>>
02-oktober-2020, min leestijd

Ryuk-ransomware: hoe werkt het en hoe bescherm je jouw organisatie?

Door de vele voorvallen en toenemende media-aandacht is ransomware inmiddels een bekende term. Deze week werden door Ryuk-ransomware honderden zorginstellingen van de grote Amerikaanse keten Universal Health Services in de Verenigde Staten, Puerto Rico en het Verenigd Koninkrijk offline gehaald. Hoe gaan hackers nu te werk bij dit soort extreem geavanceerde en gerichte aanvallen? En hoe bescherm je jouw organisatie hiertegen?

Om te begrijpen wat er bij Ryuk gebeurde is het goed om eerst terug te kijken naar ransomware WannaCry. Hierbij vond infectie plaats via SMB, het protocol dat door Windows wordt gebruikt voor het delen van bestanden. Dit werkte als een worm: het kon zichzelf verspreiden door het interne netwerk en meer en meer computers infecteren. Hierdoor werden bedrijven die bepaalde security-patches nog niet geïnstalleerd hadden, al snel volledig geïnfecteerd. Hoewel dit misschien wel de bekendste aanval is, was het zeker niet de meest winstgevende voor de aanvallers. De betaal- en decryptie-functionaliteit in WannaCry werkte eigenlijk helemaal niet. De oorzaak hiervan is niet zeker. Mogelijk is de worm per ongeluk al verspreid voordat deze af was en moest een deel van de functionaliteit nog gebouwd worden. Een andere theorie is dat het helemaal niet het doel was te hieraan verdienen, maar dat de ransomware maximale schade probeerde aan te richten aan de getroffen bedrijven.

Hoe werkt Ryuk?

Nieuwere ransomware, zoals Ryuk, is op een aantal punten anders. Deze verspreidt zich vaak niet zelf, maar wordt handmatig door een hacker die al toegang heeft tot een netwerk verspreid en uitgevoerd. De eerste stap is vaak de infectie van een device van een medewerker, bijvoorbeeld via een gerichte phishing-mail. Door een e-mailbijlage te openen of door op een link te klikken krijgt de aanvaller toegang tot de machine van een medewerker. Vervolgens verkent de hacker handmatig het interne netwerk. Het doel hierbij is nog niet het infecteren, maar het verkrijgen van hogere rechten. Door kwetsbare systemen of zwakke wachtwoorden te misbruiken kan de aanvaller toegang krijgen tot andere systemen en accounts. Langzaam werkt een aanvaller daarmee toe naar de hoogste rechten. In Windows-netwerken probeert de aanvaller bijvoorbeeld toegang te krijgen tot een “Domain Admin”-account.

Als de hacker eenmaal binnen is...

Zodra de hacker deze rechten heeft wordt er op alle machines een proces gestart om alle backups te vernietigen. Van verschillende bekende backup-tools worden de bestanden stilletjes verwijderd en de backups uitgeschakeld. Dan pas wordt het echte versleutelen gestart. Bijna alle bestanden worden versleuteld, behalve bestanden die noodzakelijk zijn om de ransom-note nog te kunnen lezen. Vaak is het ook niet mogelijk de computer opnieuw op te starten zodra deze geïnfecteerd is, omdat de hiervoor benodigde bestanden zijn versleuteld. De hackers laten een bestand achter waarin uitgelegd wordt wat er gebeurd is, hoe er betaald moet worden en vaak wordt aangeboden om een paar bestanden als demonstratie te laten ontsleutelen. Zo toont de aanvaller aan dat ze echt in staat zijn om de bestanden te ontsleutelen, en dat het betalen van losgeld loont.

Losgeld

Het bedrag aan losgeld dat gevraagd wordt varieert. De hackers kunnen dit namelijk precies kiezen: ze willen zo veel mogelijk vragen, maar niet zo veel dat het bedrijf het onmogelijk kan betalen, of dat het herstellen zonder de data goedkoper is. Ze kunnen bovendien eerst onderzoeken welke gevoelige gegevens aanwezig zijn en de interne bedrijfsprocessen observeren om in te schatten hoe belangrijk die data is. Bedragen die publiekelijk bekend zijn lopen tot in de tonnen per infectie. De Universiteit Maastricht betaalde begin dit jaar bijvoorbeeld bijna twee ton aan losgeld om de systemen te bevrijden van ransomware. Het komt echter ook steeds vaker voor dat de hackers dreigen met publiciteit als de ransomware niet wordt betaald.

Bij oudere ransomware was het af en toe nog mogelijk om de bestanden te ontsleutelen zonder te betalen. Fouten in de encryptie- of betaalfunctionaliteit konden worden gebruikt om de bestanden toch te ontsleutelen. Huidige ransomware is echter zo geavanceerd dat dit zelden meer mogelijk is.

