Leakware: ransomware met dat tikkeltje meer

Sinds eind 2019 duikt er steeds vaker leakware op. Deze aanvallen combineren een klassieke ransomware aanval met het lekken van bedrijfsdata. Een voorbeeld dat we al eerder bespraken op deze blog is Maze, al heeft deze groepering recent aangekondigd hun activiteiten stop te zetten. Maar geen nood, de opvolging is verzekerd. REvil, DoppelPaymer, Conti, NetWalker, Mespinoza, Nephilim, RagnarLocker,…. hanteren dezelfde strategie als Maze. De lijst is eindeloos.

In dit artikel schetsen we hoe deze hybride aanvallen van leakware / ransomware werken, hoe ze verschillen van klassieke ransomware-aanvallen en hoe u uzelf en uw bedrijf ertegen kunt beschermen.

Achtergrond: wat is ransomware?

Ransomware verspreidt zich meestal via e-mails die een spearfishing link bevatten of een bijlage die macro’s uitvoert. Het is de macro die de uiteindelijke malware gaat downloaden. Een klassieke ransomware aanval encrypteert de gegevens van het slachtoffer. En deze worden pas weer gedecrypteerd nadat het slachtoffer het losgeld (of ransom, vandaar ook de naam) heeft betaald aan de hacker.

Ransomware werd populair bij cybercriminelen met de opkomst van cryptovaluta’s (bijvoorbeeld Bitcoin). Hoewel ransomware bestond vóór cryptovaluta’s, werd de logistiek van de losgeldoverdracht sterk vereenvoudigd door cryptovaluta’s.

Het losgeld bedrag varieert sterk: van enkele honderden euro’s voor een computer tot enkele duizenden of miljoenen euro’s voor grote bedrijven.

Leakware / ransomware? What’s in a name?

Leakware gaat nog een stapje verder dan traditionele ransomware. Bij een hybride aanval met leakware ransomware steelt men de gegevens van het slachtoffer alvorens ze te encrypteren. Vervolgens vraagt men het slachtoffer om het losgeld te betalen. Om te bewijzen dat de criminelen de data daadwerkelijk kunnen decrypteren, krijgt het slachtoffer een “Trial Decryption”. Veel van de ransom sites bieden ook een support chat functie waar u met de criminelen kan onderhandelen over het losgeld en de deadline.

Als het slachtoffer weigert te betalen, dreigen de aanvallers om de gestolen gegevens openbaar te publiceren. In sommige gevallen contacteren ze zelfs zakenpartners en/of klanten van het slachtoffer om zo nog meer druk uit te oefenen. Gegevens van honderden bedrijven werden op deze manier al op het internet gepubliceerd.

Ook als het slachtoffer wél betaalt zit er nog een addertje onder het gras. Het slachtoffer is immers nooit zeker of de gelekte data ook werkelijk verwijderd worden. Ze hebben enkel een “belofte” van de criminelen. Maar wat is die belofte waard? Voor hetzelfde geld verkoopt de hacker de gestolen data later verder op het dark web.

Een back-up redt u niet van leakware

De nieuwe hybride aanvallen van leakware ransomware maken malware besmettingen gevaarlijker voor bedrijven dan ooit tevoren. Hoewel goede back-ups kunnen helpen tegen klassieke ransomware aanvallen, bieden ze geen enkele bescherming tegen het lekken van vertrouwelijke gegevens op het internet. De brede aankondiging van het datalek naar zakenpartners en klanten zal verdere schade en reputatieverlies veroorzaken bij de slachtoffers. Maar ook concurrenten krijgen onbeperkte toegang tot interne documenten, zoals contracten, prijzen, onderzoeks- en ontwikkelingsresultaten, enz.

Uw bedrijf beschermen tegen leakware

Over het algemeen is de enige bescherming tegen deze hybride aanvallen van leakware ransomware het investeren in effectieve IT-beveiliging en user awareness.

En dat is een uitdaging. Producten als Sophos Synchronized Security (met Intercept X), Microsoft Advanced Threat Protection (ATP),… zijn allemaal een onderdeel van de puzzel. Alsook het trainen en opleiden van gebruikers in het herkennen van malafide e-mails, sms’en, telefoons, etc.

Traditionele methoden om de risico’s van ransomware te verkleinen, zoals het maken van back-ups van alle gevoelige gegevens, werken in deze gevallen niet. Het beste wat u kunt doen om uw organisatie te beschermen tegen deze dreiging, is om te voorkomen dat deze kwaadaardige software uw netwerk binnendringt.

Uw bedrijf beschermen tegen leakware ransomware?

Accel staat u bij met security oplossingen alsook de awareness training van uw medewerkers.

1 Step 1
keyboard_arrow_leftPrevious
Nextkeyboard_arrow_right
Scroll to Top