Dagelijks verschijnen er berichten over bedrijven en organisaties die worden getroffen door ransomware en in sommige gevallen ook het gevraagde losgeld van enkele honderden euro's betalen. De werkelijke schade door ransomware die allerlei bestanden versleutelt wordt echter onderschat en kan in de tientallen miljoenen euro's lopen, zo laat Marco van Loosen van het Delftse beveiligingsbedrijf Fox-IT in een interview met Security.NL weten. Van Loosen, senior forensic IT-expert, spreekt volgende week tijdens de ONE Conferentie van het Nationaal Cyber Security Center (NCSC) over de TorrentLocker-ransomware die ook in Nederland erg actief was en nog altijd is.

Volgens Van Loosen bestaat er soms in de media het beeld dat de impact van ransomware beperkt is. Zo wordt er alleen naar het aantal infecties gekeken, dat bijvoorbeeld lager is dan bij andere vormen van malware, en kunnen slachtoffers het probleem via het betalen van een paar honderd euro of het terugzetten van een back-up oplossen. De werkelijke kosten zijn echter niet de paar honderd euro die moet worden betaald. "Als een gebruiker in een groot bedrijf besmet raakt waardoor de netwerkshare versleuteld wordt, kunnen opeens alle werknemers niet meer verder werken."

Van Loosen is bekend met meerdere grote bedrijven die soms herhaaldelijk door ransomware werden getroffen doordat een werknemer, vaak via e-mail, met ransomware besmet raakte en daardoor de gehele organisatie een aantal uren verlamd was. Ook het terugzetten van een back-up, ervan uitgaande dat die er is, kan zeker bij grote organisaties of in het geval van grote hoeveelheden data enkele uren duren. De werkelijke schade is dan ook niet het betaalde losgeld. Door de veroorzaakte nevenschade sluit Van Loosen niet uit dat de werkelijke schade door ransomware in de tientallen miljoenen euro's loopt. "De grootste schade is dat bedrijven stil liggen, wat soms uren en zelfs dagen kan duren en dan is de schade veel groter dan het betaalde losgeld."

Niet uitzetten

In het geval van een ransomware-infectie doen gebruikers er verstandig aan om hun computer niet uit te zetten, waarschuwt de IT-expert. Sommige ransomware-exemplaren gaan hier namelijk niet goed mee om. Voor het versleutelen van de bestanden op de computer gebruikt de ransomware een encryptiesleutel. Als nog niet alle bestanden zijn versleuteld, en de computer wordt uitgeschakeld en opnieuw aangezet, zal sommige ransomware na de herstart een nieuwe encryptiesleutel aanmaken om de resterende bestanden te versleutelen. Als slachtoffers geen back-up hebben en uiteindelijk beslissen om het gevraagde losgeld te betalen krijgen ze een decryptiesleutel terug waarmee ze alleen de bestanden van na de herstart kunnen ontsleutelen.

Fox-IT raadt slachtoffers van ransomware af om het losgeld te betalen, maar Van Loosen kan bedrijven en gebruikers die dit wel doen wel begrijpen, zeker als er bijvoorbeeld geen back-ups zijn of de back-ups niet werken. Iets wat volgens de onderzoeker ook nog regelmatig voorkomt, doordat met name kleine ondernemingen hun back-ups en het terugzetten hiervan niet testen. Wat wel verstandig is, is om de internetverbinding te verbreken zodat er geen communicatie met de Command & Control-server kan plaatsvinden. Ook wordt zo voorkomen dat meer bestanden op netwerkshares worden versleuteld.

Kat en muis

Tijdens zijn presentatie op maandag laat Van Loosen zien hoe geheugenforensics kan helpen bij het bestrijden van dreigingen als TorrentLocker. Door het geheugen te analyseren kunnen namelijk kwetsbaarheden worden gevonden waarmee versleutelde bestanden zonder te betalen kunnen worden ontsleuteld. In het geval van TorrentLocker zijn er inmiddels drie versies verschenen. In de eerste versie werd een kwetsbaarheid in de implementatie van de encryptie ontdekt waardoor de encryptiesleutel zonder te betalen kon worden achterhaald. Nadat er onderzoek over deze fout was gepubliceerd verscheen er een tweede versie van TorrentLocker waarin het probleem was opgelost. Fox-IT ontdekte via geheugenanalyse in versie 2 verschillende fouten waardoor bestanden weer zonder te betalen konden worden ontsleuteld. In dit geval werd er besloten de informatie nog niet vrij te geven. Toch verscheen er onlangs een derde versie van TorrentLocker waarin de gevonden problemen waren opgelost, waarschijnlijk omdat de makers hier zelf waren achtergekomen. "Zo blijf je achter elkaar aan rennen", aldus de onderzoeker.

Bewustzijn

De belangrijkste maatregelen die organisaties en ook gebruikers kunnen nemen is een combinatie van securitybewustzijn en technische maatregelen. "Het securitybewustzijn bij sommige bedrijven of sommige werknemers bij bedrijven is nog laag", merkt Van Loosen op. Gebruikers moeten dan ook leren om niet zomaar bestanden en linkjes in ongevraagde e-mails te openen. Zodra ransomware actief is worden uit het adresboek aanwezige e-mailadressen gestolen, die vervolgens voor verdere spamruns worden gebruikt.

Zodoende kan het voorkomen dat organisaties meerdere van dit soort e-mails ontvangen en er altijd wel iemand is die bijvoorbeeld op de link klikt. Als deze persoon toegang tot een gedeelde netwerkmap of schijf heeft wordt alles versleuteld en kan dit de hele organisatie raken. "Als je geen beleid hebt of beperkingen om dit te voorkomen gaat het gewoon gebeuren", stelt Van Loosen. Mensen zijn bijvoorbeeld bang dat ze een pakketje missen, iets waar TorrentLocker via valse PostNL e-mails van gebruik maakte. "Het is die angst waar cybercriminelen op inspelen", aldus de onderzoeker.

Technische maatregelen

Naast bewustzijn kan er ook in technische maatregelen worden geïnvesteerd merkt hij op. Zo kunnen de schrijfrechten op netwerkshares worden beperkt en moeten gebruikers in ieder geval met verminderde (niet-admin) rechten werken, iets wat volgens Van Loosen ook niet altijd het geval is. Zelf is hij groot voorstander van software restriction policies. Daarmee kan worden ingesteld dat er bijvoorbeeld alleen uit bepaalde mappen uitvoerbare bestanden mogen worden uitgevoerd. Daarmee kan meestal worden voorkomen dat malware op het systeem kan worden uitgevoerd.

Voor de toekomst verwacht Van Loosen dat er meer ransomware zal verschijnen, met name allerlei varianten. De malware is namelijk eenvoudig te maken, aangezien die slechts over beperkte functionaliteit moet beschikken. Daarnaast zijn er inmiddels frameworks op de zwarte markt waarmee cybercriminelen eenvoudig ransomware kunnen maken. Verder biedt het cybercriminelen een relatief eenvoudige manier om geld te verdienen. "Je hebt zoveel mensen die je in potentie met je ransomware kunt bereiken en ook al betaalt er maar een klein percentage, dan kan het snel gaan", besluit de IT-expert.