De evolutie van ransomware — en de manier om het te verslaan

Ransomware heft zich al jaren ontwikkeld tot een verfijnd cyberwapen. Er is geavanceerde technologie nodig om het te stoppen.

Het afgelopen jaar stond ransomware in de krantenkoppen en dat is het resultaat van een evolutionaire sprong. Serieuze cybercriminelen hebben de ooit simpele dreiging in de vorm van bestandencryptie verheven naar een complexe tool. En alles wijst erop dat deze ontwikkeling alleen maar doorgaat.

Pre-2017

In die “goeie ouwe tijd” waren ransomware-slachtoffers voornamelijk toevallig omstanders. Cybercriminelen gooiden met spam in de hoop dat er op zijn minst één gebruiker met belangrijke bestanden de kwaadaardige bijlage zou openen.

Maar de situatie veranderde in 2016. Het kwam steeds vaker voor dat spammers willekeurige lijsten inruilden voor speciaal geselecteerde adressen van bedrijven, die online te vinden waren. De daders hadden ontdekt dat het winstgevender was om bedrijven aan te vallen. De inhoud van de berichten veranderde ook mee: in plaats van persoonlijke correspondentie, deed het bericht zich voor als correspondentie van partners, klanten en de belastingdienst.

2017

In 2017 veranderde de situatie opnieuw, maar dit keer drastisch. Twee grootschalige epidemieën zorgden voor miljoenenschade en lieten zien dat ransomware veel verder kon gaan dan afpersing. Allereerst hebben we het over het beruchte en technologisch baanbrekende WannaCry. Deze ransomware maakte gebruik van een kwetsbaarheid in de implementatie van het SMB-protocol in Windows. Het was een kwetsbaarheid die al opgelost was, maar veel bedrijven hadden simpelweg de moeite niet genomen om de patch te installeren. Maar dat was nog lang niet alles.

WannaCry was niet succesvol als ransomware. Ondanks dat het honderdduizenden apparaten had besmet, bracht WannaCry slechts een bescheiden winst op. Enkele onderzoekers vroegen zich af of geld überhaupt wel het doel was, of dat het ging om sabotage en datavernietiging.

De volgende dreiging nam alle twijfels weg. ExPetr was niet eens in staat om encrypte data te herstellen – het was een wiper vermomd als ransomware. Daarnaast gebruikte het een nieuw trucje. Door middel van een supply-chain aanval kregen de makers het voor elkaar om een stukje accounting software uit Oekraïne, MeDoc genaamd, in gevaar te brengen, waardoor bijna alle bedrijven die zaken deden in het land het risico liepen op besmetting.

2018

De gebeurtenissen van dit jaar laten zien dat ransomware zich nog steeds ontwikkelt. Onze deskundigen onderzochten recentelijk een nieuwe dreiging, de laatste aanpassing van de SynAck ransomware. Ze vonden complexe mechanismen om beschermingstechnologieën tegen te gaan, een teken van toegespitste aanval. Deze tegenmaatregelen betreffen:

  • Het toepassen van een procesduplicatie-methode bekend onder de naam Process Doppelgänging om een kwaadaardig proces erdoor te sluizen;
  • Uitvoerbare code verdoezelen voor het wordt verzameld;
  • Controleren dat het niet zichtbaar is in een gecontroleerde omgeving;
  • Het neerhalen van services en processen om toegang tot belangrijke bestanden te verzekeren;
  • Event logs verwijderen om post-incident analyse te verhinder.

Er is geen reden om te geloven dat de evolutie van ransomware volbracht is. De makers zullen doorgaan met het vinden van nieuwe vormen om het toe te passen.

Hoe de evolutie van ransomware gestopt kan worden

De enige manier om een einde te maken aan de ontwikkeling van ransomware is zorgen dat de aanvallen niet werken. En dat vereist de nieuwste en meest geavanceerde technologieën. Onze klanten zijn al jaren veilig: al onze oplossingen voor ondernemingsendpoints hebben subsystemen die het mogelijk maken om op effectieve wijze ransomware tegen te houden.

Maar zelfs als je geen gebruikt maakt van Kaspersky Lab’s oplossingen voor ondernemingen, is er geen reden om data onbeschermd achter te laten. De Kaspersky Anti-Ransomware Tool, onze gespecialiseerde oplossing, verhoogt de veiligheidsmechanismen van de meeste leveranciers. Het past de nieuwe gedragsdetectie-technologieën toe om ransomware te ontmantelen. Bovendien haalt het alles uit onze tools die werken vanuit de cloud. Dit ontwikkelt zich ook om de nieuwste en moderne dreigingen aan te kunnen – we hebben zojuist de derde versie uitgebracht.

Deze laatste versie van de Kaspersky Anti-Ransomware Tool kan ingezet worden vanuit de opdrachtregel, waardoor het automatisch kan worden geïmplementeerd in ondernemingsnetwerken. En als dat nog niet genoeg is, het is helemaal gratis. Registreer, download en installeer de app nu hier.

Tips

VLAN als een aanvullende beveiligingslaag

Sommige werknemers hebben veel te maken met externe e-mails, waardoor ze het risico lopen om slachtoffer te worden van kwaadaardige spam. Wij leggen uit hoe bedrijfssystemen beschermd kunnen worden tegen potentiële infecties.