Kan Ransomware reeds versleutelde bestanden versleutelen?

Cyberincidenten met ransomware - een type malware dat wordt gebruikt om de bestanden van een organisatie te gijzelen - zijn het afgelopen jaar sterk toegenomen. Volgens het rapport State of Email Security van Mimecast werd in 2020 bijna tweederde van de organisaties (61%) getroffen door een ransomware-aanval. Een van de meest voorkomende ransomware-aanvallen bestaat uit het versleutelen van de bestanden van de organisatie, waardoor de gebruikers geen toegang meer hebben tot die bestanden. Het is een bedreiging, zelfs voor reeds versleutelde bestanden of gegevens, maar een die slimme organisaties kunnen werken om te minimaliseren en erop te reageren zonder de slechteriken te betalen.

Hoe kan Ransomware reeds versleutelde bestanden versleutelen?

Klantgegevens, financiële of patiëntendossiers, bedrijfsplannen en -strategieën, intellectueel eigendom - geen enkele organisatie wil dat haar meest gevoelige en waardevolle gegevens in verkeerde handen vallen. Daarom is gegevensversleuteling een best practice op het gebied van cyberbeveiliging voor organisaties over de hele wereld, of het nu gaat om de bescherming van het verlies of de blootstelling van waardevolle informatie die wordt gedeeld via e-mail of om de beveiliging van gegevens die reizen naar, terugkeren van of verblijven in in de cloud.

Versleuteling voorkomt echter niet dat ransomware misbruikt (hoewel het voordeel kan zijn dat gegevens niet kunnen worden gelezen en verder kunnen worden misbruikt door ransomware-aanvallers). Bestanden die uw organisatie al heeft versleuteld, kunnen net zo gemakkelijk (opnieuw) worden versleuteld door ransomware. Deze zogenaamde secundaire versleuteling kan zeer kostbaar blijken te zijn om ongedaan te maken voor degenen die niet begrijpen hoe dergelijke scenario's moeten worden voorkomen en hierop moet worden gereageerd.

Het is belangrijk om te begrijpen hoe ransomware werkt. Cybercriminelen krijgen toegang tot een netwerk - door gebruikers op een schadelijke e-mailbijlage of link te laten klikken en door gebruik te maken van gestolen referenties. Ze kunnen ook kwetsbaarheden in software of het netwerk misbruiken om binnen te dringen en de ransomware te installeren. In veel gevallen zal een crypto-algoritme dan aan de slag gaan om bestanden te versleutelen die de aangevallen organisatie waarschijnlijk vaak gebruikt. De daders van de ransomware-aanval zullen dan eisen dat de organisatie hen betaalt voor de code die nodig is om de bestanden te ontsleutelen. Het maakt niet uit of de gegevens in de bestanden al waren versleuteld. De slechteriken kunnen gemakkelijk hun eigen slot bovenop de encryptielaag van de organisatie installeren - en deze kwaadaardige code zou encryptie zijn waarvoor de beoogde organisatie geen decryptiesleutel heeft.

Soorten versleuteling

Er zijn twee soorten versleuteling waarvan deze ransomware-aanvallen gebruik kunnen maken om winst te maken: versleuteling van bestanden en versleuteling van apparatuur.

• Bestanden versleutelen. Deze ransomware-aanpak versleutelt bestanden op een computer of machine, waardoor ze onbruikbaar worden totdat ze onversleuteld zijn.
• Apparaatversleuteling. Bij deze aanpak wordt het volledige computeropslagsysteem van een apparaat versleuteld, waardoor alle bestanden ontoegankelijk worden zonder dat elk bestand afzonderlijk hoeft te worden versleuteld.

Ongeacht de gebruikte methode, wanneer ransomware wordt gebruikt om reeds versleutelde bestanden te versleutelen, kan de impact snel en ernstig zijn. Zodra ransomware apparaten of bestanden vergrendelt, worden de activiteiten van een organisatie verstoord, lopen gevoelige of bedrijfseigen gegevens gevaar en begint de schade aan ervaringen van klanten en merkreputatie op te lopen.[1]

Hoe kan ik versleutelde bestanden herstellen?

