Ransomware: Alleen anti-virus is onvoldoende
Ondanks dat bijna iedere organisatie een antivirus product gebruikt, zijn er veel bedrijven die slachtoffer worden van ransomware of cryptolockers.
De anatomie van een aanval
Als er gekeken wordt naar de bedreigingen van vandaag, dan is te zien dat alleen op antivirus en back-ups vertrouwen niet meer voldoende is. Technieken om de virusscanner om de tuin te leiden worden steeds geavanceerder, wat het moeilijk maakt om ransomware te stoppen. Om de werking van cryptolockers (cryptolockers en ransomware zijn hetzelfde) te begrijpen is het belangrijk om te weten uit welke componenten een cryptolocker bestaat: een kwetsbaarheid, een exploit en een payload.
De kwetsbaarheid
Ransomware maakt altijd gebruik van een kwetsbaarheid om binnen te komen. Hierin zijn er twee smaken: of een medewerker die klikt op een foute link, of een kwetsbaarheid in een computersysteem. Deze laatste categorie is het gevaarlijkst: zonder iets te doen kunnen criminelen een bedrijf volledig in gijzeling nemen.
Feit: de grootste ransomware aanvallen uit de geschiedenis maakten gebruik van kwetsbaarheden waar al lang een update voor beschikbaar was!
De exploit
Een exploit is een gedeelte van de software die een hacker plaatst om daadwerkelijk misbruik te maken van een lek. Het is een klein stukje computercode dat de computer en soms zelfs hele bedrijven over kan nemen.
De payload
Als de cybercriminelen eenmaal controle hebben over de computer is het tijd om de computer te vertellen wat deze moet doen. In het geval van ransomware is dat alle bestanden versleutelen en zich te verspreiden. Soms gebeurt dit ook uitgesteld, zodat de kwaadaardige code zich ook in de backups kan nestellen. Maar aangezien de hacker toegang heeft is deze toegang ook te gebruiken voor bijvoorbeeld bedrijfsspionage.
Hoe ransomware voorkomen?
Nu bekend is hoe een aanval te werk gaat, kan deze kennis gebruikt worden om een aanval te voorkomen. Dit wordt gedaan door de kwetsbaarheid weg te nemen. Dit is vaak zo simpel als de Windows Updates te installeren!
Kwetsbaarheden kunnen ook geïntroduceerd worden door andere problemen dan verouderde software, bijvoorbeeld door misconfiguratie van de software. Door het implementeren van vulnerability management software zoals NetCaptain voor ICT infrastructuur voorkomt slachtoffer worden van ransomware.