In april 2016 opende een werknemer bij BWL, een nutsbedrijf in Michigan, een e-mail en klikte vervolgens op een bijlage met ransomware. Het resultaat? De ransomware gijzelde boekhoudsystemen, e-mailsystemen en zelfs telefoonlijnen. Dit resulteerde in een dure en arbeidsintensieve week van herstel.
De kosten? 2,4 miljoen dollar.
Laat dat even bezinken
In 2014 werd er 800.000 dollar losgeld van de gemeente Detroit geëist door hackers, een waarschuwing voor de gevolgen die ransomware kan brengen. BWL betaalde uiteindelijk ‘maar’ 25.000 dollar aan de aanvallers. De resterende 99% van de kosten bestond uit technologie upgrades en de tijd van IT’ers die de problemen moesten oplossen. Het enige lichtpunt is dat het bedrijf zijn veiligheid verbeterd heeft en zijn IT-communicatie beleid aangepast heeft.
Leermateriaal
De impact van ransomware is groter dan de kosten die de slachtoffers maken. In dit voorbeeld kon het bedrijf geen werkzaamheden uitvoeren en werden de klantervaring en de HR-afdeling negatief beïnvloed. Het incident is ook een typisch voorbeeld van ineffectief omgaan met spam en het voorkomen van phishing. Deze problemen komen over de hele wereld voor. Ondanks de beste bedoelingen om ransomware tegen te gaan bestaat het fenomeen nog steeds.
Wat te doen als je geraakt wordt
Het is belangrijk om niet in paniek te raken. In de eerste instantie moet er gezocht worden naar een oplossing om je systeem en data terug te krijgen zonder het losgeld te betalen. De hackers hun zin geven leidt alleen maar tot meer aanvallen, omdat ze nu weten dat jij het losgeld wel betaalt. Je moet systemen herstellen, de oorzaak ontdekken en vervolgaanvallen tegengaan. Op dit punt gaan back-ups en beveiliging dezelfde kant op.
Bij BWL was er veel mankracht nodig en twee weken aan tijd. Hoogstwaarschijnlijk omdat het bedrijf niet voorbereid was op een dergelijke aanval. In dit geval moet de oorzaak gevonden worden en een back-up van voor de aanval teruggezet worden.
Wat te doen om een volgende aanval te voorkomen
Voor de Firewall
Er is niet een enkele oplossing beschikbaar voor ransomware. Er komen meerdere factoren bij te kijken, zoals opleidingen, veiligheid en back-ups. Allereerst moet de menselijke firewall gebouwd worden. Leer medewerkers dat zij niet op bijlages of links in verdachte e-mails mogen klikken, zeker als je met betalingen werkt. Dit is pas de eerste stap! Uit een recent onderzoek door Barkly blijkt dat 33 percent van ransomware-slachtoffers al een veiligheidstraining hadden gekregen.
Daarnaast moet de “schuldige” werknemer niet te snel ontslagen of streng aangesproken worden, tenzij zij onethisch op het internet bezig waren (bijv. illegaal materiaal downloaden). In vele gevallen arriveert ransomware in de vorm van een slim vormgegeven phishing-e-mail. Aangezien de account- en e-mail-systemen van BWL offline gehaald werden heb ik het vermoeden dat de werknemer een bijlage van een hacker opende met de onschuldige naam “onbetaalde factuur”.
Als het op technologie aankomt is het cruciaal een aanpak van meerdere lagen te hanteren om malware tegen te houden. In de afbeelding hieronder is te zien hoe SonicWall ransomware via web- en apparaatverkeer stopt. In het geval van ‘watering hole attacks’ blokkeert de SonicWall Content Filtering Service (CFS) miljoenen bekende kwaadaardige websites om zo de grootste boosdoeners op non-actief te stellen. Hierna wordt SSL/TLS decryptie uitgevoerd om al het verkeer ook daadwerkelijk te kunnen zien. Vier jaar geleden was het verkeerspercentage dat versleuteld werd erg laag in vergelijking met vandaag. Vergeet succescijfers voor malwarevangst die door vele leveranciers van firewalls en sandboxes wordt geadverteerd; als zij de helft van het verkeer niet kunnen inspecteren, is dat gelijk aan de voordeur op slot doen terwijl de achterdeur openstaat.
