Ransomware oplossingen, wat zijn de mogelijkheden?

Ransomware duikt steeds vaker op, een hardnekkig probleem dat volgens de laatste onderzoeken niet op korte termijn zal verdwijnen. Ook de klanten van COMPAREX worden steeds vaker gegijzeld en stellen ons de vraag hoe hiermee om te gaan en hoe een dergelijke besmetting is te voorkomen? Lees hier alles over ransomware oplossingen.

Door Eric Bruseker, Solution Specialist Security – 26 juli 2016

 Leestijd: 3.30 minuten

Wat is ransomware?

De letterlijke vertaling van ransomware is gijzelingssoftware. Het is een vorm van malware waarbij een computer op slot wordt gezet of informatie encrypt waarna deze niet meer te gebruiken is. Daarna ontvangt de gebruiker een boodschap waarin aangegeven wordt dat er losgeld moet worden betaald om de computer of de informatie weer vrij te geven. Hiervan zijn inmiddels talloze varianten actief.

Hoe raakt u geïnfecteerd?

Ransomware kan op twee manieren binnenkomen. Dat kan zijn via webverkeer, waarbij via een advertentie of download de malware geïnstalleerd wordt. De malware kan ook via e-mail binnenkomen, waarbij vaak een bijlage of hyperlink de boosdoener is, die het schadelijke proces opstart en de informatie ontoegankelijk maakt.

Het probleem met ransomware is dat het steeds verder evolueert. Het wordt telkens een klein beetje aangepast zodat traditionele antivirus oplossingen steeds een stap achterlopen. In het verleden vonden besmettingen met name plaats via massamailing in de hoop dat er iemand was die de URL aanklikte om zodoende het malware proces op te starten. Tegenwoordig zie je dat e-mails met malware steeds vaker op de ontvanger wordt afgestemd en gericht wordt verstuurd. Om een voorbeeld te geven; de bekende mail van de Nigeriaanse prins met zijn miljoenen stonden vol spelfouten, waardoor mensen toch achterdochtig werden en niet klikten. Tegenwoordig ziet een persoonlijke spearphishing er legitiem uit en is het voor mensen steeds lastiger om hierin onderscheid te maken.

Ransomware oplossingen

Ransomware: uw gegevens achter slot en grendel. Betalen of niet betalen?Ook hier zijn twee mogelijkheden: betalen of niet betalen. Vanuit COMPAREX is het advies om niet te betalen, er is immers geen garantie dat de besmette bestanden daadwerkelijk vrij gegeven worden en de malware echt verwijderd wordt. Als de infectie op één desktop heeft plaatsgevonden dan zijn er ook mogelijkheden om de ransomware te verwijderen.  Lastiger wordt het bij netwerkinfecties, helemaal als cryptoware zich feitelijk al een tijd geleden in het netwerk nestelde zonder zich te manifesteren. Dit is namelijk een van de laatste trends waarbij het malware proces pas na een maand actief wordt. Hiermee is ook de back-up corrupt en is het niet meer zo eenvoudig om het systeem leeg te maken en een back-up terug te zetten.

Voordelen van ransomware?

Het is natuurlijk opmerkelijk om hier de voordelen van ransomware te benoemen, maar laat ik even deze gedachtegang uiteenzetten.

Het voordeel bij ransomware is dat een organisatie direct weet dat zij kwetsbaar is. Bij andere vormen van Advanced Persistent Threats zie je dat deze juist zo stil mogelijk en onopgemerkt proberen te blijven om zoveel mogelijk data te vergaren en daarmee meestal meer schade veroorzaken. Onderzoek heeft aangetoond dat het gemiddeld acht maanden duurt voordat Advanced Persistent Threats ontdekt worden, moet u zich eens voorstellen hoeveel data in die tijd kan worden ontvreemd van een organisatie!

Hoe voorkomt u een gijzeling?

