Hoe gaat een ransomware aanval te werk?
04/03/2022 - 4 min readHoe is het mogelijk dat zoveel bedrijven slachtoffer worden van ransomware? Om dat goed te begrijpen, is het nodig inzicht te hebben in hoe gesofisticeerd een ransomware aanval in mekaar zit en welke fases deze doorloopt. Een aanval blijft immers vaak (te) lang onder de radar…totdat het te laat is. In dit artikel bespreken we de 5 fases van een ransomware aanval.
De 5 fases van een ransomware aanval
Voor wie een volledige versie van het verhaal wil, kunnen we zeker https://attack.mitre.org/ aanbevelen. Hierin onderscheiden we 14 fases in een ransomware aanval en (op moment van dit schrijven) 218 technieken (sub-technieken niet meegerekend) om toegang tot jouw data te krijgen.
In onderstaand artikel vatten we de essentie samen.
Fase 1: Verkening en initiële toegang
Tijdens de verkenningsfase probeert de hacker zoveel mogelijk te weten te komen over het slachtoffer en het netwerk. Dat gebeurt op basis van enerzijds openbare bronnen (bijvoorbeeld wie zou ik kunnen contacteren met een social engineering aanval of phishing e-mail), maar anderzijds ook bijvoorbeeld door te zoeken naar kwetsbaarheden in het netwerk. Er zijn 1001 mogelijke manieren waarop een hacker in je systemen kan geraken. Zo gauw de hacker de juiste opening heeft gevonden, zal hij zich (in alle stilte) toegang verschaffen tot je netwerk.
Fase 2: Persistence
Eens de initiële toegang een feit is, zorgt de hacker ervoor dat hij deze toegang kan blijven behouden. Hoe? Door achterpoortjes te installeren. Stel bijvoorbeeld dat de hacker in jouw netwerk kwam met gestolen of gelekte inloggegevens. Dan zal hij die toegang verliezen als het paswoord van deze inloggegevens aangepast wordt. Dat wil hij uiteraard vermijden.
Fase 3: Verwerven van hogere privileges
Om grote schade te kunnen aanrichten in je netwerk is toegang nodig tot een account met de nodige privileges. Bijvoorbeeld met het account van de IT-verantwoordelijke of zaakvoerder die meer toegangen hebben dan de gemiddelde gebruiker.
Fase 4: Data exfiltratie
In deze fase begint men data uit je netwerk te stelen. Zo heeft de hacker, naast het versleutelen van jouw data, nog een 2de stok achter de deur om je te chanteren. Hij kan immers jouw data publiekelijk maken als je weigert losgeld te betalen. Dat heet Leakware.
Fase 5: Impact
Jouw data worden geëncrypteerd. Het is pas in deze fase dat het heel tastbaar is dat je netwerk gehackt werd. Je krijgt een boodschap op het scherm dat je data gegijzeld worden en dat je losgeld moet betalen.
Hoe beschermen tegen ongeoorloofde toegang in het netwerk?
Laat het duidelijk zijn dat het de uitdaging is om ongewenste gasten in je netwerk zo snel mogelijk te ontdekken en terug uit jenetwerk te zetten voordat je data gestolen en geëncrypteerd worden.
Daarvoor moet je de hacker onderscheppen in één van de eerste 3 fases. Uit onderzoek van Sophos blijkt dat hackers gemiddeld 11 dagen in het netwerk zitten voor ze ontdekt worden.
Bescherm je e-mail
Een ransomware aanval start heel vaak met een phishing e-mail. Op deze manier probeert de hacker credentials te bemachtigen van een gebruiker (of nog beter van een administrator).
- Hackers proberen om de traditionele beveiliging van e-mail te omzeilen. Gebruik daarom een security oplossing die gebruik maakt van artificiële intelligentie (AI) zoals een EDR-oplossing. Deze beschermt je tegen phishing en account takeover doordat ze speuren naar verdachte gedragingen.
- Train je gebruikers aan de hand van een phishing test. Zo leren ze phising mails te herkennen en weten ze waarop ze moeten letten.
- E-mail aanvallen die door de mazen van de security glippen en toch in de inbox van gebruikers belanden, moeten snel opgekuist worden zodat het niet verder kan verspreiden. Kies voor een oplossing die actief naar bedreigingen speurt en deze automatisch opkuist.
Bescherm applicaties
Aanvallers hacken jouw webapplicaties om toegang te krijgen tot je gegevens.
- Bescherm web applicaties. Web applicaties hebben vaak kwetsbaarheden die misbruikt kunnen worden om toegang tot jouw data te krijgen. Gebruik een oplossing die daartegen kan beschermen.
- Bescherm ook toegang tot webapplicaties. Enkel geautoriseerde gebruikers en toestellen mogen toegang krijgen. En doe dit altijd door middel van two factor authenticatie.
- Voorkom laterale bewegingen in jouw netwerk. Als aanvallers toegang krijgen tot het netwerk, proberen ze vaak zijwaarts te bewegen om gegevensbronnen te vinden en te infecteren. Je hebt een netwerk firewall nodig die zowel je on-prem- als cloudnetwerken beschermt met geavanceerde beveiligingsservices.
Zorg voor een goed back-up beleid
Back-up is je laatste redmiddel als aanvallers er toch in geslaagd zijn om jouw data te encrypteren.
- Zorg voor een back-up van alle data, zowel on-prem als in de cloud (bijvoorbeeld back-up voor Office 365)
- Beveilig de toegang tot de back-ups. Aanvallers hebben het vaak gemunt op de back-ups om te beletten dat je je data herstelt. Encryptie, toegangscontrole en IP-blocking zijn hier superbelangrijk.
- Zorg voor een recovery plan. Als je wordt aangevallen, moet je de aanval snel kunnen afhandelen. Zo kan je je gegevens herstellen en moet je geen losgeld betalen. Denk niet alleen aan jouw technische reactie, maar ook aan je zakelijke reactie. Test je plan volledig voordat er een probleem is. Onderzoek achteraf kan nuttig zijn om kwetsbaarheden te vinden.
De technieken van de hackers worden met de dag slimmer. Zorg dus ook voor een slimme beveiliging.