Banken vormen aantrekkelijke prooi voor ransomware

09 december 2019 Banken.nl

Van alle malware heeft ransomware potentieel de grootste impact op organisaties. Inmiddels heeft 53 procent van alle organisaties weleens te maken gehad met een ransomware-aanval. Steeds vaker zijn deze aanvallen gericht op bedrijven die een hoge waarde vertegenwoordigen, en financiële dienstverleners behoren tot de belangrijkste doelwitten. Wat kunnen banken doen tegen deze ‘vuile’ cyberaanvallen?

Ransomware laat zich een beetje lastig naar het Nederlands vertalen, maar het komt vrij vertaald neer op een computerprogramma dat computers van een afstand op slot zet tot er losgeld (ransom) betaald wordt. Het is feitelijk afpersing dan wel gijzeling. Waar het verspreiden van virussen vaak willekeurig gebeurt, wordt ransomware steeds gerichter. Particulieren kunnen het slachtoffer worden, bijvoorbeeld omdat ze via hun camera 'gesnapt' zijn in compromitterende situaties, maar onder de slachtoffers bevinden zich ook bedrijven. Bedrijven uit allerlei sectoren bovendien, waarvan de financiële sector hoog op het verlanglijstje van criminelen staat. 

De aanvallers gaan vernuftig te werk, zo blijkt uit een vertrouwelijk rapport van het Nationaal Cyber Security Centrum (NCSC) in handen van de NOS. Soms zitten ze al maanden binnen bij een organisatie, zonder ook maar sporen van een inbraak achter te laten. Als de ransomware eenmaal actief is, staan de slachtoffers machteloos. Enkele bedrijven zouden miljoenen euro’s losgeld hebben overgemaakt naar de criminelen.

High-value targets

Het is niet voor het eerst dat ransomware specifiek is gericht op ‘high-value targets’ die over de middelen beschikken om grote bedragen aan losgeld te betalen. Dit was ook een kenmerk van ransomware genaamdWannaCry, dat in 2017 maar liefst 200.000 systemen in 150 landen platlegde. Onder meer de Nederlandse parkeeraanbieder Q-Park werd getroffen. 

“Pas als het slachtoffer aan bepaalde voorwaarden voldoet, wordt de ransomware zelf geactiveerd”, legt Nick Deen van security-specialist Mimecast uit. “Dat gebeurt bijvoorbeeld als de organisatie groot genoeg is en het losgeld makkelijk kan betalen.” Soms betalen organisaties vervolgens ook daadwerkelijk, zoals een payroll-provider in de Amerikaanse staat Georgia en een stad in de Amerikaanse staat Florida. Tijdens de recente ransomwaregolf zouden ook Nederlandse bedrijven overstag zijn gegaan.

Financiële instellingen op 'hitlist'

Criminelen richten zich primair op organisaties die geld hebben én zich geen lange operationele verstoring kunnen permitteren. “Nutsbedrijven moeten bijvoorbeeld zo snel mogelijk weer door. Dat soort organisaties heeft weinig tijd om data terug te halen middels back-ups. Het betalen van losgeld lijkt daarom de snelste manier om een langdurige onderbreking te voorkomen.” Ook ziekenhuizen zijn een geliefd doelwit, maar dan om een andere reden: “Zij werken met medische gegevens waar strenge regels voor gelden”, licht Deen toe. “Als deze data verloren gaan, zijn deze instellingen in theorie nog veel meer geld kwijt aan boetes dan aan het betalen van losgeld.”

Financiële instellingen staan ook vaak op de ‘hitlist’ van cybercriminelen. Overal ter wereld verschijnen regelmatig berichten over lokale banken en financiële dienstverleners die met ransomware te maken krijgen. Ze hebben een schat aan waardevolle gegevens en kunnen zich geen verstoringen veroorloven. “Daar komt bij dat ze direct toegang hebben tot veel geld”, zegt Deen. “Voor kleinere banken en kredietunies geldt bovendien dat ze een klein budget hebben voor ICT-security.”