Hoe voorkomt u nu dat u zelf slachtoffer wordt van ransomware? Daarvoor zijn verschillende manieren:

  • Software updates

Vaak maakt ransomware gebruik van een verouderde of niet up-to-date zijnde browser, Adobe Flash, besturingssysteem of Java waar een beveiligingslek in zit. Het is zaak om de patchcyclus zo kort mogelijk te houden om deze risico’s te beperken. Met andere woorden, zorg ervoor dat uw software up to date is.

  • User awareness

Hoe bewust zijn uw medewerkers van potentiele gevaren? Uit onderzoek blijkt dat veel malware wordt opgestart vanuit de webmail, zoals gmail en hotmail. Maak daarom uw medewerkers ervan bewust dat zij een risico kunnen vormen voor de organisatie met hun surf- en mailgedrag.

  • Technologische oplossingen

Wij zien een aantal technologische oplossingen ter voorkoming van ransomware. Met deze security-oplossingen is het mogelijk om op de endpoints, in het netwerk of in de cloud (of een combinatie van alle drie) een securitylaag aan te brengen ter voorkoming van potentieel gevaar. Iedere security laag heeft zijn eigen voordelen, de oplossingen die op dit moment veel voorkomen zijn; 

Advanced Threat Protection

Vanuit verschillende securityvendoren zijn er aanvullende security maatregelen mogelijk. Het meest voorkomende component is hierbij een sandbox technologie, deze zorgt ervoor dat verdachte of onbekende bestanden in een virtuele omgeving afgespeeld worden om na te gaan hoe het bestand zich gedraagt. Als het inderdaad malware blijkt te zijn, dan kan de bedreiging snel opgelost worden door de endpoints te isoleren en nieuwe aanvallen op controlepunten te blokkeren.

Daarnaast zien wij dat een aantal securityvendoren zich focust op het kader waaruit malware opgestart wordt. Omdat dit altijd via een aantal vaste stappen gebeurt, kan je dit proces monitoren en zo in een vroegtijdig stadium (voordat de malware de endpoints bereikt) de malware stoppen. Daarbij zal u moeten nadenken of u SSL inspectie toestaat op de perimeter of op de endpoints. Het voordeel van perimeter is dat u daarmee voorkomt dat het de endpoints bereikt, het mogelijke nadeel kan zijn dat dit privacy vragen oproept wanneer webmail gescanned wordt op malware content.

Application control / whitelisting

Binnen uw organisatie heeft u verschillende processen in uw IT-omgeving, waarbij sommige bestanden en processen die voor de organisatie bekend zijn, opgestart mogen worden. Door dit goed in te regelen kunt u een onbekend proces, zoals ransomware, dat opgestart wordt in een vroegtijdig stadium stoppen. Dit is daarom een vrij eenvoudige manier om ransomware tegen te gaan. Uiteraard is dit wel afhankelijk van de processen welke er intern zijn.

Laat u goed over ransomware oplossingen voorlichten

Zoals u hierboven kunt lezen, zijn er legio oplossingen om u goed tegen ransomware (en andere bedreigingen) te beschermen. Bent u benieuwd wat wij hierin voor u kunnen betekenen? Neem dan gerust contact met mij of mijn collega’s op.

Over Eric Bruseker

Solution Specialist gespecialiseerd in: Security, Meldplicht Datalekken, Informatiebeveiliging

Ik adviseer klanten over allerlei beveiligingsvraagstukken. Dat kan zijn op technologisch vlak, zoals de beveiliging van endpoints voor fysieke en virtuele omgevingen, SIEM (Security Information and Event Management) of het voorkomen van gegevensverlies. Ook adviseer ik op niet-technologisch vlak, zoals over wetgeving aangaande privacy, user awareness sessies of pentesten, toetsen van computersystemen op kwetsbaarheden van buitenaf.

Neem contact op

Eric Bruseker

Eric Bruseker

Solution Specialist Security

Deel deze pagina