Geen resultaten gevonden

Uw zoekopdracht heeft geen resultaten opgeleverd.

We raden u aan het volgende te proberen om te vinden wat u zoekt:

  • Controleer de spelling van het trefwoord in uw zoekopdracht.
  • Gebruik synoniemen voor het trefwoord dat u hebt getypt. Probeer bijvoorbeeld “applicatie” in plaats van “software”.
  • Start een nieuwe zoekopdracht.
Contact opnemen Aanmelden bij Oracle Cloud

Wat is ransomware?

Definitie van ransomware

Ransomware is een schadelijke payload die het beste kan worden omschreven als malware die de databestanden van gebruikers versleutelt, met als doel om deze later te ontsleutelen in ruil voor losgeld. Hierbij wordt meestal gevraagd om betaling in cryptovaluta.


De aanvaller kan meerdere aanvalsvectoren gebruiken en als er niet wordt betaald, kan dit onder andere de onderstaande gevolgen hebben:

  • Extractie en publicatie van data van het slachtoffer
  • Het onthullen van de zwakke plekken en operationele praktijken van het slachtoffer die tot de gijzeling hebben geleid
  • Versleuteling van data van het slachtoffer en permanente blokkering
  • Overname van beheersystemen en permanente uitschakeling van gecompromitteerde systemen

Kwaadwillenden zullen over het algemeen betaling eisen omdat hun acties IT-systemen in gevaar kunnen brengen en negatieve gevolgen kunnen hebben voor de normale activiteiten van hun slachtoffers. Hoewel malware een van de belangrijkste aanvalsmethoden is, zijn er ook verschillende ransomware-incidenten geweest zonder het gebruik van malware, bijvoorbeeld incidenten met cyberafpersing door het dreigen met een DoS-aanval (denial of service) of het platleggen van een website. Ook is Ransomware as a Service (RWaaS) in opkomst. Hierbij creëeren aanvallers een bedrijfsmodel om een gerichte aanval te doen tegen een individu of bedrijf als een service in ruil voor een vergoeding.

Zo werkt ransomware

Ransomware wordt vaak geleverd via phishing-e-mails of zogenaamde 'drive-by' downloads. Phishing-e-mails lijken legitiem en betrouwbaar en verleiden het slachtoffer om op een schadelijke link te klikken of een bijlage te openen. Een drive-by download is een programma dat automatisch wordt gedownload via internet zonder toestemming van de gebruiker en zonder dat hij of zij dit weet. Het is mogelijk dat de schadelijke code na het downloaden wordt uitgevoerd zonder interactie van de gebruiker. Nadat de schadelijke code is uitgevoerd, is de computer van de gebruiker geïnfecteerd met ransomware.

De ransomware identificeert vervolgens de stations op een geïnfecteerd systeem en begint de bestanden op elk station te versleutelen. De versleutelde bestanden krijgen doorgaans unieke extensie, zoals .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault of .petya. Zodra de versleuteling is voltooid, maakt en toont de ransomware een bestand of set bestanden met informatie en instructies over de voorwaarden van de ransomware-aanval. Wanneer het slachtoffer aan de voorwaarden van de ransomware heeft voldaan, biedt de aanvaller een cryptografische sleutel waarmee het slachtoffer de versleutelde bestanden kan ontgrendelen.

Hoe organisaties ransomware-aanvallen kunnen voorkomen

Veiligheidsmaatregelen en goede operationele werkwijzen kunnen organisaties helpen om ransomware-incidenten te voorkomen en financiële schade, uitvaltijd en verstoringen te beperken.

De eigen gebruikers van een organisatie hebben enkele zwakke punten. Organisaties zouden hun individuele gebruikers moeten voorlichten over veilig gebruik van e-mail en internet. Ook voorlichting over veilig gebruik van social media is belangrijk, zodat gebruikers zich ervan bewust zijn dat aanvallers publiek beschikbare informatie over hen kunnen gebruiken tegen de gebruiker zelf of anderen binnen de organisatie.

Om veilig werken te stimuleren, kunnen organisaties technische controles gebruiken voor de verschillende systemen die door aanvallers worden gebruikt om malware te verspreiden. Voorbeelden van technische controles zijn:

  • Implementeren van filterprogramma's en -technieken voor e-mail- en communicatieplatforms om levering van malware aan gebruikers te voorkomen
  • Implementeren van antimalwarescans, validatieservices voor links en sandboxing-technieken voor e-mailservers en internetgateways
  • Definiëren en afdwingen van beleidsregels voor het downloaden en gebruiken van externe en niet-vertrouwde code om installatie van schadelijke software of uitvoering van schadelijke scripts te voorkomen

Naast het gebruik van actuele producten voor eindpuntbeveiliging moeten organisaties IAM-systemen (Identity and Access Management) met zero-trust beveiliging implementeren. Met krachtige verificatie en toekenning van alleen strikt noodzakelijke rechten kunnen organisaties strikte controle houden over kritieke systemen en de opslag van gevoelige data.

Naast strenge toegangscontrole moeten organisaties beperkingen afdwingen voor samenwerkingstools, resources voor het delen van bestanden en andere veelgebruikte systemen. Organisaties kunnen indien gewenst aanvullende verificatie vereisen. Het elimineren van anonieme logins, generieke accounts en het gebruik van zwakke aanmeldingsgegevens, in combinatie met strikt beheer van accounts met bijzondere rechten zoals beheeraccounts voor besturingssystemen, is essentieel voor een sterke beveiliging.

Organisaties moeten uitgangswaarden voor beveiligingsconfiguratie definiëren en onderhouden en moeten systemen implementeren in overeenstemming met de richtlijnen voor beveiligingsconfiguratie. Omdat schadelijke payloads vaak gericht zijn op bekende kwetsbaarheden in software, is het belangrijk dat beveiligingspatches snel worden toegepast.

Een andere best practice voor herstel na een ransomware-aanval is het afzonderlijk opslaan van back-ups en opslag op een ander besturingssysteem, zodat ze niet toegankelijk zijn via het netwerk.

Wat u moet doen als uw organisatie het doelwit is van een ransomware-aanval

Zodra organisaties ransomware ontdekken, moeten ze proberen het verspreiden van de schadelijke payload te beperken door:

  • Het isoleren van de geïnfecteerde systemen en het verwijderen uit en uitschakelen van deze systemen in alle netwerken
  • Het tijdig aanpakken van alle zwakke plekken voor bestandsdeling en het offline nemen van niet-ondersteunde besturingssystemen
  • Het beoordelen van de vertrouwensketen tussen IT-systemen om het trapsgewijze effect van een malware-uitbraak te voorkomen
  • Het scheiden van netwerk en databases om malware-uitbraken te isoleren en de operationele impact van een aanval te beperken

Om de impact van een ransomware-aanval te beperken, moeten de herstelplannen van een organisatie een voorziening bevatten voor frequente en veilige back-ups met effectieve en geverifieerde herstelprocedures. Voordat systemen worden hersteld, moeten organisaties bepalen wanneer en hoe de initiële aanval heeft plaatsgevonden. Als organisaties niet zorgvuldig te werk gaan, zouden ze de infectie per ongeluk opnieuw kunnen introduceren tijdens het initiële herstel. Houd hier rekening mee en maak een kosten-batenanalyse voordat u bepaalt of u een systeem wilt herstellen naar een oudere, maar bekende veilige staat of naar een recentere, maar mogelijk geïnfecteerde staat om verstoring van de bedrijfsprocessen tot een minimum te beperken. Omdat bepaalde malware zich richt op back-upbestanden en -resources, moeten organisaties ook back-ups effectief controleren.