De term ransomware wordt elke dag bekender en beruchter. Maar wat is het precies en waarom is het zo belangrijk om een infectie ermee te voorkomen?
In het afgelopen jaar zijn er regelmatig berichten in het nieuws geweest van buitenlandse ziekenhuizen die zijn getroffen door ransomware. Onder andere ziekenhuizen in de Verenigde Staten, Canada en Duitsland zijn in 2016 al slachtoffer geworden. In Nederland zijn er ook zorgen voor ransomware in ziekenhuis. Zo ernstig zelfs, dat er Kamervragen over werden gesteld en beantwoord. In deze antwoorden is vooral aandacht voor het feit dat een infectie met ransomware de informatiebeveiliging doorbreekt. Op zichzelf is dit een ernstig feit en de Autoriteit Persoonsgegevens eist dan ook in zijn richtsnoer Meldplicht Datalekken dat infecties met ransomware gemeld worden. Maar misschien nog wel erger, is dat ransomware de continuïteit van zorg in gevaar brengt.
Antivirus-indrustrie
Ransomware is een vorm van malware (kwaadaardige code) en komt relatief weinig voor. Volgens schattingen vanuit de antivirus-industrie maakt ransomware minder dan 1 procent van alle malware uit. Toch zit de angst voor ransomware er goed in. Ik denk dat dat te maken heeft met de onmiddellijke impact die ransomware heeft op ondernemingen, vooral in de zorg. Veel malware heeft tot doel om de rekenkracht van de besmette pc in te zetten in een botnet, onder andere voor DDoS-aanvallen en de verspreiding van spam en malware. Hoewel dit kwalijke zaken zijn, ondervindt de rechtmatige eigenaar van de pc er niet direct een groot nadeel van.
Dus zelfs als de malware na verloop van tijd gevonden wordt, gaan er geen grote alarmbellen rinkelen. De malware wordt eenvoudigweg verwijderd en het is ‘back to business’. Bij ransomware geldt dat niet: de impact is onmiddellijk en groot: alle activiteiten moeten worden gestaakt -in een ziekenhuis kan dat een kwestie zijn van leven of dood- totdat het probleem is opgelost.
Losgeld
Het oplossen van het probleem is erg lastig. Het betalen van losgeld lijkt een oplossing, maar dat is het niet. Op macro-niveau is het een slecht idee, omdat het de misdaad lonend maakt, wat de prikkel verhoogt voor criminelen om nog meer ransomware maken. Maar ook voor het slachtoffer zelf is betalen onverstandig. Er zijn gevallen bekend waarbij na het betalen van het losgeld de gegevens niet werden vrijgegeven. Wat ook voorkomt, is een tijdelijke vrijgave van de bestanden. Vanuit een business-perspectief is dit een briljante vondst. Een bepaald slachtoffer heeft namelijk na de eerste betaling getoond dat hij afpersbaar is. Na de betaling worden de bestanden weliswaar vrijgegeven, maar een stukje van de malware blijft achter op het systeem. Na enkele maanden worden de bestanden opnieuw versleuteld, en wordt opnieuw losgeld gevraagd.
Het ontsleutelen van versleutelde bestanden zonder de bijbehorende encryptiesleutel is nagenoeg onmogelijk. En het deblokkeren van geblokkeerde bestanden wordt ook steeds lastiger. Waar in vroege versies van ransomware nog vaak programmeerfouten zaten die de encryptiesleutel toegankelijk of deblokkeren eenvoudig maakten, zijn die kinderziektes ondertussen door de malwareschrijvers opgelost. Bestanden die ten prooi zijn gevallen aan ransomware moeten in de praktijk dan ook als verloren worden beschouwd.
Geavanceerde trucs
Als het genezen van het probleem geen optie is, dan rest er één andere optie: voorkomen. Helaas is de antivirus-industrie niet in staat is om 100 procent van alle malware altijd tegen te houden. Door het grote bedrag dat kan worden verdiend (of eigenlijk: ontvreemd) met ransomware, worden de meest geavanceerde trucs toegepast voor het laten slagen van een infectie. De nieuwste exploits worden ingezet en de modernste wijze van obfuscatie worden toegepast om aan de aandacht van de virusscanner te ontsnappen.
Om een netwerk optimaal te beschermen tegen ransomware, moeten alle zeilen worden bijgezet. Van het dagelijks maken van back ups tot het kiezen van de beste Windows settings en van het bewust maken van medewerkers tot het optimaal gebruiken en op de juiste wijze configureren van professionele beveiligingssoftware. Onze whitepaper Ransomware in de zorg geeft deze en meer tips. Het uitvoeren van de meeste van de tips vraagt geen financiële investering en kost enkel tijd en moeite. Maar: minder tijd en moeite da n een infectie met ransomware met zich meebrengt.
Pr-manager bij IT-beveiliger G DATA Software
