De vijf fases van een ransomware-aanval
Een ransomware-aanval is onder te verdelen in vijf verschillende fases. Door te begrijpen wat er in elke fase gebeurt en de indicatoren van verdere verspreiding - de zogeheten Indicators of Compromise (IoC) – te herkennen, vergroot je de kans op succesvolle bescherming tegen – of in ieder geval verzachting van de impact van - een dergelijke aanval.
De tijdspanne waarin een ransomware-aanval zich afspeelt kan zeer kort zijn. Je hebt vaak maar een kwartier vanaf het moment van besmetting tot het ontvangen van de losgeldmelding.
Fase 1: exploitatie en infectie (00:00)
Om een aanval succesvol te laten zijn, moet het schadelijke ransomware-bestand uitgevoerd worden op een computer. Dit gebeurt vaak via een phishing-mail of een exploit kit. In het geval van de CryptoLocker-malware, wordt de Angler Exploit Kit vaak ingezet.
Fase 2: plaatsing en executie (00:05)
Tijdens deze fase vindt de installatie van de daadwerkelijke ransomware-uitvoerbestanden op het systeem van het slachtoffer plaats. Op het moment van uitvoer, worden ook persistente mechanismen geplaatst.
Fase 3: het verwijderen van de back-up (00:10)
Enkele seconden later richt de ransomware zich op de back-upbestanden en -mappen op het systeem van het slachtoffer. De software verwijdert ze om een herstel te voorkomen. Dit maakt ransomware uniek – andere schadelijke softwarevormen verwijderen geen back-upbestanden.
Fase 4: bestandsencryptie (02:00)
Als de back-ups eenmaal volledig zijn verwijderd, voert de malware een beveiligde sleuteluitwisseling uit met de command and control-server (C2), die de encryptiesleutels vaststelt van het lokale systeem.
Fase 5: gebruikersnotificatie en opruimen (15:00)
Nu de back-upbestanden zijn verwijderd en het ‘vuile’ encryptiewerk is gedaan, worden de losgeld- en betalingsvereisten gepresenteerd. Maar al te vaak krijgt het slachtoffer enkele dagen om te betalen. Gedurende die dagen neemt de hoeveelheid ransomware toe.
Uiteindelijk verwijdert de malware zichzelf van het systeem – net als de Mission Impossible-opnames die zichzelf vernietigen. Zo blijft er geen forensisch bewijs achter dat het slachtoffer zou kunnen helpen bij het beter beschermen tegen de malware.
Ransomware-aanvallen worden steeds populairder. Omdat deze aanvallen zo lucratief zijn voor de daders, is het zeker dat ze ook steeds gangbaarder, schadelijker en dus duurder worden om op te lossen.
Je organisatie succesvol beschermen tegen ransomware-aanvallen is grotendeels afhankelijk van hoe goed je bent voorbereid en welke tools je inzet om je systemen te monitoren. Zorg er dan ook voor dat je Security Intelligence- en Security Analytics-systemen van de meest recente generatie hebt. Deze kunnen verdachte of ongebruikelijke activiteiten detecteren, beantwoorden en neutraliseren. De systemen dienen verder in staat te zijn om alle verkeerstromen realtime te monitoren. Ze maken gebruik van functies als Behavioral Analytics en White- and Blacklisting als integraal functioneel onderdeel van een dergelijk ‘Next Generation’ SIEM-systeem. Alleen zo kun je snel en effectief weerstand bieden tegen cyberaanvallen die binnen een zeer kort tijdsbestek aanzienlijke schade aan kunnen richten.
Rob Pronk is Regional Director Northern Europe bij LogRhythm