Eind 2019 kwam naar buiten dat de Universiteit Maastricht (hierna: UM) slachtoffer is geworden van ransomware. Ruim 267 systemen raakten versleuteld en de UM betaalde, na afwegen van de voordelen en nadelen, in januari 30 bitcoins (197.000 euro) aan de criminele organisatie die de ransomware had verspreid. De details over de aanval op het UM vindt u in ons vorige blog ‘Ransomware aanval UM: lessons learned’.
In deze blog gaan wij dieper in op de vraag wat doet ransomware precies en wat kunnen we ertegen doen?
De politie heeft een goede uitleg van ransomware gegeven:
‘Ransomware is Engels voor gijzelsoftware. Hiermee blokkeren criminelen uw computer of versleutelen zij een of meerdere bestanden op uw computer. Vaak moet u een bedrag in virtuele valuta, zoals bitcoins, betalen om uw computer of bestanden weer terug te krijgen.’
Dit versleutelen betekent dat documenten en andere bestanden niet meer te openen zijn, laat staan leesbaar. De gevolgen hiervan verschillen. Op een computer voor thuisgebruik staan meestal minder documenten dan op de server van een organisatie. Bij de UM ging het onder andere over computers van medewerkers met tentamens erop. Verder waren er jaren aan data versleuteld. Het gevolg hiervan is dat er geen tentamens meer gemaakt konden worden, dat informatie zeer lastig terug te halen was en dat het mogelijk maanden zou duren eer men weer zou kunnen werken.
Een minder bekend gevaar van ransomware is dat de crimineel toegang heeft gekregen tot alle informatie en mogelijk ook de gebruikersaccounts. Dit is dan meteen een datalek. Diegene kan nu bijvoorbeeld identiteitsdiefstal plegen met deze informatie, de informatie verkopen op internet, eigenaren van persoonsgegevens afpersen of met de gebruikersaccounts bijvoorbeeld een betaling uitvoeren. Naast de risico’s voor betrokkenen levert dit ook imagoschade op voor de organisatie. Dit is lastig te controleren, want meestal is het onbekend wat de criminelen met de data doen.
Ransomware komt niet zomaar op een computer. De crimineel heeft verschillende manieren om ransomware op een computer te plaatsen.
In het geval van de UM begon het met een phishing mail (nep mail, met een link waarmee de aanvallers toegang krijgen tot de computer en vervolgens het netwerk om de ransomware te verspreiden.)
De ransomware kan ook verspreid worden door op een besmette website te surfen of door op onveilige links of reclame te klikken. Daarnaast kan er misbruik gemaakt worden van een zwakheid in een applicatie. Als deze applicatie nog niet voorzien is van de nieuwste update, heeft de crimineel makkelijker toegang tot uw computers.
Zodra ransomware op de computer staat is het te laat, toch?
Niet helemaal: de Nederlandse politie heeft een site ontwikkeld waarop verschillende ransomware key’s staan. Dit betekent dat er verschillende types van ransomware ontsleuteld zijn en de politie deze ontsleuteling vrijgeeft. Op de website ‘nomoreransom’ vindt u de verschillende typen ransomware die reeds ontsleuteld zijn.
Helaas is het zo dat de politie niet alle typen ransomware heeft ontsleuteld en criminelen bedenken steeds nieuwe ransomware. Hierdoor is het niet altijd mogelijk om een geïnfecteerde computer te ontsleutelen.
De criminelen zullen aanbieden de computer voor een bepaald bedrag in (meestal) bitcoins weer te ontsleutelen en uw bestanden weer vrij te geven. Het lastige hierbij is dat er geen garantie is dat ze dit ook daadwerkelijk doen. Het zou dus zo kunnen zijn dat u betaalt en dat u daarna nog steeds een geïnfecteerde computer heeft. Ook is de computer daarna nog steeds niet goed beveiligd. Daarnaast is de betaling via bitcoin anoniem en hierdoor bijna niet te volgen, de daders pakken bij dergelijke transacties is dus heel erg lastig.
Toch betaalde de UM wel bijna 2 ton aan de criminelen die de ransomware op hun systemen had verspreid. De UM vertelde tijdens het door hen georganiseerde symposium dat ze dit deden om de continuïteit van de universiteit te garanderen. Als ze niet betaald hadden, dan zou de UM waarschijnlijk weken tot maanden platliggen en zouden honderden medewerkers en duizenden studenten niet aan de slag kunnen. De UM beoordeelde deze negatieve gevolgen als te groot en betaalde derhalve het losgeld.
Het betalen van losgeld is niet strafbaar en vaak is het voor organisaties (zoals de UM) daarom een kwestie van een rekensom of het duurder is om het systeem terug te zetten of het losgeld te betalen, daarbij rekening houdend met het feit dat betaling geen garanties geeft en toekomstige aanvallen niet voorkomt.
De politie waarschuwt om niet te betalen als uw systeem geïnfecteerd is met ransomware, omdat dit de ransomware en de criminele groepen alleen maar in stand houdt. Er is ook geen garantie dat het systeem daadwerkelijk weer operationeel is, of de bestanden allemaal ontsleuteld zijn, na betaling.
Onze tip: doe bij ransomware altijd aangifte en betaal niet zomaar losgeld!
Ransomware is niet altijd te voorkomen, maar u kunt wel enkele voorzorgsmaatregelen nemen die de kans op een succesvolle aanval verminderen:
Heeft u hulp nodig bij het verhogen van de bewustwording van uw werknemers omtrent ransomware en digitale dreigingen? Of bent u benieuwd hoe u ervoor staat ten aanzien van plannen voor bedrijfscontinuïteit of hoe moet worden omgegaan met een [digitale] crisis. Wilt u advies en inzicht met betrekking tot de huidige veiligheid van uw systemen?
Neem dan contact op met onze creatieve en betrouwbare professionals via info@cuccibu.nl of +31 (0) 85 303 2984.
Reduce Risk, Create Value!