Gijzelsoftware: 'Ga je zaken doen met een heler?'
13 november 2019, 19:00 • 6 minuten leestijd
Iedereen weet het wel, denken we: verdachte mailtjes niet openen en snel verwijderen. Toch gebeurt het vaak dat verdachte links onbedoeld aangeklikt worden en ongewenste indringers een weg vinden op netwerken om systemen op slot te zetten. In het ergste geval wordt een heel netwerk gegijzeld.
Ransomware (gijzelsoftware) wordt gedropt, nestelt zich ergens op een netwerk en activeert op een bepaald moment. Sommige soorten slaan direct toe en andere sluipen in stilte binnen om enige tijd later op jacht te gaan.
Versleuteld
Het hoeft niet per se via mails te gaan. Het kan bijvoorbeeld ook via niet bijgewerkte software binnenkomen of via onvoldoende beveiligde websites. Het resultaat is dat bestanden versleuteld worden en alleen via codes weer toegankelijk worden.
Bitcoins
Vaak zitten er criminele organisaties achter. Ze melden zich via de mail meestal op een hele vriendelijke manier. Het is de bedoeling om te betalen in bitcoins of met een andere cryptomunt. Als er niet betaald wordt, kan het gebeuren dat herinneringen verstuurd worden. Het te betalen losgeld (ransom) gaat dan omhoog. Op het darkweb verspijkeren criminelen vervolgens de geïnde bitcoins.
Erger leed
Het overkwam recent ook RTV Noord. Op enig moment klikte een medewerker een link in een mailtje aan. Er werd niet direct alarm geslagen, waardoor direct erger leed voorkomen had kunnen worden. Servers en schijven konden nu niet tijdig losgekoppeld worden, waardoor meer bestanden op slot gingen dan nodig.
Je bedrijfsvoering hangt aan een zijden draadje
Bedreiging wereldeconomie
Volgens informatiemanager Jacob van der Zwaag van RTV Noord is ransomware virusscanners vaak een slag voor.
'Het gaat om wereldwijde samenwerkingsverbanden die er verdienmodellen op ontwikkeld hebben. Er zijn steeds meer bedrijven die betalen om van het probleem af te zijn. Je voedt er criminele organisaties mee. Door te betalen worden ze groter en bedreigender voor de wereldeconomie. Je bedrijfsvoering hangt aan een zijden draadje.'
(Foto: ANP)
(Foto: ANP)
Ethisch dilemma
Bij Bossers & Cnossen in Groningen hebben ze gemiddeld eens per maand te maken met gijzeling van bestanden bij een klant. Directeur Jeroen Bos. 'Onze ervaring is dat vrijwel niemand toegeeft aan betalen. De back-ups zijn redelijk op orde. Als dit niet het geval is, krijg je te maken met een ethisch dilemma. Ga je zaken doen met een heler die als het ware spullen van je heeft of niet?'
Bos maakte tot nu toe één keer mee dat het dilemma actueel werd. 'Als je ervoor kiest om wel te betalen, krijg je over het algemeen een key terug om te decrypten. Het gaat tegenwoordig om professionele grote bedrijven met soms zelfs een helpdesk om je te helpen bij het decrypten als het te ingewikkeld is.'
Het is de snelst groeiende vorm van criminaliteit. De schade is momenteel wereldwijd 20 miljard dollar per jaar
Snelst groeiend
Het Groningse bedrijf Qbit Cyber Security is gespecialiseerd in informatiebeveiliging. Een belangrijk onderdeel is bedrijven helpen als ze getroffen worden door een ransomaanval. CEO Erik Rutkens schetst de omvang. 'Het is de snelst groeiende vorm van criminaliteit. De schade is momenteel wereldwijd 20 miljard dollar per jaar.'
De prijs wisselt per geval en varieert van 400 euro tot een bedrag tussen de 10.000 en 100.000 euro. Bos hierover. 'Slimme lockers kunnen op afstand zien hoeveel er beschadigd is. Op basis daarvan wordt dan de prijs bepaald.'
In Rusland niet strafbaar
Volgens Rutkens zijn het niet alleen criminelen die zich van deze vorm bedienen. 'Het gaat ook om activisten en landen. Veel komt uit Oost-Europa. Rusland bijvoorbeeld. Als je je eigen land niet aanvalt is het inzetten van ransomware daar niet strafbaar. Chinezen zijn op zoek naar intellectueel eigendom.'
