Je kan geen krant of nieuwssite openen of je leest over weer een bedrijf dat slachtoffer werd van Ransomware. In deze blog lichten we je kort toe wat ransomware nu juist is en wat je kan doen om je zo goed mogelijk te beschermen. Toch even beklemtonen dat geen enkele software of tooling op zich alleen je volledig kan beschermen. Het gaat of een combinatie van tooling, configuratie en menselijk gedrag. Enkel wanneer je op al deze fronten waakzaam bent kan je je beter beschermen tegen dergelijke aanvallen.
Wat is Ransomware?
Ransomware (ook wel eens cryptoware genoemd) is kwaadaardige software die door cyber criminelen (crakcers of criminal hackers) gebruikt wordt om computers of computerbestanden te "gijzelen" en er losgeld voor te vragen. In de praktijk maken deze criminelen gebruik van social engineering technieken of van kwetsbaarheden in systemen om toegang te krijgen tot netwerken en computers waarvan ze dan zo veel mogelijk bestanden proberen te versleutelen (encrypteren).
Encrypteren of versleutelen van bestanden betekent dat ieder bestand met behulp van een bepaalde sleutel volledig versleuteld (gecodeerd) wordt door middel van een bepaald algoritme. Enkel met behulp van de juiste sleutel kan je de bestanden terug decoderen. Eens de bestanden succesvol versleuteld werden door de cybercrimineel zal er een bericht op je scherm verschijnen met hoe je de sleutel voor het decoderen kan bekomen en tegen welke prijs, het losgeld.
Hoe kan je je beter beschermen?
Laat het duidelijk zijn, eens je bestanden ge-encrypteerd zijn, is de kans uiterst klein dat je deze terug zal kunnen decrypteren. Zelfs na het betalen van losgeld (wat ten stelligste af te raden is) blijkt uit de realiteit dat de criminelen zelden zelf nog weten welke sleutel er gebruikt werd of blijkt de sleutel niet alle bestanden te kunnen decrypteren. Ons advies is dan ook om niet te besparen op het voorkomen van dergelijke aanvallen en de juiste stappen te nemen om dergelijke bedreigingen te voorkomen. Hierbij een paar belangrijke tips om een aanval te voorkomen of de impact bij een aanval zo klein mogelijk te houden:
1. maak regelmatig een backup: een goede backup policy is noodzakelijk voor iedere organisatie en is, zelfs los van dit soort bedreigingen, een must do om verlies van gegevens steeds te voorkomen. Belangrijk wanneer het om ransomware gaat, is te weten dat de ransomware zal proberen om niet alleen de bestande op je PC of server te encrypteren maar ook zal proberen om alle netwerkschijven die bereikbaar zijn van op de PC of server (mapped drives) ook te encrypteren. Het is dan ook belangrijk om backups off-line te hebben of door bijvoorbeeld de drives enkel te mappen op het moment van de backup en nadien terug af te koppelen.
2. Zorg dat je bestandsextensies altijd kan zien: Standaard toont Microsoft Windows de bestandsextentie niet. Een vaak gebruikte methode door criminelen is dan ook om slachtoffers een bestand te sturen met een naam als factuur.pdf.exe (wat dus geen PDF is maar een uitvoerbaar bestand) maar de gebruiker ziet omwille van het niet tonen van de bestandsextentie enkel "factuur.pdf" en zal dit bestand dubbelklikken om het te openen. In de praktijk zal dan niet de PDF-vieuwer (vb. Acrobat Reader" geopend worden maar zal het ransomware-programma uitgevoerd worden.
3. Maak gebruik van een UTM firewall (Unified Threat Management systeem) in plaats van een gewone firewall om je lokale netwerk te beschermen. Een UTM firewall zoals de Secpoint Protector combineert diverse cyber security toepassingen in 1 oplossing. Zo zal deze bijvoorbeeld spam e-mails blokkeren, verdachte bestanden blokkeren en buiten het lokale netwerk houden, verdachte IP adressen blokkeren, phising websites blokkeren, verschillende antivirus programma's uitvoeren om verdachte bestanden tegen te houden voor die in het netwerk terecht komen, enz. Daarnaast kan dergelijke firewall ook bepaalde bestandstypes steeds blokkeren of zelfs de inhoud van bepaalde gecomprimeerde bestanden (zip) controleren.
4. Maak gebruik van een goede endpoint protection: Met endpoint protection bedoelen we dus bescherming van de eindapparatuur zoals PC of server. Installeer een goede bescherming zoals Eset Endpoint Security die een meerlaagse bescherming mogelijk maakt door zowel een two-way firewall, en network attack protection, een malware sandbox, een antivirus, enz. in 1 oplossing combineert om je PCs en servers zelf te beschermen.
5. Schakel DRP uit: Eens de cyber crimineel toegang heeft tot je systemen zal hij zelf of de ransomware via RDP (Remote Desktop Protocol) proberen toegang te krijgen tot andere systemen binnen je lokale netwerk om zo nog meer schade aan te richten. Lees onze aparte blok over hoe je dit protocal kan uitschakelen.
6. Zorg voor tijdige updates en patching: Cyber criminelen maken graag gebruik van gekende kwetsbaarheden om toegang te krijgen tot systemen. Het is niet moeilijk voor een hacker om te weten welke versies van software je gebruikt en welke de laatste patches waren die geïnstalleerd werden. Door je software up to date te houden voorkom je dat criminelen gebruik maken van gekende kwetsbaarheden.
7. Maak gebruik van de bescherming die Microsoft Windows 10 en Microsoft Server 2019 je ondertussen standaard bieden door ondermeer "controlled folder access" in te schakelen. Zie hiervoor onze aparte blog. Controlled folder access zorgt ervoor dat verdachte toepassingen niet zomaar wijziginen aan je bestanden kunnen aanbrengen. Lees onze aparte blog hierover.