Overslaan naar hoofdinhoud

Wat is ransomware?

Ransomware is een soort malware (kwaadaardige software) gebruikt door cybercriminelen. Als een computer of netwerk is geïnfecteerd met ransomware, dan blokkeert de ransomware de toegang tot het systeem of worden de gegevens ervan gecodeerd. Cybercriminelen eisen losgeld van hun slachtoffers in ruil voor het vrijgeven van de gegevens. Om te beschermen tegen ransomware is een waakzaam oog en goede beveiligingssoftware aangeraden. Slachtoffers van dergelijke malwareaanvallen hebben drie opties na een infectie: ze kunnen het losgeld betalen, de malware proberen te verwijderen of het apparaat opnieuw opstarten. Aanvalsvectoren die vaak door afpersing-trojans worden gebruikt, zijn onder meer het Remote Desktop Protocol, phishing-e-mails en softwarekwetsbaarheden. Een ransomware-aanval kan daarom gericht zijn op personen en op bedrijven.

Ransomware identificeren: er moet een fundamenteel onderscheid worden gemaakt

Twee soorten ransomware zijn erg populair:

  • Locker-ransomware. Dit soort malware blokkeert de essentiële functies van de computer. Zo kunt u bijvoorbeeld toegang tot het bureaublad verliezen en worden de muis en het toetsenbord gedeeltelijk uitgeschakeld. Op deze manier kunt u blijven communiceren met het venster waarin wordt gevraagd om de betaling van het losgeld uit te voeren. Voor de rest is de computer onbruikbaar. Maar er is ook goed nieuws. Locker-malware is meestal niet gericht op kritieke bestanden; het wil u meestal gewoon buitensluiten. Volledige vernietiging van uw gegevens is daarom onwaarschijnlijk.
  • Crypto-ransomware. Bij crypto-ransomware is het doel uw belangrijke gegevens, zoals documenten, afbeeldingen en video's, te versleutelen, maar niet om de basisfuncties van de computer te verstoren. Dit veroorzaakt paniek omdat gebruikers hun bestanden wel kunnen zien, maar ze niet kunnen openen. Crypto-ontwikkelaars voegen vaak een countdown toe aan hun vraag om losgeld: "Als u het losgeld niet voor de deadline betaalt, worden al uw bestanden verwijderd." Veel gebruikers zijn zich er niet van bewust dat ze back-ups moeten maken in de cloud of op externe fysieke opslagapparaten. Daarom kan crypto-ransomware een verwoestende impact hebben. Bijgevolg betalen veel slachtoffers het losgeld gewoon om hun bestanden terug te krijgen.

Locky, Petya en co.

Nu weet u wat ransomware is en wat de twee belangrijkste soorten zijn. Hier leert u enkele bekende voorbeelden die u zullen helpen de gevaren van ransomware te identificeren:

Locky

Locky is ransomware die voor het eerst werd gebruikt voor een aanval in 2016 door een groep georganiseerde hackers. Locky versleutelde meer dan 160 bestandsindelingen en werd verspreid door middel van valse e-mails met besmette bijlagen. De gebruikers trapten in de val en installeerden de ransomware op hun computers. Deze manier van verspreiden wordt phishing genoemd en is een vorm van social engineering. Locky-ransomware richt zich op bestandsindelingen die vaak worden gebruikt door ontwerpers, ontwikkelaars, programmeurs en testers.

WannaCry

WannaCry was een ransomware-aanval die zich verspreidde naar meer dan 150 landen in 2017. Het is ontworpen om misbruik te maken van een beveiligingsprobleem in Windows,veroorzaakt door de NSA en gelekt door de Shadow Brokers-hackergroep. WannaCry trof 230.000 computers wereldwijd. De aanval trof een derde van alle NHS-ziekenhuizen in het VK en veroorzaakte naar schatting voor 92 miljoen pond schade. Gebruikers werden buitengesloten uit hun systemen en er werd losgeld geëist in Bitcoin. De aanval legde het probleem van verouderde systemen bloot. De hacker maakte namenlijk misbruik van een kwetsbaarheid in het besturingssysteem waarvoor op het moment van de aanval al lang een patch bestond. De wereldwijde financiële schade veroorzaakt door WannaCry bedroeg ongeveer 4 miljard dollar.