Er zijn een aantal fundamentele, maar noodzakelijke stappen die organisaties moeten nemen om zich te beschermen tegen ransomware-aanvallen. Deze omvatten het installeren van antivirussoftware en firewalls, het geven van beveiligingsbewustzijnstraining aan werknemers, en het onderhouden van software-updates en patches. Als het gaat om de dreiging van ransomware die reeds versleutelde bestanden versleutelt, bieden back-upoplossingen een zeer belangrijke alternatieve toegang tot de beschadigde gegevens. Stappen zijn onder meer het maken van een imageback-up (een enkel bestand van het besturingssysteem en alle bijbehorende gegevens) voordat de gegevens worden versleuteld en het regelmatig maken van back-ups (op locatie of in de cloud).

Net zo belangrijk als investeren in het vermijden van ransomware is begrijpen hoe het best kan worden gereageerd op ransomware die reeds versleutelde bestanden versleutelt. Een organisatie is slechts zo veilig als haar zwakste schakel - één gemiste software-update of succesvolle phishingpoging kan de deur openen naar een ransomware-infectie.

Cybercriminelen maken gebruik van de onwetendheid van een organisatie over de manier waarop bestanden van een ransomware-aanval kunnen worden hersteld. Het verrassingselement, in combinatie met de behoefte van de aangevallen organisatie aan toegang tot haar bestanden, leidt ertoe dat velen in paniek raken en slechte actoren gaan betalen om versleutelde bestanden van ransomware te herstellen.

Cyberbeveiligingsdeskundigen wijzen er echter op dat het betalen van losgeld geen garantie is dat de cybercriminelen de encryptiesleutel of -code zullen leveren die nodig is om de ontvoerde bestanden te ontgrendelen. Erger nog, het simpelweg betalen van het losgeld dat wordt gevraagd om bestanden van een ransomware-aanval te herstellen, garandeert niet dat de malware van het netwerk is verwijderd.

Wanneer u geconfronteerd wordt met een ransomware virus dat eerder versleutelde bestanden heeft versleuteld, zijn de eerste stappen:

• De getroffen computers of apparaten loskoppelen van het netwerk om verdere verspreiding van de ransomware naar andere machines te voorkomen.
• Contact opnemen met de juiste autoriteiten (waaronder het U.S. Cybersecurity and Infrastructure Security Agency en de FBI). Het delen van details over de aard van de aanval met de autoriteiten of herstelteams kan hen helpen de aard van de aanval beter te begrijpen en mogelijk een decryptiesleutel te lokaliseren.[2]

Dan is het belangrijk om beschikbare back-ups te vinden om bestanden te herstellen in plaats van te betalen voor een decryptiesleutel. (Het is mogelijk dat ook back-ups kunnen worden versleuteld door ransomware, dus organisaties kunnen zich het beste voorbereiden op herstel van ransomware door back-ups op een andere locatie te bewaren zonder verbinding met het bedrijfsnetwerk). Als er geen back-ups beschikbaar zijn, moeten organisaties beginnen met het ontsleutelen van de bestanden die door ransomware zijn versleuteld.

Er zijn een verscheidenheid aan tools en diensten beschikbaar om ransomware te helpen blokkeren, versleutelde bestanden te ontgrendelen, gegevens te herstellen en verdere verspreiding van de ransomware te voorkomen.

De kern van de zaak

Hoewel het waar is dat ransomware een aanzienlijke en zich ontwikkelende bedreiging voor organisaties blijft en dat zelfs versleutelde bestanden kwetsbaar zijn, zijn er best practices voor het voorkomen van, reageren op en uiteindelijk herstellen van bestanden van ransomware-aanvallen. Door te investeren in robuuste cyberbeveiligingstools en mogelijkheden voor informatie over bedreigingen, en door te begrijpen hoe moet worden gereageerd nadat bestanden zijn versleuteld door ransomware, kunnen organisaties de negatieve gevolgen voor hun activiteiten, werknemers, klanten en reputatie beperken.

[1] Veelgestelde vragen - Ransomware, Berkeley Information Security Office

[2] "U bent getroffen door Ransomware - Volgende stappen naar herstel," Forbes