen aanvallers dat de twee soorten ransomware zoveel mogelijk op elkaar lijken. Dit maakt het moeilijk voor organisaties om uit te vinden welke data met welke ransomware is versleuteld. 

Wel of geen losgeld betalen bij een ransomware aanval?

Wanneer een organisatie getroffen wordt door een ransomware aanval, hoort daar één belangrijke vraag bij: ‘Betalen we het losgeld of niet?’ 

Het is belangrijk om je te realiseren dat je nooit zeker weet of aanvallers nadat je losgeld hebt betaald ook daadwerkelijk een decryptiesleutel geven. De opmars van dubbele versleutelingen is een extra reden om niet zomaar losgeld te betalen. 

Vanwege het risico op dubbele versleuteling, wordt het extra belangrijk dat je data kunt terughalen vanuit back-ups. “Het herstellen van data vanuit back-ups is een lang en complex proces, maar dubbele versleuteling maakt het niet ingewikkelder”, zegt Callow. “Wanneer je terug opbouwt vanuit een back-up, zorg je voor een frisse start en maakt het niet uit hoe vaak de oude data is versleuteld.” 

Dubbele versleuteling kan extra vervelend zijn voor getroffen bedrijven, maar gelukkig is er ook hoop. Wanneer meer organisaties op de hoogte zijn van het risico dat hun data dubbel versleuteld zijn, wordt het minder aantrekkelijk om losgeld te betalen. Ransomware aanvallen worden hierdoor minder rendabel, waardoor ze mogelijk snel weer stoppen met deze nieuwe strategie.

nieuwsbrief

Abonneer je gratis op ITdaily !
  • This field is for validation purposes and should be left unchanged.
terug naar home