Het risico op een besmetting met ransomware wordt steeds groter. Bedrijven denken er dan ook maar beter over na hoe ze ransomware kunnen voorkomen. Een goede bescherming tegen ransomware begint namelijk met een preventief beleid. Een goede cyber risk verzekering is echter geen overbodige luxe.
Ransomware: wat is dat?
Ransomware behoort tot de grootste gevaren op het internet. Het gebruik van ransomware neemt alleen maar toe. In 2020 was de opmars duidelijk merkbaar en 2021 belooft volgens experts weinig beterschap te brengen. Wat betekent ransomware? Hoe werkt ransomware? Hieronder is het uitgelegd.
Wat betekent ransomware?
Ransomware wordt ook wel eens gijzelsoftware genoemd. Ransomware of gijzelsoftware is eigenlijk een stukje malware, software met kwade bedoelingen, die alle bestanden op een computer versleutelt. De maker van de ransomware vraagt vervolgens een betaling, vaak in bitcoin, om zo de computer opnieuw te bevrijden. Soms resulteert zo’n betaling ook daadwerkelijk in een bevrijding en heb je te maken met een “eerlijke” crimineel, maar mogelijk levert een betaling niks op of blijft de ransomware op de computer staan en slaan de crimineel maanden later opnieuw toe.
Ransomware of gijzelsoftware komt in diverse vormen voor. Er is bijvoorbeeld gijzelsoftware met aftelbare klokken, waarbij wordt aangegeven dat alles na een aantal dagen of uren definitief wordt verwijderd. Ook bestaat er gijzelsoftware waarbij het te betalen bedrag stelselmatig oploopt. Dit alles moet de computergebruiker aanzetten om niet al te rationeel na te denken en snel tot betalen over te gaan.
Hoe werkt ransomware?
De computer van een slachtoffer wordt met ransomware besmet en dit op een gelijkaardige manier als waarop virussen worden verspreid. De besmetting kan bijvoorbeeld meekomen met illegaal gedownloade pornografische content. Internetcriminelen maken namelijk vaak gebruik van illegaal internetgedrag, zoals het illegaal downloaden van een film of het zoeken naar kinderporno. Het slachtoffer staat dan minder sterk in de schoenen omdat hij mogelijk zelf niet naar de politie of naar een IT-expert zal durven te stappen. Soms gaan de makers van ransomware nog verder en tonen ze ook echt kinderporno op het scherm, zodat slachtoffers nog minder snel actie zullen durven ondernemen.
Er zijn echter ook andere manieren waarop cybercriminelen ransomware verspreiden. Ze kunnen bijvoorbeeld een mail sturen die zogezegd van een incassobureau of van Microsoft komt, waarbij de gijzelsoftware in de bijlage verstopt zit. De namen van Microsoft, de politie, de overheid en transportbedrijven zoals bpost worden hierbij vaak misbruikt. Mogelijk maakt men daarbij gebruik van gestolen persoonsgegevens om de mail betrouwbaar te laten lijken.
Hoe dan ook zal er vervolgens een boodschap op het scherm verschijnen. Vaak staat er eenvoudigweg te lezen dat je moet betalen om je computer vrij te geven en dat elke poging om de ransomware te verwijderen in definitief dataverlies zal resulteren. Soms doen de internetcriminelen ook uitschijnen dat zij de politie zijn die vraagt om een boete te betalen voor het illegaal internetgedrag, maar zo werken de echte politiediensten natuurlijk niet. Toch zijn er nog steeds mensen die zich hieraan laten vangen.
