.



De vijf fases van een ransomware-aanval en wat er tegen te doen

75158423_thumbnail400400.jpg

In de afgelopen jaren is ransomware veranderd van een relatief beperkt risico tot een forse dreiging. Aanvallers zijn steeds slimmer geworden en kunnen hele organisaties platleggen door bestanden te versleutelen die pas tegen betaling weer beschikbaar komen.

De schade door ransomware loopt snel op: de verwachting is dat in 2021 de totale schade meer dan twintig miljard dollar zal zijn. Duidelijk is dat elke organisatie zich moet wapenen tegen ransomware. Dat begint met inzicht in de werking van deze kwaadaardige software. Daarin zijn vijf fases te onderscheiden.

  •  Fase 1. Exploitatie en infectie - Voor een succesvolle aanval moet een aanvaller een programma op een computersysteem uitvoeren. Meestal gebeurt dit door middel van een phishing-mail met een bijlage waarin de kwaadaardige software is opgeslagen.
  • Fase 2. Delivery en executie - Als de gebruiker op de kwaadaardige software heeft geklikt, wordt de feitelijke ransomware-executable op het system geplaatst en gaat deze aan de slag met het infecteren van de bestanden.
  • Fase 3. Het infecteren van de back-up - Al na enkele seconden gaat de malware op zoek naar back-ups om te voorkomen dat deze worden gebruikt om systemen te herstellen. Dit is uniek voor ransomware; andere crimeware of Advanced Persistent Threats laten de back-ups meestal ongemoeid.
  • Fase 4. Versleutelen van bestanden - Als de back-ups zijn verwijderd, zoekt de malware contact met de command and control-server van de hacker om de sleutel te genereren waarmee de bestanden op slot worden gedaan.
  • Fase 5. Melding aan gebruiker en cleanup - Nu de back-ups zijn verwijderd en de versleuteling een feit is, presenteert de hacker zijn eisen aan de gebruiker. Deze laatste krijgt een paar dagen de tijd om – meestal in bitcoin – te betalen. En net als in de Mission Impossible-films verwijdert de malware zichzelf, zodat er geen sporen achterblijven die zouden kunnen helpen bij de bestrijding.

Nu duidelijk is hoe een hacker te werk gaat, is de vraag hoe je je het best kunt wapenen. Ook hier zijn vijf fasen van toepassing.

Fase 1: Voorbereiding

Het aantal ransomware-aanvallen blijft stijgen. Je er goed op voorbereiden is dan ook cruciaal. De maatregelen die die daarbij horen zijn onder meer:

  • Consequent en strikt patchen. Veel malware maakt misbruik van bekende kwetsbaarheden. Met een actief patchbeleid zijn systemen het best bestand tegen aanvallers.
  • Back-up creëren en beschermen. Ransomware gaat vrijwel direct op zoek naar back-ups om ze onbruikbaar te maken. Zorg dus voor back-ups die niet toegankelijk zijn voor derden, bijvoorbeeld via offline storage, en test regelmatig of ze snel te herstellen zijn.
  • Een responseplan maken met de acties die medewerkers moeten nemen als er sprake is van een aanval. Met een plan weet iedereen wat er te doen staat om mogelijke escalatie te voorkomen.
  • Aan een omgeving werken met Least Privileges voor toegang tot systemen. Hoe scherper rechten zijn bepaald, hoe veiliger de systemen.
  • Het IT-team toegang geven tot betrouwbare bronnen in de sector die dreigingsinformatie beoordelen en delen.
  • Alle endpoints beschermen met software die infecties detecteert en voorkomt.
  • Voor awareness-training zorgen onder gebruikers, die altijd alert moeten zijn op mogelijk kwaadaardige software.

Fase 2: Detectie

Als er toch sprake is van een aanval, kan vroege detectie helpen de schade te beperken. Daarbij is de inzet van de MITRE ATT&CK Matrix aan te raden. Dit is een knowledge-base met informatie over meer dan 220 technieken uit de praktijk die helpen bij het bestrijden van aanvallen.

Verder zijn de volgende maatregelen te treffen in deze fase:

  • Alle e-mails screenen op kwaadaardige links of dubieuze bijlagen.
  • Regels gebruiken om executables te blokkeren. Dit gaat met name om de mappen %APPDATA% en de %TEMP%. Deze worden het meest gebruikt door aanvallers.
  • Op signalen letten dat bestanden worden versleuteld. Dat begint in de regel met het uitwisselen van een sleutel, wat te detecteren is.

Fase 3: Controleren en beheersen

Op het moment dat ransomware een feit is op systemen, is het zaak ervoor te zorgen dat er lokaal zo snel mogelijk maatregelen worden getroffen zodat de ransomware niet vrijuit het netwerk op kan. Dat betekent direct alle processen stopzetten en het betreffende eindpoint loskoppelen. Met de juiste eindpoint-protectie zijn verdachte processen overigens ook te stoppen. Dit is in de regel de beste manier om verspreiding tegen te gaan.

Fase 4: Verwijdering

Op het moment dat de controle terug is, moeten systemen schoongemaakt worden. Dan is de vraag: vervang je ze of maak je ze schoon? Bij schoonmaken is er altijd een kans dat er iets van de hacker achterblijft. Maar er kan ook reden zijn om bijvoorbeeld netwerklocaties zoals mailboxen or file shares goed te reinigen en dan opnieuw in gebruik te nemen.

Fase 5: Herstel

Herstellen van de systemen met een schone, geverifieerde back-up is de meeste effectieve manier om snel weer up en running te zijn. Kijk daarbij eerst goed naar de manier waarop de aanvaller is binnengekomen, zodat je de juiste stappen kunt nemen om herhaling te voorkomen.

Conclusie

Ransomware is en blijft gevaarlijk en elke organisatie moet daarom uiterst alert zijn. Maar met de juiste voorbereiding, aanpak en middelen is het goed mogelijk om de risico’s van aanvallen flink terug te dringen en data en systemen veilig en beschikbaar te houden.

 

Sander Bakker is werkzaam bij LogRhythm