Ransomware is een lucratieve malwarevorm die in trek is bij cybercriminelen. Met deze malware wordt data in gijzeling genomen en krachtig versleuteld. Er komt losgeld aan te pas om dit weer ongedaan te maken. Dus beheerders, bewaak uw data en behoed uw gebruikers!
Ransomware maakt bestanden ontoegankelijk door ze te versleutelen. Dit gebeurt niet alleen op Windows-systemen maar ook op andere datarijke plekken zoals NAS-apparaten (network attached storage). Zo zijn NAS-systemen van fabrikant Synology in augustus getroffen door de Synolocker-ransomware. Eerder hield Cryptolocker, een andere malware-variant, al huis op pc’s.
Nog x dagen voor datavernietiging
Malware kan op diverse manieren binnendringen. Via een nog niet gepatchte kwetsbaarheid in een browser, via een nog niet ontdekte zwakke plek in andere software (een zero day exploit), via een kwetsbare default-inlog of via valide log-ins die zijn buitgemaakt met behulp van phishing. Eenmaal binnen past de malware stilletjes encryptie toe op waardevolle informatie als Office-documenten (inclusief Open Document-bestandstypes), pdf-bestanden, foto’s, video’s, zip-bestanden en nog veel meer.
Vervolgens krijgt het slachtoffer een melding op het scherm dat er losgeld betaald moet worden en wel in bitcoins en via de anonimiseringsdienst Tor. De malware laat hierbij een timer zien: na x dagen wordt de sleutel gewist en zullen de versleutelde bestanden voorgoed ontoegankelijk zijn.
Updaten en bijblijven
Wat te doen tegen deze digitale plaag? Voorkomen is hier beter dan genezen. Het is namelijk maar de vraag of eenmaal gegijzelde gegevens wel uit hun versleuteling bevrijd kunnen worden. Technisch gesproken moet dat uiteindelijk wel kunnen, maar de vraag is tegen welke prijs. Er kan zoveel tijd en moeite mee gepaard gaan dat het zakelijk gezien onverstandig is om dit zelfs maar te proberen. Daarom is het zaak de deur zo goed mogelijk dicht te houden en ransomware geen kans te geven. Houd systemen daarom up-to-date. Download, test en installeer updates voor de software en firmware die de organisatie gebruikt. Denk naast patches voor besturingssystemen als Windows, Mac OS X, Linux en Unix-varianten ook aan fixes voor applicaties, browser plug-ins en op de achtergrond draaiende services.
Blind installeren van updates is niet altijd mogelijk, maar verdient qua snelheid wel de voorkeur. Bepaal welke software op welke systemen voor automatische updating in aanmerking komt. Doe dat eventueel via een centraal beheerde update tool. Test de updates en draai ze bij patchproblemen terug.
Veel malware maakt gebruik van oudere beveiligingsgaten om binnen te komen. Dit zijn kwetsbaarheden waarvoor in de praktijk al updates zijn uitgebracht. Alleen zijn die nog niet overal geïnstalleerd. Één zo’n gaatje in de dijk kan al fataal zijn. Beheer en bescherm daarom niet alleen servers, desktops en laptops. Kijk ook naar de software, services en firmware op apparaten als NAS-systemen, routers en breedbandmodems.
Beter back-uppen
Een goede beheerder weet dat ook de permissies op het interne netwerk niet altijd open moeten staan. Loop accounts na, controleer applicaties en services, verfijn firewall-regels, verbied bepaalde protocollen en voer dan zelf een paar aanvallende scans uit. En herhaal dit hele ritueel af en toe.
De meeste databewuste organisaties hebben wel een goede back-up procedure. De makers van ransomware weten dit natuurlijk en houden daar inmiddels rekening mee. Cryptolocker bijvoorbeeld versleutelt niet alleen de data op een pc, maar lift ook mee naar gedeelde netwerkschijven, gebruikmakend van de rechten van de gebruiker. Bij bepaalde configuraties kan daarom ook de back-up getroffen worden.
Zorg daarom altijd voor een back-up van de back-up en breng deze reserve back-up in een andere omgeving onder. Zo mogelijk op een systeem met andere software en wellicht ook stand alone, dus los van het netwerk. Laat je daarbij niet weerhouden door de kosten. Want de kosten van opslag, ook voor duurdere bedrijfssystemen, blijven dalen. En de kosten als gevolg van dataverlies rijzen de pan uit.
