Ransomware: het kan ons allemaal overkomen.

Posted on

Groot nieuws op maandag 17 januari 2020: het West-Vlaamse Picanol werd getroffen door een grootschalige ransomware-aanval. Een bedrijf met internationale naam en faam dagenlang in de greep van cyberterroristen, stoere titels in de media. Ongerustheid bij vrienden en kennissen. Hieronder een lijstje van de meest gestelde vragen (en mijn antwoorden).

Ransomware, wat is dat?
Ransomware is de verzamelnaam voor (kwaadaardige) software die tot doel heeft om gegevens te versleutelen zodat de eigenaar er geen toegang meer toe heeft.

Hoe werkt die ransomware?
Van zodra het programma (want dat is het dus, een programmaatje) op je computer actief is gaat het aan de slag. Het versleutelt bestandje per bestandje en doet dat in alle stilte zodat je het zo laat mogelijk opmerkt.

Hoe dat versleutelen werkt? Heel eenvoudig uitgelegd zal het programma in elk bestand elke A in een X vervangen, elke B in een V … Maar dit op zo’n complexe wijze dat geen mens op aarde dit proces kan terugdraaien tenzij … men je haarfijn uitlegt hoe dat moet.

Die uitleg (de sleutel) krijg je van de hacker enkel na het betalen van losgeld. Het losgeld moet meestal in bitcoins (niet te traceren digitale munt) betaald worden.

Is het iets nieuw?
Neen! Zelf hoorde ik voor het eerst over ‘ransomware’ in februari 2013, tijdens een lezing van Luc Beirens (toenmalig diensthoofd van de FCCU). Ik werd er voor het eerst zelf slachtoffer van in de zomer van 2018 toen al mijn servers volledig versleuteld werden tijdens mijn verlof.

Waar komt die ransomware vandaan?
Wanneer bedrijven als Picanol te maken krijgen met ransomware is dat bijna altijd het werk van goed georganiseerde criminele organisaties. De ransomware wordt ‘op maat’ gemaakt om hun bedrijf aan te vallen.

Om een idee te geven van de professionaliteit van dergelijke organisaties: ze hebben niet alleen goede IT’ers in dienst maar bieden soms telefonische ondersteuning aan aan de slachtoffers die niet weten hoe ze het losgeld kunnen overmaken.

De ransomware kan het bedrijf binnengebracht worden via een mailtje, via een gaatje in de beveiliging van pakweg een webserver, via een USB-stick …

Waarom Picanol?
Criminele organisaties zoeken slachtoffers waarvan ze vermoeden dat die (veel) losgeld kunnen betalen en daar mogelijks ook toe bereid zullen zijn. Grote bedrijven van wie de productie volledig stil valt bij het uitvallen van de computersystemen zullen dus de voorkeur genieten even als bedrijven die omgaan met erg vertrouwelijke data (denk aan ziekenhuizen).

Zelf blijf ik dus, als kleine particulier, buiten schot?
Neen. Criminele organisaties zullen wellicht geen tijd investeren in particulieren maar ransomware is vrij beschikbaar op het Internet.

Iedereen met een behoorlijke kennis van IT kan de ransomware gratis downloaden en aanpassen aan zijn ‘noden’. De modus operandi is dan vaak anders. Deze kleine criminelen gaan geen uren of dagen tijd investeren in één potentieel slachtoffer maar ineens 1000en mensen bestoken met hun ransomware. Dit in de hoop enkele honderden slachtoffers te maken waarvan er misschien enkele tientallen losgeld zullen willen betalen.

Hoe kan ik mezelf beschermen tegen ransomware?
Zorg ervoor dat je computersysteem steeds up-to-date is. Zorg er zeker voor dat Windows-updates zo snel mogelijk uitgevoerd worden. Gelukkig loopt dat bij de recentste versies van Windows 10 automatisch.

Zorg voor een goede virusscanner (zelf ben ik erg tevreden van BitDefender) en zorg ervoor dat ook die up-to-date is.

Let op met welke mails je opent, welke hyperlinks je aanklikt en welke USB-sticks je in je computer steekt. Ransomware komt het vaakst bij particulieren binnen via mail of een USB-stick.

Maar een 100% sluitende beveiliging bestaat niet, dat mocht ik aan de lijve ondervinden. Voor die situaties zijn goede back-ups van levensbelang. Investeer in één of meer degelijke externe harde schijven en maak regelmatig (minstens maandelijks) een volledige back-up van je persoonlijke bestanden. Het is ZEER belangrijk dat de back-ups niet bereikbaar zijn voor de ransomware, je moet de back-up dus fysiek loskoppelen van elk computersysteem. Bewaar de back-ups op een veilige plaats.

Word je ooit slachtoffer van ransomware, koppel dan je back-up-medium pas terug aan je computer als je 200% zeker bent dat je computersystemen clean zijn.

Kan losgeld betalen een oplossing zijn?
Voor de duidelijkheid, het gaat hier niet om de ethische kwestie of een criminele organisatie financieel steunen (want dat doe je dan sowieso) wel te verantwoorden is. Het gaat om de vraag of dit een oplossing kan zijn om op korte termijn je data terug te krijgen.

Opnieuw moeten we hier onderscheid maken tussen criminele organisaties en kleine criminelen die willekeurige slachtoffers maken.

Het klinkt gek maar criminele organisaties hebben er baat bij een goede service te kunnen leveren. Wanneer je als groot bedrijf hoort dat een ander bedrijf losgeld betaalde maar toch de sleutel niet kreeg, dan is de overweging om losgeld te betalen meteen weg. In ruil voor losgeld is de kans IN DIE SITUATIE groot dat je een werkende sleutel krijgt waarmee je je systemen kan herstellen.

Kleine criminelen zijn vaak een pak minder professioneel op elk vlak. Ze slagen er niet in om grote bedrijven te grazen te nemen en proberen dan maar 1000’en mensen aan te vallen in de hoop er enkele effectief tot losgeld betalen aan te zetten. Of ze dan nog weten welke sleutel bij welk slachtoffer hoort én of ze het risico nemen om contact met je op te nemen om de sleutel te bezorgen is ERG onzeker.