Bedrijven populair doelwit bij makers van gijzelsoftware
Bedrijven vormen een geliefkoosd doelwit voor internetcriminelen. De succeskansen en de opbrengsten zijn er groter en daarom focussen cybercriminelen steeds vaker op (middel)grote bedrijven. De ransomware kan zich namelijk binnen het netwerk verspreiden en kan alle computers aantasten. Bij een middelgroot bedrijf gaat het dan om tientallen tot honderden toestellen die een voor een moeten worden ontgrendeld. Voor elke computer moet apart worden betaald en dus is dit wel lucratief. De kosten voor het stilliggen van de productie zijn zo hoog dat er vaak wordt gekozen om de internetcriminelen gewoon te betalen. Dit geldt veelal ook voor de eventuele kosten voor IT-experts die evenmin in verhouding staan met gewoon te betalen. Uit cijfers van Experis blijkt dat 9% van de bedrijven tot betalen zou overgaan.
Hoe kwetsbaarder de gegevens zijn en hoe meer computers er in het netwerk zitten, hoe interessanter een bedrijf voor internetcriminelen wordt. Begin januari bijvoorbeeld legde ransomware in België verschillende medische labo’s plat waar coronatests worden geanalyseerd. Een jaar eerder legde ransomware ook weefgetouwenbouwer Picanol plat. Uiteindelijk betaalde het bedrijf het losgeld niet, maar de totale schade bedroeg net geen miljoen euro, onder andere door het stilliggen van de productie gedurende een week.
Toegenomen risico op ransomware
De laatste jaren is het aantal gevallen van gijzelsoftware drastisch gestegen. 2020 was een rampjaar. In het laatste semester was er in België bijvoorbeeld sprake van meer dan een verdubbeling ten opzichte van het eerste semester. Ook in andere landen zoals de Verenigde Staten (+ 98,1%), Sri Lanka (+ 436%) en Rusland (+ 57,9%) nam het aantal aanvallen toen sterk toe.
Opvallend is dat er ook steeds vaker gebruik wordt gemaakt van ‘double extortion’. Hierbij geven de makers niet alleen aan dat ze de belangrijke informatie zullen verwijderen, maar ook dat ze gevoelige informatie zullen lekken. Zeker met de strenge privacywetgeving en de torenhoge sancties in het achterhoofd blijkt zo’n dreigement goed te werken. Experts verwachten dat het gebruik van deze vorm van ransomware in 2021 verder zal stijgen.
Bescherming tegen ransomware
Bedrijven kunnen zich op verschillende manieren beschermen tegen ransomware. Enerzijds gaat het om ransomware voorkomen en anderzijds om het beperken van de gevolgen van gijzelsoftware. Hieronder is uitgelegd wat je preventief kan doen om ransomware te voorkomen, maar lees je ook wat je kan doen na een besmetting.
Hoe ransomware voorkomen?
Gijzelsoftware voorkomen is uiteraard de beste oplossing. Daarvoor moet je een goede virusscanner installeren en gebruiken. Er zijn goede gratis virusscanners en ook de ingebouwde Windows Defender kan veel, maar ze missen vaak specifieke vormen van bescherming. Onder andere het antivirusprogramma Kaspersky (Kaspersky Anti-Ransomware Tool) wordt vaak aangeraden, net zoals Norton en Bitdefender.
Een tweede stap om gijzelsoftware te voorkomen is door je software altijd up-to-date te houden. Het gaat daarbij niet alleen om je besturingssysteem, maar ook om je internetbrowser, de add-ons en populaire programma’s zoals Adobe Reader. Software als Adobe Flash en Java kan je beter standaard uitschakelen.
Verder kan je gijzelsoftware voorkomen door oplettend te zijn. Klik niet zomaar op linkjes en open niet zomaar bijlagen. Controleer altijd eerst de afzender. Als je toch een bijlage opent, wees dan altijd voorzichtig. Schakel bijvoorbeeld geen Office-macro’s in als het programma daarom zou vragen.
Bestanden redden bij gijzelsoftware
Er zijn verschillende manieren waarop je kan trachten om je bestanden te redden als je slachtoffer bent geworden van ransomware. Als je hier geen kennis van hebt, laat je het in elk geval beter over aan een expert.
