Nieuwsbrief
dinsdag 30 mei 2017

Ransomware oplossingen: wat zijn de mogelijkheden?

De wereld werd recent opgeschrikt door een wereldwijde cyberaanval met ransomware, de grootste in de geschiedenis. In 150 landen zijn er 200.000 mensen en bedrijven gedupeerd. Ransomware is een hardnekkig probleem dat niet op korte termijn zal verdwijnen. Eric Bruseker, security specialist bij COMPAREX, legt in zijn blog uit hoe je een gijzeling kunt voorkomen.

Ransomware oplossingen: wat zijn de mogelijkheden?

Ransomware duikt steeds vaker op, een hardnekkig probleem dat volgens de laatste onderzoeken niet op korte termijn zal verdwijnen. Ook de klanten van COMPAREX worden steeds vaker gegijzeld en stellen ons de vraag hoe hiermee om te gaan en hoe een dergelijke besmetting is te voorkomen? Lees hier alles over ransomware-oplossingen.

Wat is ransomware?

De letterlijke vertaling van ransomware is gijzelingssoftware. Het is een vorm van malware waarbij een computer op slot wordt gezet of informatie encrypt waarna deze niet meer te gebruiken is. Daarna ontvangt de gebruiker een boodschap waarin aangegeven wordt dat er losgeld moet worden betaald om de computer of de informatie weer vrij te geven. Hiervan zijn inmiddels talloze varianten actief.

Hoe raakt u geïnfecteerd?

Ransomware kan op twee manieren binnenkomen. Dat kan zijn via webverkeer, waarbij via een advertentie of download de malware geïnstalleerd wordt. De malware kan ook via e-mail binnenkomen, waarbij vaak een bijlage of hyperlink de boosdoener is, die het schadelijke proces opstart en de informatie ontoegankelijk maakt.

Het probleem met ransomware is dat het steeds verder evolueert. Het wordt telkens een klein beetje aangepast zodat traditionele antivirus oplossingen steeds een stap achterlopen. In het verleden vonden besmettingen met name plaats via massamailing in de hoop dat er iemand was die de URL aanklikte om zodoende het malware proces op te starten. Tegenwoordig zie je dat e-mails met malware steeds vaker op de ontvanger wordt afgestemd en gericht wordt verstuurd. Om een voorbeeld te geven; de bekende mail van de Nigeriaanse prins met zijn miljoenen stonden vol spelfouten, waardoor mensen toch achterdochtig werden en niet klikten. Tegenwoordig ziet een persoonlijke spearphishing er legitiem uit en is het voor mensen steeds lastiger om hierin onderscheid te maken.

Ransomware oplossingen

Ook hier zijn twee mogelijkheden: betalen of niet betalen. Vanuit COMPAREX is het advies om niet te betalen, er is immers geen garantie dat de besmette bestanden daadwerkelijk vrij gegeven worden en de malware echt verwijderd wordt. Als de infectie op één desktop heeft plaatsgevonden dan zijn er ook mogelijkheden om de ransomware te verwijderen.  Lastiger wordt het bij netwerkinfecties, helemaal als cryptoware zich feitelijk al een tijd geleden in het netwerk nestelde zonder zich te manifesteren. Dit is namelijk een van de laatste trends waarbij het malware proces pas na een maand actief wordt. Hiermee is ook de back-up corrupt en is het niet meer zo eenvoudig om het systeem leeg te maken en een back-up terug te zetten.

Voordelen van ransomware?

Het is natuurlijk opmerkelijk om hier de voordelen van ransomware te benoemen, maar laat ik even deze gedachtegang uiteenzetten.

Het voordeel bij ransomware is dat een organisatie direct weet dat zij kwetsbaar is. Bij andere vormen van Advanced Persistent Threats zie je dat deze juist zo stil mogelijk en onopgemerkt proberen te blijven om zoveel mogelijk data te vergaren en daarmee meestal meer schade veroorzaken. Onderzoek heeft aangetoond dat het gemiddeld acht maanden duurt voordat Advanced Persistent Threats ontdekt worden, moet u zich eens voorstellen hoeveel data in die tijd kan worden ontvreemd van een organisatie!

Hoe voorkomt u een gijzeling?

Hoe voorkomt u nu dat u zelf slachtoffer wordt van ransomware? Daarvoor zijn verschillende manieren:

Software updates

Vaak maakt ransomware gebruik van een verouderde of niet up-to-date zijnde browser, Adobe Flash, besturingssysteem of Java waar een beveiligingslek in zit. Het is zaak om de patchcyclus zo kort mogelijk te houden om deze risico’s te beperken. Met andere woorden, zorg ervoor dat software up to date is.

User awareness

Hoe bewust zijn medewerkers van potentiele gevaren? Uit onderzoek blijkt dat veel malware wordt opgestart vanuit de webmail, zoals gmail en hotmail. Maak daarom medewerkers ervan bewust dat zij een risico kunnen vormen voor de organisatie met hun surf- en mailgedrag.

Technologische oplossingen

Wij zien een aantal technologische oplossingen ter voorkoming van ransomware. Met deze security-oplossingen is het mogelijk om op de endpoints, in het netwerk of in de cloud (of een combinatie van alle drie) een securitylaag aan te brengen ter voorkoming van potentieel gevaar. Iedere security laag heeft zijn eigen voordelen. De oplossingen die op dit moment veel voorkomen zijn: 

Advanced Threat Protection

Vanuit verschillende securityvendoren zijn er aanvullende security maatregelen mogelijk. Het meest voorkomende component is hierbij een sandbox technologie, deze zorgt ervoor dat verdachte of onbekende bestanden in een virtuele omgeving afgespeeld worden om na te gaan hoe het bestand zich gedraagt. Als het inderdaad malware blijkt te zijn, dan kan de bedreiging snel opgelost worden door de endpoints te isoleren en nieuwe aanvallen op controlepunten te blokkeren.

Daarnaast zien wij dat een aantal securityvendoren zich focust op het kader waaruit malware opgestart wordt. Omdat dit altijd via een aantal vaste stappen gebeurt, kan je dit proces monitoren en zo in een vroegtijdig stadium (voordat de malware de endpoints bereikt) de malware stoppen. Daarbij zul je moeten nadenken of je SSL inspectie toestaat op de perimeter of op de endpoints. Het voordeel van perimeter is dat je daarmee voorkomt dat het de endpoints bereikt, het mogelijke nadeel kan zijn dat dit privacy vragen oproept wanneer webmail gescanned wordt op malware content.

Application control / whitelisting

Binnen de organisatie zijn verschillende processen in de IT-omgeving, waarbij sommige bestanden en processen die voor de organisatie bekend zijn, opgestart mogen worden. Door dit goed in te regelen kun je een onbekend proces, zoals ransomware, dat opgestart wordt in een vroegtijdig stadium stoppen. Dit is daarom een vrij eenvoudige manier om ransomware tegen te gaan. Uiteraard is dit wel afhankelijk van de processen welke er intern zijn.

Laat je goed over ransomware oplossingen voorlichten

Zoals je hierboven kunt lezen, zijn er legio oplossingen om je goed tegen ransomware (en andere bedreigingen) te beschermen. Ben je benieuwd wat wij hierin kunnen betekenen? Neem dan gerust contact met mij of mijn collega’s op.

 

Uw inschrijving is geregistreerd. Hartelijk dank voor uw aanmelding.