Mijn ransomware relaas: Hoe twee muisklikken bijna een bedrijf om zeep hielpen

Share this post:

De recentelijke, grootschalige ransomware aanval WannaCry2  wist tot maar liefst 99 landen door te dringen en maakte alom slachtoffers. In Groot-Brittanië werden enkele ziekenhuizen zelfs gehinderd bij hun ‘core business’ en moesten bijvoorbeeld operaties uitstellen. Dit toont maar weer eens aan hoe ingrijpend ransomware kan zijn, en dat niemand veilig is. Onze Ransomware Response Guide licht uitgebreid toe hoe je met een ransomware uitbraak omgaat.

Via één van mijn zakelijke relaties heb ik zelf ook een keer kennis mogen maken met ransomware. Luister, huiver en, vooral: leer..

Lente 2016, maandagmiddag 2 uur – mijn telefoon gaat. Een medewerker van een assurantiekantoor belt met de vraag wat bestanden zijn met de .locky extensie. Ze ziet alleen nog maar dat soort bestanden op de netwerkschijven. Ik roep gelijk: “pc uitzetten!”, want meteen rijst het vermoeden dat er malware op een van de computers staat. Daarna volgt een tweede telefoontje van de eigenaar met dezelfde mededeling. Alle bestanden blijken versleuteld te zijn door een locky crypto malware variant – ransomware dus. Zeven jaar aan bedrijfsgeschiedenis achter digitale slot en grendel; niet meer te openen en een vriendelijke mededeling op de desktop om 1.5 bitcoin, ongeveer €650, te betalen om de ontsleutelingscode te ontvangen via een geheime server op het TOR netwerk (een open netwerk voor anonieme communicatie).

Gelukkig is er een backup op een USB drive, dus bestanden terughalen zonder te betalen moet lukken, denk je dan. Helaas was deze crypto malware zo ingenieus om alle data op deze disk ook te versleutelen, en niet alleen de bestanden op de netwerkschijven.

Alles is versleuteld, wat nu?

Dus dan maar zoeken naar een hulpprogramma om de bestanden te ontsleutelen zonder te betalen. Na een lange speurtocht op internet bij diverse antivirus bedrijven begint de moedeloosheid in te treden. Geen succes. Moeten we dan toch gaan betalen, en zal dit leiden tot het ontvangen van de juiste sleutel om weer toegang te krijgen tot de bestanden?

Ja, is de conclusie. We kunnen niets anders dan betalen, en maar hopen dat de criminelen “eerlijk” zijn en de juiste sleutels verstrekken. Dat blijkt gelukkig zo: Na het betalen van de 1.5 bitcoin krijgen we een downloadlink naar een ontsleutelprogramma. Na het uitvoeren van het programma is alles weer terug. Wat een opluchting! Het assurantiekantoor kan de opgelopen achterstand gaan inhalen. Indien het programma niet gewerkt zou hebben, zou alle data onbruikbaar blijven, en aangezien het grootste deel van het papieren archief gedigitaliseerd is, zou dit een zeer groot probleem voor deze organisatie zijn geweest met mogelijk fatale gevolgen.

Hoe kan dit voorkomen worden?

Na alles te hebben ontsleuteld zijn we gaan uitzoeken hoe dit heeft kunnen gebeuren. De medewerkers worden door de IT beheerder regelmatig gewezen op de gevaren van digitaal communiceren, zoals het zomaar klikken op links en openen van documenten van onbekenden. En toch is er malware binnengedrongen die alle bestanden heeft versleuteld en onbruikbaar heeft gemaakt.

Na wat onderzoek in de email logs en navraag bij het slachtoffer leren we meer over de toedracht. Voordat hij het geïnfecteerde document opende, mailde de eigenaar toevallig met een Engelssprekende klant en wachtte vervolgens op een ingevuld document retour. Op dat moment kwam er een mail binnen met de boodschap “please find the attached document as promised”. Hij was even niet alert genoeg en opende het document zonder de afzender te verifiëren. Daarmee activeerde hij de malware en was het kwaad geschied. Binnen een paar minuten waren alle bestanden versleuteld.

Door een klein moment van onachtzaamheid was het bedrijf bijna ten einde gegaan. Zeven jaar hard werken met twee klikken vernietigd.

Wat kunnen we hieruit nu leren om ransomware besmettingen te helpen voorkomen of de schade ervan te beperken?

• Wees op je hoede bij elke email. Helaas zijn virusscanners en mailbescherming nog steeds niet in staat om alle malware te blokkeren.
• Verifieer altijd de afzender voordat je iets opent of ergens op klikt. Ook als je een mail of bestand verwacht. Onachtzaamheid kan grote gevolgen hebben.
• Schakel macro’s, een geliefd malware vehikel onder cybercriminelen, uit in alle Microsoft Office bestanden en Microsoft Outlook.
• Hou software up-to-date (en daarom veiliger) door altijd meteen de laatste security patches te installeren. Dit geldt vooral ook voor je anti-malware programma, maar bedenk dat desondanks nooit alles tegengehouden kan worden.
• Maak backups van je data en bewaar deze ook offline, op een plek die niet met het netwerk verbonden is. Test dit om zeker te zijn.

En als de ransomware desondanks heeft kunnen uitbreken:

• Kijk op de ‘no more ransomware’ website (nomoreransom.org), wellicht zit er een sleutel bij voor jouw geval.
• Verwijder alles van je PC, herinstalleer programma’s en haal je bestanden terug uit de ‘schone’ backup.
• Roep de hulp in van IT Security professionals. Ook zij kunnen misschien bestanden ontsleutelen.
• En als laatste toevlucht: betalen. Ook cybercriminelen zijn gebaat bij een goede reputatie; de kans is groot dat je je bestanden weer terug krijgt.