Hoe gaat een ransomware aanval te werk?

Hoe is het mogelijk dat zoveel bedrijven slachtoffer worden van ransomware? Om dat goed te begrijpen, is het nodig inzicht te hebben in hoe gesofisticeerd een ransomware aanval in mekaar zit en welke fases deze doorloopt. Een aanval blijft immers vaak (te) lang onder de radar…totdat het te laat is. In dit artikel bespreken we de 5 fases van een ransomware aanval.

De 5 fases van een ransomware aanval

Voor wie een volledige versie van het verhaal wil, kunnen we zeker https://attack.mitre.org/ aanbevelen. Hierin onderscheiden we 14 fases in een ransomware aanval en (op moment van dit schrijven) 218 technieken (sub-technieken niet meegerekend) om toegang tot uw data te krijgen.

In onderstaand artikel vatten we de essentie samen.

Fase 1: Verkening en initiële toegang

Tijdens de verkenningsfase probeert de hacker zoveel mogelijk te weten te komen over het slachtoffer en het netwerk. Dat gebeurt op basis van enerzijds openbare bronnen (bijvoorbeeld wie zou ik kunnen contacteren met een social engineering aanval of phishing e-mail), maar anderzijds ook bijvoorbeeld door te zoeken naar kwetsbaarheden in het netwerk. Er zijn 1001 mogelijke manieren waarop een hacker in uw systemen kan geraken. Zo gauw de hacker de juiste “opening” heeft gevonden zal hij zich (in alle stilte) toegang verschaffen tot uw netwerk.

Fase 2: Persistence

Eens de initiële toegang een feit is, zorgt de hacker ervoor dat hij deze toegang kan blijven behouden. Hoe? Door achterpoortjes te installeren. Stel bijvoorbeeld dat de hacker in uw netwerk kwam met gestolen of gelekte inloggegevens. Dan zal hij die toegang verliezen als het paswoord van deze inloggegevens aangepast wordt. Dat wil hij uiteraard vermijden.

Fase 3: Verwerven van hogere privileges

Om grote schade te kunnen aanrichten in uw netwerk is toegang nodig tot een account met de nodige privileges. Bijvoorbeeld met het account van de IT-verantwoordelijke of zaakvoerder die meer toegangen hebben dan de gemiddelde gebruiker.

Fase 4: Data exfiltratie

In deze fase begint men data uit uw netwerk te stelen. Zo heeft de hacker, naast het versleutelen van uw data, nog een 2de stok achter de deur om u te chanteren. Hij kan immers uw data publiekelijk maken als u weigert losgeld te betalen. Dat heet Leakware.

Fase 5: Impact

Uw data worden geëncrypteerd. Het is pas in deze fase dat het heel tastbaar is dat uw netwerk gehackt werd. U krijgt een boodschap op het scherm dat uw data gegijzeld worden en dat u losgeld moet betalen.

Hoe beschermen tegen ongeoorloofde toegang in het netwerk?

Laat het duidelijk zijn dat het de uitdaging is om “ongewenste gasten” in uw netwerk zo snel mogelijk te ontdekken en terug uit uw netwerk te zetten voordat uw data gestolen en geëncrypteerd worden.

Daarvoor moet u de hacker onderscheppen in één van de eerste 3 fases.

Bescherm je e-mail

Een ransomware aanval start heel vaak met een phishing e-mail. Op deze manier probeert de hacker credentials te bemachtigen van een gebruiker (of nog beter van een administrator).

  • Hackers proberen om de traditionele beveiliging van e-mail te omzeilen. Gebruik daarom een security oplossing die gebruik maakt van artificiële intelligentie (AI) zoals een EDR-oplossing. Deze beschermt u tegen phishing en account takeover doordat ze speuren naar “verdachte gedragingen”.
  • Train uw gebruikers aan de hand van een phishing test. Zo leren ze phising mails herkennen en weten ze waarop ze moeten letten.
  • E-mail aanvallen die door de mazen van de security glippen en toch in de inbox van gebruikers belanden, moeten snel opgekuist worden zodat het niet verder kan verspreiden. Kies voor een oplossing die actief naar bedreigingen speurt en deze automatisch “opkuist.”

Bescherm applicaties

Aanvallers hacken uw webapplicaties om toegang te krijgen tot uw gegevens.

  • Bescherm web applicaties. Web applicaties hebben vaak kwetsbaarheden die misbruikt kunnen worden om toegang tot uw data te krijgen. Gebruik een oplossing die daartegen kan beschermen.
  • Bescherm ook toegang tot webapplicaties. Enkel geautoriseerde gebruikers en toestellen mogen toegang krijgen. En doe dit altijd door middel van two factor authenticatie.
  • Voorkom laterale bewegingen in uw netwerk. Als aanvallers toegang krijgen tot uw netwerk, proberen ze vaak zijwaarts te bewegen om gegevensbronnen te vinden en te infecteren. U hebt een netwerk firewall nodig die zowel uw on-prem- als cloudnetwerken beschermt met geavanceerde beveiligingsservices.

Zorg voor een goed back-up beleid

Back-up is uw laatste redmiddel als aanvallers er toch in geslaagd zijn om uw data te encrypteren.

  • Zorg voor een back-up van alle data, zowel on-prem als in de cloud (bijvoorbeeld back-up voor Office 365)
  • Beveilig de toegang tot de back-ups. Aanvallers hebben het vaak gemunt op de back-ups om u te beletten uw data te recoveren. Encryptie, toegangscontrole en IP-blocking zijn hier superbelangrijk.
  • Zorg voor een recovery plan. Als u wordt aangevallen, moet u de aanval snel kunnen afhandelen. Zo kan u uw gegevens herstellen en moet u geen losgeld betalen. Denk niet alleen aan uw technische reactie, maar ook aan uw zakelijke reactie. Test uw plan volledig voordat er een probleem is. Onderzoek achteraf kan nuttig zijn om kwetsbaarheden te vinden.

De technieken van de hackers worden met de dag slimmer. Zorg dus ook voor een slimme beveiliging.

Een vraag of interesse?

Praat over de mogelijkheden voor uw onderneming met één van onze experten. Informeer vrijblijvend voor een afspraak.

1 Step 1
keyboard_arrow_leftPrevious
Nextkeyboard_arrow_right
FormCraft - WordPress form builder
Scroll to Top