Ransomwareschade helemaal voorkomen door van verdachte mailtjes af te blijven is een misvatting weet Rutkens. 'Via wifi kan het binnendringen, via een usb-stick die ergens anders vandaan komt of WhatsApp.'
WannaCry is een bekend voorbeeld. Een virus dat via een kwetsbaarheid in Windows toesloeg. Het is een manier waar een gebruiker niks aan kan doen. Ruim twee jaar geleden werden daardoor 230.000 computers in 150 landen tegelijk getroffen.
Back-ups verwijderen
'Een andere linke broeder is SamSam, bekend sinds 2018. Op afstand kijken criminelen eerst hoe ver ze kunnen doordringen in de systemen om zo meer schade aan te richten. Daarna verwijdert of saboteert SamSam in alle stilte de back-ups. Daarna worden de bestanden vergrendeld en gaat een bedrijf qua ict op slot.'
Ondertussen is er wel steeds meer bekend welke vormen van ransomware in omloop zijn. Er zijn via de site www.nomoreransom.org inmiddels 120 tools om besmette files te decrypten beschikbaar. Een kleine 100 ransomfamilies zijn daarmee aan te pakken. Er komen nog steeds nieuwe vormen bij, waardoor het lastig is om bij de bestrijding voorop te lopen.
Internet is van zichzelf niet heel veilig. Beveiliging is niet meegenomen in het oorspronkelijke ontwerp
Voorkomen onmogelijk
Het voorkomen van ict-criminaliteit is in de ogen van Rutkens onmogelijk. 'We kunnen het wel terugbrengen naar normale proporties. Internet is van zichzelf niet heel veilig. Beveiliging is niet meegenomen in het oorspronkelijke ontwerp.'
Ict-BHV
De vraag is hoe het opgelost wordt op het moment dat een bedrijf (deels) platgelegd wordt. Rutkens is heel stellig. 'Als je goede back-ups hebt dan zeker niet betalen.' Hij gaat nog verder. 'Je moet als ondernemer standaard een goede analyse hebben om te weten wat nodig is voor herstel van de schade. Noem het de ict-BHV. Velen hebben dat niet, maar ik adviseer echt om daar goed over na te denken.'
RTV Noord is niet tot betaling overgegaan, omdat de schade uiteindelijk beperkt bleef en de bedrijfsvoering niet in gevaar kwam. Van der Zwaag onderschrijft de mening van Rutkens dat de enige optie is om goede back-ups te hebben.
Netwerk monitoren
Ook zou ieder bedrijf een bedrijfscontinuïteitsplan moeten hebben waarin omschreven staat wat een onderneming minimaal nodig heeft voor bedrijfsvoering. 'Je zou ook moeten monitoren wat er op je netwerk aan verdachte dingen gebeurt. Dat zijn hele dure systemen, wat niet voor iedere mkb'er weggelegd is.'
Er ligt een primaire verantwoordelijkheid bij de gebruiker. Denk na voor je iets opent of ergens op klikt
Hoe lossen we dit probleem op?
Aan de ene kant gaat het om maatregelen door de overheid. Zo is het invoeren van de Algemene Verordening Gegevensbescherming (AVG) volgens Rutkens een goede maatregel geweest. Daarnaast is het deels een kostenverhaal. 'Als ik een product heel veilig wil maken dan kan dat, maar dan wordt het misschien wel tien keer zo duur. Het testen van toepassingen wordt nu nog te vaak achteraf gedaan.'
Bos onderkent twee sporen: 'Er ligt een primaire verantwoordelijkheid bij de gebruiker. Denk na voor je iets opent of ergens op klikt. Als je dan op een ransomwarelink klikt of opent, sla dan direct alarm om meer schade te voorkomen.'
Daarnaast kunnen technische aanpassingen aan de firewall gedaan worden. 'Door bijvoorbeeld de firewall te voorzien van een blocker om zodoende aan de hand van continue geüpdatete IP-adreslijsten computers te blokkeren die verdacht worden van ransomware verspreiding.'
Komen we er ooit vanaf?
Rutkens legt het in de basis buiten ict. 'Alles begint met mensen. Om de bewustwording te vergroten, moeten zaken als beveiliging en privacy meer deel uitmaken van onderwijsprogramma's. Ransomware is vooralsnog gemakkelijk op te schalen en de pakkans is klein.'
Bos is positief. 'Er komen steeds betere systemen die op basis van artificial intelligence veel beter en sneller kunnen denken en beslissen. De bewustwording bij de mens wordt steeds groter en hacking aan de goede kant van het web gaat meer bijdragen aan het voorkomen van gegijzelde bestanden.'
