Een onbekend meldingsscherm staart je aan, een zinkend gevoel maakt zich van je meester. Je had ergens wel eens iets gelezen over ransomware: malware die bestanden gijzelt. En je wou echt je back-up eens gaan regelen, binnenkort. Hoe kon dit toch gebeuren? En wat nu te doen?
Het belang van een back-up wordt vaak pas (goed) beseft als het te laat is. Eenzelfde oordeel valt te vellen over gedegen beveiliging. Natuurlijk, honderd procent beveiliging bestaat niet en een back-up kan altijd wat uren of dagen achterlopen. Hierdoor kunnen datarampen toch plaatsvinden en kan er bij zo’n ramp ondanks gedegen back-up toch sprake zijn van dataverlies.
Bioscoop- en showbizgevaar
Surf dan ook niet naar onbetrouwbare sites, luidt een IT-boerenwijsheid. Let op: dit is achterhaalde wijsheid. Want malware is allang niet meer alleen actief op louche sites. Nee, cybercriminelen zijn net als de meeste gewone ondernemers: zij gaan naar waar de meeste mensen zitten. Dus zo kan het gebeuren dat je gewoon een bioscoopkaartje wilt kopen, of op de hoogte wilt zijn van het nieuwste showbiz-nieuws. En bam, je pc of smartphone is besmet met ransomware.
Het zinkende gevoel dat zich dan meester van je maakt, wordt nog verzwaard als je je verdiept in de wondere wereld van ransomware. Waar er in het verleden nog technische bevrijdingsopties waren voor gegijzelde gegevens, daar is de technologie nu dusdanig gevorderd dat er meestal geen ‘ontgijzeling’ mogelijk is. Tenminste, niet zonder de gijzelnemers te betalen, wat wij overigens afraden.
Geen garanties
Betalen faciliteert namelijk het verdienmodel van de cybercriminelen en – belangrijker – er zijn ook na betaling geen garanties. Dat heeft een Amerikaans ziekenhuis door schade en schande al ontdekt. De middels versleuteling ontoegankelijk gemaakte data van het Kansas Heart Hospital werd na betaling van losgeld niet geheel ontsleuteld. De daders eisten een tweede som geld. Gelukkig lijkt dit slachtoffer toch enigszins een plan te hebben tegen een aanval zoals deze, want een tweede betaling is niet gedaan.
De vraag is waarom de initiële losgeldbetaling dan wel nodig werd geacht. Misschien omdat een hersteloperatie nogal kostbaar zou zijn. Of omdat daarbij niet alle gegijzelde gegevens volledig hersteld kunnen worden. Feit is dat veel organisaties en gebruikers niet goed zijn voorbereid op ransomware-aanvallen.
Onbekend maakt onvoorbereid
Op zich is dit logisch omdat veel mensen niet goed op de hoogte zijn van dit actuele cybercrimefenomeen. Dit blijkt uit onderzoek dat wij onder meer dan 5000 consumenten in de VS en Canada hebben laten uitvoeren door onderzoeksbureau Opinion Matters. Zo weet een forse 43 procent van de ondervraagde mensen niet eens wat ransomware is. En een bescheiden 9 procent denkt dat het iets is met social media-accounts die tegen losgeld worden gegijzeld.
Naast onwetendheid over deze aanvalsvorm speelt er ook nog onbegrip over de impact ervan: bijna de helft (44 procent) van de ondervraagden weet niet wat voor data of informatie zoal gevaar loopt om gegijzeld te worden. Het gros van de gebruikers (84 procent) maakt zich dan ook niet of nauwelijks zorgen over ransomware. En dat terwijl ransomware snel stijgt in complexiteit en populariteit.
Onze GReAT-onderzoekers (Global Research and Analysis Team) hebben in de eerste drie maanden van dit jaar al dezelfde hoeveelheid ransomware-incidenten gezien die enkele jaren terug normaal zouden lijken voor een heel jaar. Gijzelingssoftware heeft gerichte aanvallen van de troon gestoten als populairste middel voor cybercriminelen.
Leven, dood en data
Overigens valt ransomware natuurlijk ook gericht in te zetten: op individuen en organisaties waar de grootste succeskans valt te behalen. Denk hierbij aan gewone gebruikers die in de praktijk weinig of niets doen aan back-up, laat staan offline back-up. Denk hierbij ook aan organisaties met kostbare data en een acute behoefte aan snelle, actuele toegang. Zoals bijvoorbeeld een ziekenhuis, dat letterlijk met leven en dood te maken heeft.
Niet letterlijk levensbedreigend is de impact die gegevensgijzeling kan hebben op een commerciële onderneming. Toch kan dit ook dramatisch zijn, want geslaagde gijzeling kan het voortbestaan van de organisatie bedreigen. Stel je voor dat de hele administratie op slot zit waardoor facturen niet uitgestuurd kunnen worden.
Stel je ook voor dat de gijzelnemers niet alleen hun versleutelingssoftware verbeteren, waar wij natuurlijk meegaan in dit kat-en-muis spel, maar tevens dat de cybercriminelen in hun verbeteringen fouten maken waardoor zij na betaling geen vrijlating kunnen geven. Voorkomen is en blijft beter dan genezen, voor ziektes en securityproblemen. Helaas gaapt hier nog een wijde kloof tussen de perceptie van ransomware en de realiteit van de snelle opkomst ervan. Laat ransomware je niet in je digitale hart raken!
Martijn van Lom, General Manager Benelux bij Kaspersky Lab