Wie zitten er achter ransomware-aanvallen?

De aanvallers zijn waarschijnlijk professionele organisaties. Veel aanvallen worden in verband gebracht met Rusland of Noord-Korea. De kans dat deze hackers opgespoord worden en gedwongen kunnen worden de bestanden gratis te ontsleutelen is daarom klein.

6 acties waarmee je je kunt wapenen tegen een ‘Ryuk aanval’ (of vergelijkbaar)

Op basis van de beschrijving van hoe Ryuk werkt, zijn er een aantal maatregelen die je kunt treffen om je tegen deze ransomware te wapenen. Zo kun je in ieder geval de volgende 6 acties ondernemen om een hack op zijn minst zo moeilijk mogelijk te maken:

1. Zorg voor security awareness

Hackers weten vaak binnen te komen door een phishing-aanval gericht op een medewerker. Het is lastig dit helemaal waterdicht te maken. Echter kun je wel zorgen voor betere security awareness onder de medewerkers waarmee de kans hierop aanzienlijk wordt verkleind.

2. Zorg dat je software up to date is

Toegang krijgen tot het gehele interne netwerk wordt een stuk makkelijker wanneer de aanvaller bekende kwetsbaarheden kan misbruiken. Dit bespaart de moeite om te zoeken naar nieuwe kwetsbaarheden of configuratiefouten. Er worden regelmatig kwetsbaarheden gevonden die het mogelijk maken vanaf het netwerk toegang te krijgen tot een computer of waarmee admin-accounts kunnen worden overgenomen. Wanneer de updates die deze kwetsbaarheden oplossen niet snel genoeg geïnstalleerd worden, kan een aanvaller deze makkelijk misbruiken.

3. Gebruik detectie-tooling

Hackers kunnen vaak ongestraft interne netwerken verkennen om zo hogere rechten te krijgen. Als een aanvaller in het netwerk al opgemerkt kan worden voordat de encryptie gestart is, kan de schade waarschijnlijk volledig worden voorkomen. Het inzetten van speciale detectie-tooling, ook wel bekend als ‘Intrusion Detection Systems’ kan hierbij helpen.

4. Pas netwerksegmentatie toe

Als je te maken hebt met grote netwerken is het een goed idee het netwerk op te delen in segmenten waartussen alleen de noodzakelijke communicatie mogelijk is. Zo maak je het voor aanvallers moeilijker om volledige toegang te krijgen tot je netwerk. Zo kun je een apart segment inrichten dat alleen gebruikt wordt door beheerders. Dit segment is dan afgeschermd van bijvoorbeeld het segment voor gewone gebruikersaccounts, en het segment waar de backups worden opgeslagen. Vergeet ook niet je segmentatie zodanig in te richten dat gebruikers van je gasten-wifi nergens bij kunnen.

5. Voer security-testen uit

Veel interne netwerken bevatten configuratiefouten of andere kwetsbaarheden waarmee het mogelijk is beheerrechten te krijgen. Bijvoorbeeld het veilig inrichten van de permissies binnen een Active Directory kan voor een groot bedrijf een enorme uitdaging zijn. Preventieve maatregelen zoals (periodieke) security-testen kunnen helpen om kwetsbaarheden te voorkomen.

6. Bewaar backups ook offline en op een andere locatie

De aanvallers proberen backups van gevoelige gegevens zo veel mogelijk te vernietigen of ook te versleutelen. Door ook altijd een aantal offline backups te hebben, of backups te bewaren op een externe locatie die vanuit het netwerk niet te bereiken is, kun je proberen deze toch terug te zetten zonder te betalen.

Als je het slachtoffer wordt van ransomware

Ondanks het nemen van maatregelen lijkt het er helaas op dat geen enkele organisatie onaantastbaar is en iedereen in bepaalde mate kwetsbaar is. Organisaties weren zich steeds beter, maar hackers worden ook steeds inventiever. Dit is exact de reden dat het Nationaal Cyber Security Centrum iedere organisatie stellig adviseert om ervoor te zorgen dat je in het geval van een hack adequaat kunt reageren. Dit doe je onder meer door crisisoefeningen een plek te geven binnen je organisatie. Zo ben je zo goed mogelijk voorbereid als hackers het op jouw bedrijf hebben gemunt.

Aanvullende cybersecurity-maatregelen

Wil jij weten hoe jullie organisatie zich het best kan wapenen tegen ransomware of andere cyberaanvallen? Voor iedere organisatie zijn andere aanvullende cybersecurity-maatregelen nodig. Deze maatregelen zijn onder meer afhankelijk van de risico's van jullie bedrijf en jullie zorgen. Neem contact op met onze ervaren en gecertificeerde security specialisten via info@computest.nl voor een advies op maat.