Je hoort het vaak in het nieuws. Ook afgelopen week werd een bedrijf slachtoffer van een aanval met BlackCat ransomware. Het ging om ID-ware, een dienstverlener die ook de overheid als klant heeft. Het leidde tot een flink datalek. Wat is deze BlackCat ransomware eigenlijk en kan het jouw bedrijf ook treffen?
Het is goed om eerst even naar ransomware in het algemeen te kijken. Wat is het en wat gebeurt er als ik met ransomware gehackt ben? Criminelen proberen vrijwel altijd bij jouw bedrijf naar binnen te komen om iets te stelen. Maar wanneer ze ransomware gebruiken, dan zijn ze er vooral op uit om binnen te komen en jouw data te versleutelen. Computers worden encrypted en je bedrijf ligt helemaal stil. De bedoeling is dat je losgeld betaalt (‘ransom’, vandaar de naam van dit type aanval). Of je daarmee de controle over je gegevens en computers terugkrijgt is nog maar de vraag.
Maar in veel gevallen gebeurt dat wel, want het zou een slecht verdienmodel zijn als niemand betaalt, omdat ze toch hun belofte niet nakomen. Het kan trouwens nog steeds zo zijn dat data ook gestolen wordt, maar dat is dan nevenschade (wat overigens evengoed zeer ernstig is en ook zeker gemeld moet worden bij de autoriteiten als het om persoonsgegevens gaat). BlackCat ransomware is een speciaal geval van ransomware/malware, daarover verderop meer.
Ramsomware? Randsomeware? Ransomeware? Ransomware!
Er is af en toe wat verwarring over de precieze schrijfwijze van dit type malware. Het is ‘ransomware’, van ‘ransom’ (losgeld) en ‘ware’ (als in software).
Hoe komt ransomware bij mij binnen?
Ransomware is een stukje software dat ergens op een computer moet draaien. Daarvoor moet het natuurlijk wel eerst binnen zien te komen. Soms beuken criminelen gewoon net zo lang op de deur tot ze binnen zijn. Ze proberen daarmee met een krachtige computer alle poorten van de firewall, en doorlopen een groot aantal wachtwoordcombinaties. Met genoeg geduld komen ze uiteindelijk binnen. Zijn ze eenmaal voorbij de firewall, dan is het vrij gemakkelijk om de ransomware ergens te installeren.
Maar het is kan lang duren om op deze manier binnen te komen. Daarom nemen de meeste cyber criminelen een andere route. Eentje die via een mens loopt. Een stukje kwaadaardige software, vermomd als een onschuldig ogend document. Een PDF, bijvoorbeeld, of een Excel-bestand. Soms zelfs gewoon een afbeelding. Deze gaat als aanhangsel mee in een mail en komt via een lijst met gestolen e-mailadressen bij een van je medewerkers terecht. Klikt die erop, dan installeert de malware zich razendsnel ergens op een computer in je netwerk. Deze methode heet ‘phishing’, een verbastering van ‘fishing’, hengelen naar iemand binnen een bedrijf. Op deze manier proberen criminelen ook vaak bankgegevens van consumenten te stelen.
Waarom horen we momenteel zoveel over BlackCat ransomware?
Met BlackCat ransomware is iets bijzonders aan de hand. BlackCat is een SaaS oplossing. Wat is SaaS? SaaS staat voor software as a service, en het is software die je niet los koopt, maar die in de cloud draait en waarop je een abonnement neemt. Microsoft 365 is een van de populairste voorbeelden van SaaS (al kun je nog steeds de losse applicaties downloaden en installeren).
BlackCat ransomware is revolutionair. Je hoeft helemaal geen kennis te hebben van programmeren, hacken of achterdeurtjes in besturingssystemen. Je kunt als crimineel gewoon een abonnement afsluiten, en BlackCat vervolgens gebruiken in jouw aanvalscampagne. Je hebt er zogezegd geen omkijken naar. Je kunt de gegevens laten versleutelen, de mail met losgeldeisen versturen en lekker achteroverleunen.
Hoe gemakkelijk is het om aan BlackCat ransomware te komen?
