Herkent u de signalen van een ransomware-aanval?

19 december 2022

Security Awareness

Cybersecurity-expert Erik Westhovens legt het mooi uit: "Een ransomware-aanval... Het is alsof je vrouw 's avonds naast je op de bank komt zitten en je verrast met het nieuws dat je die ochtend vader bent geworden. Dan heb je dus negen maanden lang alle signalen gemist". Hiermee bedoelt hij het misverstand dat leeft over ransomware. Veel bedrijven denken namelijk dat er iemand op een malafide link klikt en binnen enkele minuten de systemen plat liggen. Inpakken en wegwezen. Maar feitelijk zitten er wel 56 dagen tussen de eerste infectie met ransomware en het moment van de daadwerkelijke aanval.

De daadwerkelijke aanval duurt in werkelijkheid ook veel korter dan de meeste mensen denken. Er wordt meestal gedacht in uren en minuten maar eigenlijk duurt het maar drie seconden om vanuit de active directory ieder bestand in een systeem te encrypten. Dit is mogelijk omdat hackers niet het hele bestand versleutelen, maar alleen de root sector.

APT lifecycle
Westhovens legt ook uit dat hackers in de korte twee maanden, die tussen de infectie en de daadwerkelijke aanval zitten, verschillende stappen ondernemen. Hij omschrijft het zelf als de 12 stappen van de advanced persistent threat (APT) lifecycle. Deze stappen leest u in het boek: 13. Ransomware, van Erik Westhovens. 

Tweefactorauthenticatie
Wekelijks vinden er zo'n 136.000 Microsoft-hacks plaats. Het is dus eigenlijk niet echt meer de vraag óf je wordt gehackt, maar wanneer. "Ik zie liever een administrator die het wachtwoord 'Password' gebruikt, maar mét tweefactorauthenticatie, dan iemand die een complex wachtwoord heeft maar zonder." Wanneer u geen tweefactorauthenticatie gebruikt en uw wachtwoord wordt gehackt, bent u dus geheid het haasje. 

Schot hagel
Ransomware-aanvallen zijn negen van de tien keer een schot met hagel. Er wordt een groot aantal aanvallen uitgevoerd en hackers kijken een aantal weken later welke aanvallen zijn gelukt. Vervolgens wordt er gekeken naar hoeveel omzet de gehackte bedrijven behalen. Want hoe meer omzet, hoe meer losgeld er gevraagd kan worden. Daarna wordt de aanval gemaximaliseerd om een bedrijf zo snel mogelijk uit de lucht te halen.

Infectie backup
Een ander punt: we kunnen het u niet vaak genoeg op het hart drukken. Het maken van back-ups. Iedereen weet hoe belangrijk een back-up is voor het herstellen van documenten, maar hackers weten dit ook. Daarom wordt er in die 56 dagen zoveel mogelijk geprobeerd om ook de back-ups te infecteren. Als dit lukt betekent het dus dat wanneer u uw back-up terugzet, de gijzelsoftware gewoon mee komt.

Blijf alert
De strijd tegen de cybercriminelen is zeker geen verloren strijd. Er wordt namelijk steeds meer samengewerkt door instanties om hackers op te sporen. Kennis wordt vergroot en gedeeld. Daarnaast worden hackers het liefst betaald in cryptomunten zoals Bitcoin. Maar dit is lang niet zo anoniem als er vaak gedacht wordt. En het moet op een gegeven moment wel omgezet worden in fysiek geld of luxe goederen.

Blijf dus vooral alert, meent Westhovens. En houd verdachte signalen in het vizier.

Meer lezen over de APT lifecycle? Klik hier