Ransomware is malware die slachtoffers buitensluit van hun systemen, hun bestanden versleutelt en zelfs dreigt hun gevoelige informatie te publiceren, tenzij ze losgeld betalen.
Bedrijven en organisaties met waardevolle gegevens zijn meestal het doelwit van ransomware-aanvallen. Dit komt omdat ze het zich niet kunnen veroorloven de gegevens te verliezen en het losgeld kunnen betalen.
Dreigingsactoren richten zich ook op individuen en iedereen die slachtoffer kan worden van een ransomware-aanval.
In dit artikel kom je te weten hoe apparaten besmet raken met ransomware, hoe ransomware zich verspreidt over een netwerk en welke praktijken er zijn om ransomware te voorkomen.
Laten we beginnen.
Voordat ransomware zich kan verspreiden over een netwerk, moet het eerst een eindpunt infecteren – meestal een onbeveiligd en kwetsbaar apparaat in een netwerk.
Hier zijn de gebruikelijke technieken die dreigingsactoren gebruiken om apparaten te infecteren met ransomware.
Phishing-aanvallen.
Deze techniek is verantwoordelijk voor een aanzienlijk percentage van cyberaanvallen die malware bevatten, zoals ransomware.
Dreigingsactoren richten zich meestal op hun slachtoffers en verleiden hen om ransomware op hun apparaten te downloaden. Dit gebeurt door het openen van kwaadaardige bijlagen of het klikken op phishing-links.
Drive-by downloads.
Drive-by downloads zijn ongeautoriseerde software downloads die plaatsvinden zonder dat een gebruiker het weet.
Soms kan een gebruiker de download uitvoeren zonder te weten dat de software malware bevat, zoals ransomware.
Drive-by downloads gebeuren wanneer men websites bezoekt die malware hosten.
Kwaadaardige advertenties.
Kwaadaardige advertenties zijn een middel om ransomware te verspreiden. Deze advertenties bevatten exploitkits die zoeken naar kwetsbaarheden in je systeem.
Wanneer een gebruiker op de advertentie klikt, maakt de exploitkit gebruik van een kwetsbaarheid en probeert ransomware te leveren of uit te voeren op het systeem van de gebruiker.
Gecompromitteerde software.
Gratis software, gekraakte premium software en softwarebundels zijn manieren die dreigingsactoren gebruiken om ransomware op apparaten te introduceren.
Daarnaast kunnen websites die gekraakte premium software hosten malware bevatten en worden gebruikt voor drive-by downloads.
Gekraakte premium software verhoogt ook het risico op ransomware-infectie omdat deze software niet in aanmerking komt voor updates en beveiligingspatches.
Gecompromitteerde opslagapparaten.
Dit is een directere manier om apparaten te infecteren met ransomware. Verwijderbare en draagbare opslagapparaten, zoals USB-sticks met ransomware, kunnen de apparaten waarmee ze verbonden zijn infecteren.
Nadat een eindpunt is geïnfecteerd, scant ransomware naar kwetsbaarheden om te misbruiken en voert het zijn payload uit op andere onderling verbonden apparaten en knooppunten.
Hier zijn verschillende manieren die uitleggen hoe ransomware zich verspreidt over een netwerk:
Zijwaartse beweging (Lateral movement).
Dit is een techniek voor netwerkverspreiding die ransomware gebruikt om andere apparaten op een netwerk te infecteren nadat een eindpunt is geïnfecteerd.
Dit is mogelijk als de ransomware zelfvoortplantingsmechanismen bevat die het in staat stellen om toegang te krijgen tot en andere verbonden netwerkapparaten te infecteren.
Remote Desktop Protocol (RDP).
Dit is een protocol dat wordt gebruikt voor externe desktopverbindingen over een netwerk. Het is bekend dat ransomware deze verbinding kan gebruiken om andere apparaten te infecteren.
Sommige ransomware-varianten gebruiken deze verbinding voor zijwaartse beweging op een netwerk. Afgezien van Windows kunnen ransomware ook andere machines infecteren die RDP gebruiken.
Zero-Day Kwetsbaarheden.
Dit zijn kwetsbaarheden die al bekend zijn, maar ze zijn nog niet gepatcht. Meestal ontdekken andere individuen de kwetsbaarheden voordat de ontwikkelaar dit doet, en daardoor heeft de ontwikkelaar weinig tijd om ze te patchen.