Relatief gemakkelijk. Je moet wel de weg weten op het Dark Web, en de gebruiken en regels van het hackerswezen kennen. Je moet ook beschikken over een bitcoinrekening, want dat is het enige betaalmiddel dat in deze kringen wordt geaccepteerd. Je hebt trouwens ook een bitcoinrekening nodig als je door ransomware getroffen bent, want alleen daarmee kun je eventueel losgeld betalen.
Hoe dan ook, jij bent als bedrijf natuurlijk niet geïnteresseerd in hoe je moet hacken, maar wel hoe je jezelf kunt beschermen en geen aanvallers binnenkrijgt. En wat je nog meer kunt doen om ransomware te voorkomen.
- Open geen aanhangsels van onbekende herkomst. Dit is met afstand het belangrijkste advies. Verreweg het grootste deel van de malware, inclusief ransomware komt als Trojaans paard binnen in de vorm van een onschuldig lijkend aanhangsel in een mail.
- Open óók geen aanhangsels van bekenden, maar die je niet verwacht! Relaties kunnen gehackt zijn, waarna hun gegevens kunnen worden misbruikt om jou of je medewerkers te misleiden. Gegevens kunnen ook ergens anders zijn gestolen en vervolgens worden gebruikt om de herkomst van de mail te maskeren.
- Maak back-ups! Als je regelmatig back-ups maakt, volgens een slim schema (zie kader), dan maak je een lange neus naar criminelen die bij jou de boel versleutelen. Je schoont in dat geval gewoon de computers op en zet de meest recente back-up terug.
- Installeer antivirussoftware. De meeste antivirusprogramma’s herkennen ook ransomware.
- Houd computers en besturingssystemen up to date. Veel malware, waaronder ransomware, maakt gebruik van achterdeurtjes in besturingssystemen of software. Wanneer dit wordt ontdekt, dan zal de fabrikant zo snel mogelijk een update uitbrengen die een nieuw slot op de deur zet. Het is dus belangrijk om zulke updates direct te installeren.
Een slim schema voor back-ups
Wat is een slim back-up schema? Ga na hoeveel gegevens er in je bedrijf worden verwerkt, en bedenk wat er zou gebeuren als je ineens alles kwijt was. Een redelijk houvast is: elk uur een back-up tot een maximum van 24 uur, daarna wordt de oudste back-up overschreven. Een dagelijkse back-up van 7 dagen, tenslotte een maandelijkse back-up, 12 keer. Je hoeft niet elke keer een complete back-up te maken. Je kunt een ‘incrementele’ back-up doen, die alleen de bestanden of gegevens opslaat die sinds de laatste back-up zijn veranderd. Veel bedrijven doen elk uur een incrementele back-up en bijvoorbeeld eenmaal per dag een complete back-up (op een andere locatie of medium).
Zijn jouw gegevens echt essentieel, dan kun je ook denken aan een oplossing voor ‘business continuity & disaster recovery’. Daarmee kunnen gegevens bij verlies direct, vrijwel real-time, worden hersteld.
Maar ik hoef toch niet bang te zijn voor ransomware?
Een groot gevaar lopen bedrijven die denken dat het allemaal zo’n vaart niet zal lopen. ‘Bij mij is toch niets te halen’. Afgezien van het feit dat criminelen dat natuurlijk niet kunnen weten, is er vrijwel altijd iets te winnen met ransomware. Het gaat niet altijd om een datalek. Dat jouw bedrijf niets meer kan doen, is vaak al genoeg om de portemonnee te moeten trekken.
Elke organisatie doet er goed aan om het securitybeleid eens grondig onder de loep te nemen. Het beste kun je het hele veiligheidsvraagstuk als een holistisch geheel beschouwen, waarbij je niet alleen kijkt naar het netwerk en je verbinding met de buitenwereld, maar ook naar interne processen van computers, applicaties en gebruikers. Met zo’n security 2.0-filosofie zorg je ervoor dat je van alle kanten beschermd bent en dat je je geen zorgen hoeft te maken over BlackCat of andere ransomware, Trojaanse paarden of wat dan ook.