Ransomware: wat is het en hoe bescherm je je organisatie ertegen?

Wat is ransomware?

In het kort is ransomware gijzelsoftware die door hackers, oftewel cybercriminelen, wordt ingezet om organisaties af te persen. Dat doen ze onder meer door toegang tot hele systemen of selecte bestanden te ontzeggen door alles te versleutelen of te dreigen met het openbaar maken van (gevoelige) gegevens die ze hebben buitgemaakt.

Welke types ransomware zijn er?

Het meest bekende type ransomware is degene waarbij een hacker bestanden versleutelt op de computer(s) binnen een organisatie. Zulke gijzelsoftware wordt meestal via een trojan op een computer gesmokkeld door het een phishingmail te sturen.

Eenmaal geïnstalleerd begint de ransomware op de achtergrond bestanden te versleutelen. Om alles te ontsleutelen moet je eerst een betaling doen, waarna de hacker deze sleutel geeft.

Andere soorten ransomware gebruiken geen encryptie maar zorgen ervoor dat je buitengesloten wordt van je systeem of smartphone. Ook is er ransomware die gevoelige bestanden van een systeem kopieert waarna hackers dreigen om deze openbaar te maken als je niet overgaat tot betalen.

Hoe kun je ransomware voorkomen?

Aangezien de meestvoorkomende ransomware aanval via phishingmails begint, is het mogelijk om veel ransomware te voorkomen door deze aanvalshoek af te dekken.

Waarom huidige oplossingen niet voldoen

Het probleem is dat een spamfilter of antivirusprogramma alleen niet meer voldoen. Een vastberaden hacker kan bijvoorbeeld eerst een e-mailaccount van een bekende buitmaken. Vervolgens kan met dat account een phishingmail met een link naar een trojan gestuurd worden naar medewerkers binnen een organisatie.

Zo wordt het spamfilter omzeild (want het komt van een bekend adres) en een antivirusprogramma ziet geen geïnfecteerde bijlage.

Blacklists, lijsten met domeinen en IP-adressen die automatisch worden geblokkeerd en meestal onderdeel van een spamfilter, helpen ook niet meer goed. Cybercriminelen stappen simpelweg over naar andere domeinen of IP-adressen.

CERTITUDE technologie

TNO heeft - samen met het Digital Trust Center en het SIDN Fonds - speciaal hiervoor nieuwe technologie ontwikkeld genaamd CERTITUDE. Dit komt bovenop bestaande systemen als een spamfilter en antivirusprogramma.

CERTITUDE checkt of een link veilig is of niet, bijvoorbeeld een link uit een email. Het analyseert met behulp van machine learning wanneer het domein is aangemaakt, waar en onder wiens naam het domein geregistreerd staat en kijkt naar de structuur van de link zelf. Is het bijvoorbeeld TNO.nl/ransomware of is het TNO.buzz/index/ransomware? Is het niet pluis? Dan wordt het automatisch gemarkeerd. En dankzij machine learning is het zelflerend zodat het de hackers zelf bij kan houden.

CERTITUDE in één oogopslag

Door de implementatie van CERTITUDE is het mogelijk om geavanceerde phishing mails tijdig te herkennen. Wil je meer weten over de technische details van CERTITUDE? Kijk dan op COSSAS / Certitude · GitLab. Wil je meer weten over het bestrijden van ransomware in organisaties, neem dan contact op met Dimitri Hehanussa.