Bad Rabbit

Bad Rabbit was een aanval met ransomware in 2017 die zich verspreidde via zogenaamde drive-by-aanvallen. Onveilige websites werden gebruikt om de aanvallen uit te voeren. Bij een drive-by ransomware-aanval bezoekt een gebruiker een echte website zonder te beseffen dat deze is gehackt. Voor de meeste drive-by-aanvallen hoeft een gebruiker alleen maar een besmette pagina te openen. In dit geval leidde het uitvoeren van een installatieprogramma met verborgen malware tot de infectie. Dit noemen we een malware-dropper. Bad Rabbit vroeg de gebruiker om een valse installatie van Adobe Flash uit te voeren, waardoor de computer met malware werd geïnfecteerd.

Ryuk

Ryuk is een encryptie-trojan die zich in augustus 2018 verspreidde en die de herstelfunctie van Windows-besturingssystemen uitschakelde. Hierdoor werd het onmogelijk om de gecodeerde gegevens te herstellen zonder een externe back-up. Ryuk versleutelde ook harde schijven. De gevolgen waren enorm. Veel van de Amerikaanse organisaties die het doelwit waren, betaalden de gevraagde losgeldbedragen. De totale schade wordt geschat op meer dan een half miljoen euro.

Shade/Troldesh

De aanval met de Shade of Troldesh-ransomware vond plaats in 2015. Het virus werd verspreid via spam-e-mails met geïnfecteerde links of bestandsbijlagen. Het interessante is dat de Troldesh-aanvallers rechtstreeks via e-mail met hun slachtoffers communiceerden. Slachtoffers waarmee ze een 'goede relatie' hadden opgebouwd, kregen kortingen. Dit soort gedrag is echter eerder uitzondering dan regel.

Jigsaw

Jigsaw is een ransomwareaanval die in 2016 begon. De aanval dankt zijn naam aan een afbeelding van de bekende pop uit de Saw-films. Elk uur dat het losgeld onbetaald bleef, verwijderde de Jigsaw-ransomware meer bestanden. Het gebruik van het beeld uit de horrorfilm zorgde voor extra stress bij gebruikers.

CryptoLocker

CryptoLocker is ransomware die voor het eerst werd gezien in 2007 en die zich verspreidde via geïnfecteerde e-mailbijlagen. De ransomware zocht naar belangrijke gegevens op geïnfecteerde computers en versleutelde deze. Er werden naar schatting 500.000 computers getroffen. Wetshandhavingsinstanties en beveiligingsbedrijven slaagden er uiteindelijk in om de controle te krijgen over een wereldwijd netwerk van gekaapte thuiscomputers die werden gebruikt om CryptoLocker te verspreiden. Hierdoor konden de agentschappen en bedrijven de gegevens onderscheppen die over het netwerk werden verzonden, zonder dat de criminelen het merkten. Dit resulteerde uiteindelijk in een online portaal waar slachtoffers een sleutel konden krijgen om hun data te ontgrendelen. Hierdoor konden hun gegevens worden vrijgegeven zonder dat ze losgeld hoefden te betalen aan de criminelen.

Petya

Petya (niet te verwarren met ExPetr) is een ransomware-aanval die voor het eerst plaatsvond in 2016 en die in 2017 heropleefde als GoldenEye. In plaats van bepaalde bestanden te coderen, versleutelde deze kwaadaardige ransomware de volledige harde schijf van het slachtoffer. Dit werd gedaan door de Master File Table (MFT) te versleutelen, waardoor het onmogelijk werd om bestanden te openen op de harde schijf. De Petya-ransomware verspreidde zich naar HR-afdelingen van bedrijven via een nep-applicatie met een geïnfecteerde Dropbox-link.

Een andere variant van Petya is Petya 2.0, die in een aantal belangrijke opzichten verschilt van manier van aanvallen. Beide versies zijn echter even fataal voor het apparaat.

GoldenEye

De heropleving van Petya als GoldenEye resulteerde in 2017 in een wereldwijde ransomware-infectie. GoldenEye, gekend als het dodelijke zusje van WannaCry, raakte meer dan 2.000 doelen, waaronder vooraanstaande olieproducenten in Rusland en verschillende banken. Door GoldenEye werd het personeel van de kerncentrale van Tsjernobyl uiteindelijk zelfs gedwongen om het stralingsniveau daar handmatig te controleren, omdat ze toegang tot hun Windows-computers verloren waren.