Trucs om binnen te komen

Malware wordt op allerlei manieren verspreid. E-mail wordt er echter verreweg het meest voor gebruikt. Volgens The State of Email Security Report 2019 van Mimecast zagen bedrijven het aantal ransomware-aanvallen via e-mail in 2018 met 26 procent stijgen ten opzichte van een jaar eerder. 53 procent van de organisaties heeft met ransomware te maken gehad, aldus het rapport.

Deen: “Voor criminelen is e-mail een flexibel in te zetten instrument. De ene campagne kunnen ze met hagel schieten door een standaardmail naar zoveel mogelijk bedrijven te sturen. Van de duizenden medewerkers die ze zo bereiken, is er altijd eentje die toehapt. Maar ze kunnen e-mail ook inzetten als een scalpel. Ze richten een bericht dan op een heel specifieke organisatie, of zelfs op een specifieke persoon binnen die organisatie.”

Een bekend voorbeeld is reacties op vacatures, waarbij de malware in het meegestuurde bestand (het 'cv') zit. 

Bekende voorbeelden zijn reacties op vacatures, waarbij de malware in het meegestuurde bestand (het ‘cv’) zit. “Het is een kleine moeite om de mail zo te verwoorden dat iemand het bestand opent”, weet Deen. “Sterker nog, het cv is het eerste document dat hr-managers bekijken als een sollicitatie binnenkomt. Dus als deze bijlage er authentiek genoeg uitziet, heeft de crimineel vaak beet.” 

Maar ook andere vormen van impersonatie blijken zeer effectief. “De aanvaller stuurt bijvoorbeeld uit naam van een medewerker een mail naar een hr-manager, met het verzoek om zijn salaris voortaan op een andere bankrekening te storten”, vertelt Deen. “Maar liefst 67 procent van alle organisaties zag in 2018 een toename van dit type impersonatieaanvallen.”

Wat te doen tegen ransomware?

Deen geeft enkele adviezen aan bedrijven die zich tegen ransomware willen wapenen.

1. Zorg voor effectieve e-mailbeveiliging. E-mail blijft het eenvoudigste instrument om ransomware in de infrastructuur van een bedrijf te laten nestelen. Het is natuurlijk het beste als medewerkers verdachte e-mails kunnen herkennen en ze dus niet openen. Software die verdachte bijlages opmerkt en waarschuwingen afgeeft, is voor velen een onmisbare hulp bij het herkennen van dit soort aanvallen.

2. Geef gebruikers de juiste bevoegdheden. Als een medewerker een ‘fout’ bestand toch uitvoert, zal de malware zich in de ICT-omgeving van het bedrijf proberen te nestelen. Niet alle gebruikers hoeven per se de mogelijkheid te hebben om programma’s te installeren. Wanneer een gebruiker deze rechten niet heeft en op een besmet bestand klikt, zal het systeem geen toestemming geven om een actie uit te voeren. Er zijn weinig situaties denkbaar waarbij een gebruiker in staat moet zijn om een uitvoerbaar bestand of JavaScript vanuit een mailbericht te openen. Zo’n actie kan worden geblokkeerd.

3. Patch regelmatig. WannaCry en andere ransomware als NotPetya hadden nooit zo wijd kunnen worden verspreid als beheerders alle beveiligingsupdates van Windows hadden doorgevoerd. Tussen de bekendmaking van EternalBlue en WannaCry zat een maand, en in die tijd hadden ICT-afdelingen voorzorgsmaatregelen kunnen nemen.

4. Maak regelmatig back-ups. Stel gegevens veilig in een back-up en bewaar deze op een afgesloten locatie waar eventuele ransomware niet bij kan. Het kost tijd en middelen om deze gegevens terug te zetten, maar dat is altijd beter dan alles kwijtraken. Voor veel slachtoffers zijn back-ups de redding geweest. 

Tot slot geeft Deen nog een algemeen advies: ga hoe dan ook nooit in op de eisen van de criminelen. Het is namelijk helemaal niet zeker dat ze je gegevens weer vrijgeven. “Als ze dat al doen, laten ze vaak een achterdeur open voor een nieuwe aanval en stelen ze nog gevoeliger gegevens.”