Firewall en Capture ATP
Als je organisatie gebruikt maakt van SSL-decryptie wordt al het inkomende verkeer door de firewall bekeken. Hopelijk is dit een modern apparaat dat elke byte van elk pakket kan inspecteren op bedreigingen, en die snel bestanden goedkeurt. Bij apparaatverkeer stuitten de bytes op een firewall en horen ze doorverwezen te worden naar je mobiele of VPN-appliance. Deze moet vervolgens de bestanden ontsleutelen en alleen toegang verlenen aan goedgekeurde apparaten. Het verkeer moet dan teruggestuurd worden naar de firewall om zijn reis samen met webverkeer door een reeks veiligheidsmaatregelingen te beginnen.
De firewall en VPN-oplossingen zijn het hardware-onderdeel van een oplossing tegen ransomware. Een Firewall is de hoeksteen van de oplossing, omdat deze gedefinieerd wordt door zijn service: malware uit je internetverkeer verwijderen. Traditioneel volgden gateway-beveiliging en anti-virus de firewall in de zoektocht naar malware, gebaseerd op signaturen. Er werd dus gezocht naar bestaande malware. SonicWall elimineert per maand rond 90 miljoen ransomware-pogingen met deze technologie. Malware wordt continu gebruikt en kan na het eerste gebruik meer dan duizend keer in een uur gezien worden. Daarom kan een signature-machine in de cloud voor betere bescherming tegen nieuwe bedreigingen zorgen.
Sandbox
Na gateway-beveiliging hanteren vele netwerken een Sandbox. Dit is een geïsoleerde omgeving die verdachte codes uitvoert om te kijken wat deze doen. In deze omgeving wordt onbekende malware ontdekt en tegengehouden. Sandbox technieken bestaan al enkele jaren, maar het is nu hackers gelukt om kwaadaardige codes te ontwerpen die niet opgemerkt worden door deze omgevingen. Hierdoor raden sommige analisten een combinatie van meerdere sandbox technologiën van verschillende leveranciers aan om zo veel mogelijk ransomware codes te kunnen ontdekken en tegenhouden .
Ik adviseer de SonicWall Capture Advanced Threat Protection (ATP). Deze sandbox beschikt over meerdere analyse-machines en combineert virtuele sandbox, analyse op niveau van de hypervisor en de emulatie van volledige systemen. Zo wordt er gekeken wat de potentiële malware wil doen met het apparaat, het besturingssysteem en de software. Ransomware-varianten worden tijdens hun levenscyclus steeds weer aangepast. Daarom is het belangrijk voor sandboxes om cloud-gebaseerde signaturen te creëren voor elke mogelijke versie, om zo een opeenvolgende aanval te blokkeren en de levenscyclus van ransomware in te korten. Op deze manier wordt veel malware verwijderd voor hij zijn eindbestemming bereikt.
Eindpunten en back-ups
Hoewel deze opzet zeer effectief is, blijft het van belang om een gezonde bescherming-strategie voor eindpunten te hanteren. Anti-virus voor eindpunten is nog steeds belangrijk en is tegenwoordig makkelijker dan ooit te voren te gebruiken. Maak gebruik van een afgedwongen anti-virus technologie die gebruikers geen toegang tot het internet geeft als hun eindpunt bescherming niet up-to-date is. Indien een gebruiker dat wel probeert zal deze op een downloadpagina belanden waar hij zijn anti-virus software moet updaten voor hij op een verdachte link of een bijlage in een e-mail kan klikken.
Ten slotte: back-up, back-up en back-up nog meer. Ransomware bestaat omdat organisaties de aanvallers blijven betalen om weer toegang te krijgen tot hun eigen data. Als een ransomware-aanval de goede bedoelingen en de beveiligingsmechanismen van jouw infrastructuur kan omzeilen kan je zo het besmette toestel of de server compleet schoonmaken en je data terugzetten vanaf jouw back-up.
Om meer te weten te komen over ransomware kan je hier kijken: How to protect against ransomware.
Florian Malecki is international product marketing director bij SonicWall