GandCrab

GandCrab was een wansmakelijke ransomware die dreigde de pornogewoontes van slachtoffers vrij te geven. Het beweerde dat het de webcam van het slachtoffer had gehackt en eiste losgeld. Als het losgeld niet werd betaald, zouden beschamende beelden van het slachtoffer worden gepubliceerd. Na de eerste verschijning in 2018 evolueerde de GandCrab-ransomware tot verschillende versies. Als onderdeel van het "No More Ransom"-initiatief ontwikkelden beveiligingsproviders en politie een decoderingstool om slachtoffers te helpen hun gevoelige gegevens van GandCrab te herstellen.

B0r0nt0k

B0r0nt0k is crypto-ransomware die specifiek gericht is op Windows- en Linux-gebaseerde servers. Deze schadelijke ransomware versleutelt de bestandenvan een Linux-server en voegt een ".rontok"-bestandsextensie toe. De malware vormt niet alleen een bedreiging voor bestanden. Hij brengt ook wijzigingen aan in opstartinstellingen, schakelt functies en applicaties uit en voegt registeritems, bestanden en programma's toe.

Dharma Brrr-ransomware

Brrr, de nieuwe Dharma-ransomware, wordt handmatig geïnstalleerd door hackers, nadat deze online desktopservices hebben gehackt. Zodra de ransomware door de hacker wordt geactiveerd, begint deze de gevonden bestanden te versleutelen. Versleutelde gegevens krijgen de bestandsextensie ".id-[id].[email].brrr".

FAIR RANSOMWARE-ransomware

FAIR RANSOMWARE is ransomware die gegevens versleutelt. Het gebruikt een krachtig algoritme waarmee alle privédocumenten en bestanden van het slachtoffer worden versleuteld. Aan bestanden die met deze malware zijn versleuteld, wordt de bestandsextensie ".FAIR RANSOMWARE" toegevoegd.

MADO-ransomware

MADO-ransomware is een ander type crypto-ransomware. Gegevens versleuteld door deze ransomware krijgen de extensie ".mado" en kunnen niet meer worden geopend.

Ransomware-aanvallen

Zoals eerder vermeld, vindt ransomware zijn slachtoffers in alle lagen van de bevolking. Gewoonlijk ligt het gevraagde losgeld tussen $100 en $200. Sommige aanvallen eisen echter veel meer, vooral als de aanvaller weet dat de geblokkeerde gegevens een groot financieel verlies vormen voor het aangevallen bedrijf. Cybercriminelen kunnen dus enorme bedragen verdienen met deze methode. In de twee onderstaande voorbeelden was het slachtoffer van de cyberaanval belangrijker dan het type ransomware dat werd gebruikt.

WordPress-ransomware

WordPress-ransomware, zoals de naam doet vermoeden, richt zich op WordPress-websitebestanden. Het slachtoffer wordt afgeperst voor losgeld, zoals typisch is voor ransomware. Hoe meer vraag er naar de WordPress-site is, hoe groter de kans dat deze wordt aangevallen door cybercriminelen die ransomware gebruiken.

Het Wolverine-geval

Wolverine Solutions Group (een gezondheidszorgverlener) was in september 2018 het slachtoffer van een ransomwareaanval. De malware versleutelde een groot aantal bestanden van het bedrijf, waardoor het voor veel werknemers onmogelijk werd om ze te openen. Gelukkig lukte het forensisch deskundigen op 3 oktober om de gegevens te ontsleutelen en herstellen. Er gingen tijdens de aanval echter veel patiëntgegevens verloren. Namen, adressen, medische gegevens en andere persoonlijke informatie vielen mogelijk in handen van cybercriminelen.

Ransomware as a Service

Ransomware as a Service geeft cybercriminelen met weinig technische capaciteiten de mogelijkheid om ransomware-aanvallen uit te voeren. De malware wordt beschikbaar gesteld aan kopers, wat een lager risico en meer winst betekent voor de programmeurs van de software.

Conclusie

Ransomware-aanvallen hebben veel verschillende verschijningsvormen en bestaan in alle soorten en maten. De aanvalsvector is een belangrijke factor voor de soorten ransomware die worden gebruikt. Om de grootte en reikwijdte van de aanval in te schatten, moet altijd rekening worden gehouden met wat er op het spel staat of welke gegevens kunnen worden verwijderd of gepubliceerd. Ongeacht het type ransomware, het maken van een back-up van gegevens en het correct omgaan met beveiligingssoftware kan de intensiteit van een aanval altijd aanzienlijk verminderen.

Ransomware herkennen - hoe encryptie-trojans verschillen

Kaspersky leert u Bad Rabbit, CryptoLocker, GandCrab en tal van andere ransomware identificeren en onderscheiden.
Kaspersky Logo