Eerst en vooral moet je je van de ransomware ontdoen. Zo kan je voorkomen dat bestanden die nu nog niet zijn getroffen alsnog zouden worden versleuteld. Of dat de ransomware later opnieuw toeslaat. Doe een uitgebreide virusscan, bijvoorbeeld met behulp van HitmanPro.
In het beste geval zijn de makers van de ransomware intussen al opgepakt. Het is namelijk niet omdat zij in de cel zitten, dat hun ransomware zich niet verder verspreidt. In zo’n geval zijn de ontsleutelingsgegevens mogelijk al door de onderzoekers bemachtigd. Europol publiceert een overzicht van alle ransomware-decryptors op nomoreransom.org. Kijk alvast even na of je daar de oplossing kan vinden.
Indien dit niet het geval is, moet je hopen dat je een back-up hebt. Als je zelf geen back-up hebt gemaakt, is er een kleine kans dat Microsoft voor jou een recente back-up heeft gemaakt. Dataherstelsoftware zoals Recuva kan eveneens helpen.
Voort wil de aanwezigheid van gijzelsoftware niet altijd zeggen dat je de bestanden ook echt kwijt bent. Er zijn een aantal cybercriminelen die enkel doen uitschijnen dat je bestanden vergrendeld zijn. Een voorbeeld daarvan is het Ukashvirus dat een tijdje terug de ronde deed. Deze gijzelsoftware kon je verwijderen zonder je bestanden te verliezen.
Als dit allemaal niet helpt, is er ten slotte nog de mogelijkheid om het losgeld ook daadwerkelijk te betalen. Hoewel deze optie echt niet aan te bevelen is en je daarmee de criminelen steunt, terwijl je helemaal niet weet of het überhaupt iets zal uitmaken, is en blijft het een optie die bij waardevolle bestanden te overwegen valt. Ook Consumentenbond geeft deze optie met enige terughoudendheid mee en geeft aan dat uit de praktijk blijkt dat deze oplossing vaak, maar niet altijd, werkt.
Schade door ransomware beperken
De beste oplossing is door tijdig back-ups te maken zodat je alsnog toegang hebt tot versleutelde bestanden. Echter, externe harde schijven kunnen ook het slachtoffer worden van gijzelsoftware als deze met het netwerk of een besmette computer zijn verbonden. Er zijn wel een aantal manieren waarop het risico op besmetting van externe back-ups kan worden voorkomen. Bij een netwerkopslag kan je bijvoorbeeld instellen dat je enkel via de back-upsoftware bestanden kan opslaan of dat Windows Verkenner enkel kan lezen, maar niet kan wijzigen. Bij fysieke harde schijven is het aangeraden om deze nooit permanent in de computer te laten zitten maar ze na de back-up te verwijderen.
Regels over computer- en internetgebruik op het werk
Werknemers kunnen ongewild ransomware introduceren op het werk. Daarom is het belangrijk dat er concrete regels zijn over het gebruik van zakelijke computers en laptops, zowel thuis als op het werk. Door privégebruik te verbieden, met inbegrip van het bekijken van privémails, kunnen veel problemen worden voorkomen. Denk echter ook aan een verbod om eigen USB-sticks te gebruiken of om zakelijke USB-sticks ook privé te gebruiken.
Cyberverzekering afsluiten
Voor een optimale bescherming tegen ransomware kan je ten slotte een cyber security verzekering overwegen. Met een cyber security verzekering ben je beschermd tegen de nadelige gevolgen van cyberaanvallen en ransomware. Afhankelijk van de gekozen dekking kan de verzekeraar bijvoorbeeld het verlies door het stilliggen van de machines vergoeden. Ook reken je bij een cyber security verzekering op een netwerk van IT-experts die gespecialiseerd zijn in het oplossen van ransomware. Echter, ook zij zullen niet altijd een oplossing kunnen bieden. Wanneer zij weten dat betalen ook daadwerkelijk een oplossing is, kunnen zelfs verzekeraars indien nodig tot betalen overgaan om je bestanden opnieuw vrij te geven.