Ongepatchte kwetsbaarheden, vooral op netwerkapparaten, bieden dreigingsactoren een lucratieve kans om ransomware te verspreiden.
Dreigingsactoren kunnen de kwetsbaarheden misbruiken en ransomware uitvoeren op een netwerk zonder detectie.
Insider-aanvallen.
Dreigingsactoren zoals ontevreden of gecompromitteerde werknemers kunnen direct en onopgemerkt ransomware verspreiden over een netwerk.
In dit geval kunnen ze ransomware verspreiden op netwerkapparaten met behulp van een reeds geïnfecteerd opslagapparaat.
Bovendien, aangezien het werknemers zijn, omzeilen ze gemakkelijk de meeste beveiligingsprotocollen.
Gecompromitteerde Inloggegevens.
Dreigingsactoren gebruiken inloggegevens van het dark web of via phishing om toegang te krijgen tot systemen en andere netwerkapparaten. Ze zullen verschijnen als legitieme entiteiten in toegangscontroles.
Door toegang te krijgen tot een enkel systeem, kunnen dreigingsactoren de kwetsbaarheid van het systeem misbruiken voor privilege-escalatie en toegang krijgen tot kritieke systemen.
Met geëscaleerde privileges kunnen dreigingsactoren ransomware uitvoeren en het in een paar momenten over het hele netwerk verspreiden.
Hier zijn enkele van de beste beschermings- en preventiemaatregelen tegen ransomware:
Regelmatige gegevensback-ups.
Pas goede back-ups en strategieën voor rampenherstel toe. Maak bijvoorbeeld in plaats van snapshots regelmatig externe kopieën van het systeem en essentiële gegevens en bewaar ze los van het netwerk.
Met een fatsoenlijke back-up hoef je je geen zorgen te maken over losgeld, buitengesloten worden van je systeem of geen toegang hebben tot je gegevens. Zorg er natuurlijk wel voor dat de back-ups versleuteld zijn.
Gebruik de beste technologische methoden.
Deze methoden omvatten strategieën voor detectie en preventie. Ze bevatten een veelzijdige oplossing voor beveiliging tegen malware zoals ransomware.
Deze beste praktijken zorgen ervoor dat je een geautomatiseerd patchproces hebt voor regelmatige systeem- en software-updates, een uitgebreid detectiesysteem, e-mailbeveiliging, veilige toegangscontrolebeleid voor wachtwoorden, authenticatie en een zero-trust-model.
Stevige eindpuntbeveiliging.
Voordat het zich verspreidt naar andere apparaten op een netwerk, infecteert ransomware eerst een kwetsbaar eindpunt. Zorg ervoor dat dit niet gebeurt door alle eindpunten te beveiligen, inclusief mobiele apparaten.
Strategieën voor eindpuntbeveiliging omvatten het gebruik van premium antivirus/antimalware software, firewalls, detectie en respons van eindpunten en toegangsprivileges.
Netwerksegmentatie.
Het segmenteren van je netwerk beperkt de infectie, verspreiding en impact van ransomware in een netwerk. Bovendien is het eenvoudiger om met ransomware om te gaan op een gesegmenteerd netwerk.
Netwerksegmentatie maakt het eenvoudiger om je systemen te inventariseren, een oogje in het zeil te houden op cruciale systemen, risico’s te evalueren en effectieve controles toe te passen op verschillende segmenten.
Je kunt ook de beveiliging in netwerksegmenten versterken door het verkeer te monitoren op verdachte activiteiten en netwerkbeleid te implementeren.
Medewerkers opleiden over cyberbeveiligingsbewustzijn.
Organisaties en instellingen moeten medewerkers en personeel trainen en voorlichten over de beste beveiligingspraktijken met betrekking tot malware en ransomware.
Dit omvat phishing-simulaties, het herkennen van kwaadaardige e-mails, wachtwoordbeleid en technologiebeschermingspraktijken.
In essentie is het doel van de bewustzijnstraining om menselijke fouten te verminderen en medewerkers te informeren over hoe ze ransomware-scenario’s kunnen voorkomen en ermee omgaan.
Om ransomware effectief te bestrijden, moet je weten hoe het zich verspreidt en hoe je kunt herstellen van de infectie zonder losgeld te betalen.