Support 
Hoe gaat een ransomware aanval te werk?
04/03/2022 - 4 min readHoe is het mogelijk dat zoveel bedrijven slachtoffer worden van ransomware? Om dat goed te begrijpen, is het nodig inzicht te hebben in hoe gesofisticeerd een ransomware aanval in mekaar zit en welke fases deze doorloopt. Een aanval blijft immers vaak (te) lang onder de radar…totdat het te laat is. In dit artikel bespreken we de 5 fases van een ransomware aanval.
De 5 fases van een ransomware aanval
Voor wie een volledige versie van het verhaal wil, kunnen we zeker https://attack.mitre.org/ aanbevelen. Hierin onderscheiden we 14 fases in een ransomware aanval en (op moment van dit schrijven) 218 technieken (sub-technieken niet meegerekend) om toegang tot uw data te krijgen.
In onderstaand artikel vatten we de essentie samen.
Fase 1: Verkening en initiële toegang
Tijdens de verkenningsfase probeert de hacker zoveel mogelijk te weten te komen over het slachtoffer en het netwerk. Dat gebeurt op basis van enerzijds openbare bronnen (bijvoorbeeld wie zou ik kunnen contacteren met een social engineering aanval of phishing e-mail), maar anderzijds ook bijvoorbeeld door te zoeken naar kwetsbaarheden in het netwerk. Er zijn 1001 mogelijke manieren waarop een hacker in uw systemen kan geraken. Zo gauw de hacker de juiste “opening” heeft gevonden zal hij zich (in alle stilte) toegang verschaffen tot uw netwerk.
Fase 2: Persistence
Eens de initiële toegang een feit is, zorgt de hacker ervoor dat hij deze toegang kan blijven behouden. Hoe? Door achterpoortjes te installeren. Stel bijvoorbeeld dat de hacker in uw netwerk kwam met gestolen of gelekte inloggegevens. Dan zal hij die toegang verliezen als het paswoord van deze inloggegevens aangepast wordt. Dat wil hij uiteraard vermijden.
Fase 3: Verwerven van hogere privileges
Om grote schade te kunnen aanrichten in uw netwerk is toegang nodig tot een account met de nodige privileges. Bijvoorbeeld met het account van de IT-verantwoordelijke of zaakvoerder die meer toegangen hebben dan de gemiddelde gebruiker.
Fase 4: Data exfiltratie
In deze fase begint men data uit uw netwerk te stelen. Zo heeft de hacker, naast het versleutelen van uw data, nog een 2de stok achter de deur om u te chanteren. Hij kan immers uw data publiekelijk maken als u weigert losgeld te betalen. Dat heet Leakware.
Fase 5: Impact
Uw data worden geëncrypteerd. Het is pas in deze fase dat het heel tastbaar is dat uw netwerk gehackt werd. U krijgt een boodschap op het scherm dat uw data gegijzeld worden en dat u losgeld moet betalen.
Hoe beschermen tegen ongeoorloofde toegang in het netwerk?
Laat het duidelijk zijn dat het de uitdaging is om “ongewenste gasten” in uw netwerk zo snel mogelijk te ontdekken en terug uit uw netwerk te zetten voordat uw data gestolen en geëncrypteerd worden.
Daarvoor moet u de hacker onderscheppen in één van de eerste 3 fases. Uit onderzoek van Sophos blijkt dat hackers gemiddeld al 11 dagen in het netwerk zitten voor ze ontdekt worden.
Bescherm je e-mail
Een ransomware aanval start heel vaak met een phishing e-mail. Op deze manier probeert de hacker credentials te bemachtigen van een gebruiker (of nog beter van een administrator).
- Hackers proberen om de traditionele beveiliging van e-mail te omzeilen. Gebruik daarom een security oplossing die gebruik maakt van artificiële intelligentie (AI) zoals een EDR-oplossing. Deze beschermt u tegen phishing en account takeover doordat ze speuren naar “verdachte gedragingen”.
- Train uw gebruikers aan de hand van een phishing test. Zo leren ze phising mails herkennen en weten ze waarop ze moeten letten.
- E-mail aanvallen die door de mazen van de security glippen en toch in de inbox van gebruikers belanden, moeten snel opgekuist worden zodat het niet verder kan verspreiden. Kies voor een oplossing die actief naar bedreigingen speurt en deze automatisch “opkuist.”
Bescherm applicaties
Aanvallers hacken uw webapplicaties om toegang te krijgen tot uw gegevens.
- Bescherm web applicaties. Web applicaties hebben vaak kwetsbaarheden die misbruikt kunnen worden om toegang tot uw data te krijgen. Gebruik een oplossing die daartegen kan beschermen.
- Bescherm ook toegang tot webapplicaties. Enkel geautoriseerde gebruikers en toestellen mogen toegang krijgen. En doe dit altijd door middel van two factor authenticatie.
- Voorkom laterale bewegingen in uw netwerk. Als aanvallers toegang krijgen tot uw netwerk, proberen ze vaak zijwaarts te bewegen om gegevensbronnen te vinden en te infecteren. U hebt een netwerk firewall nodig die zowel uw on-prem- als cloudnetwerken beschermt met geavanceerde beveiligingsservices.
Zorg voor een goed back-up beleid
Back-up is uw laatste redmiddel als aanvallers er toch in geslaagd zijn om uw data te encrypteren.
- Zorg voor een back-up van alle data, zowel on-prem als in de cloud (bijvoorbeeld back-up voor Office 365)
- Beveilig de toegang tot de back-ups. Aanvallers hebben het vaak gemunt op de back-ups om u te beletten uw data te recoveren. Encryptie, toegangscontrole en IP-blocking zijn hier superbelangrijk.
- Zorg voor een recovery plan. Als u wordt aangevallen, moet u de aanval snel kunnen afhandelen. Zo kan u uw gegevens herstellen en moet u geen losgeld betalen. Denk niet alleen aan uw technische reactie, maar ook aan uw zakelijke reactie. Test uw plan volledig voordat er een probleem is. Onderzoek achteraf kan nuttig zijn om kwetsbaarheden te vinden.
De technieken van de hackers worden met de dag slimmer. Zorg dus ook voor een slimme beveiliging.
