WSO2 5 minuten

Ransomware-as-a-Service

Rob Blaauboer
Integration Consultant & WSO2 Trainer
Ransomeware-as-a-Service
Scroll

Afgelopen zomer werd het befaamde Garmin slachtoffer van een zogenaamde ransomware aanval door Evil Corp, een Russische groep hackers. De diensten van Garmin waren door de aanval dagenlang onbereikbaar. Dit soort aanvallen wordt steeds gemakkelijker om uit te voeren, want er bestaat tegenwoordig Ransomware-as-a-service, hoe gek dat ook klinkt.

Alles gaat in de richting van ‘as-a-service’

De ‘as-a-Service’-trend zal je wellicht niet ontgaan zijn. Wij bij Yenlo zitten daar volop in met ons Connext Go! voor Integration-as-a-Service en het Connext Platform (iPaaS). Hiermee kun je systemen zorgeloos integreren zonder na te hoeven denken over wat je moet installeren of hoe je de WSO2-stack moet gaan te onderhouden en updaten. Dat geeft jou de vrijheid om te focussen op wat echt waarde aan je organisatie toevoegt.

Door Ransomware-as-a-Service aan te schaffen, koopt men een ransomwaremodule op het dark web om organisaties en bedrijven mee af te persen. Partijen die zulke diensten aanbieden hebben zelfs een helpdesk waar alle mogelijke vragen gesteld kunnen worden. Geen echte helpdesk met telefoonnummer vermoed ik, maar waarschijnlijk online via berichten. De reden dat dit bestaat is eenvoudig: er is goud geld mee te verdienen!

Businessmodel

In tegenstelling tot bijvoorbeeld virussen is er hier daadwerkelijk sprake van een verdienmodel. Uiteraard zijn aanvallers bereid te betalen voor de hulp bij hun afpersingspraktijken, maar ook slachtoffers van aanvallen betalen gewillig.

De makers van deze diensten zijn uit op geld, vaak Bitcoins. Als jij, of jouw organisatie, slachtoffer wordt, kun je contact leggen met iemand die je kan helpen om alle bestanden weer vrij te krijgen, maar dat gaat uiteraard tegen betaling!

Het is belangrijk om te beseffen dat als een organisatie bereid is om te betalen er niet een al te hoge prijs gevraagd zal worden, omdat organisaties de kosten dan niet zouden kunnen dragen of goedkopere alternatieven vinden. Daarentegen zal de aangeboden hulp ook weer niet te goedkoop zijn, omdat een aanval natuurlijk wel wat moet opleveren. Voor aanvallers is het vinden van de juiste balans hier de sleutel.

Als het contact gelegd is, is het zaak dat de ontsleuteling goed werkt. Vaak wordt er één bestand aangeboden om aan te tonen dat de ontsleuteling functioneert. Het geldbedrag dat er mee gemoeid gaat hangt dan af van de financiële situatie en de grootte van de organisatie, maar ook van de urgentie die het heeft. Volgens software beveiliger Sophos “kost een ‘full-scale’ ransomware aanval gemiddeld een pijnlijke $755.991.”

Hoe werkt een aanval?

De eerste infectie kan bijvoorbeeld via e-mail binnenkomen. Wanneer iemand op een link klikt die met malware is geïnfecteerd, begint de infectie zich te verspreiden. Op dat moment worden er bestanden lokaal versleuteld, doordat er mogelijk powershells codes gedownload en uitgevoerd worden op de computer. De infectie krijgt toegang tot alle schijven en bestandsmappen die beschikbaar zijn en begint de daarin aanwezige bestanden te versleutelen. Meestal zit er aan een aanval een trigger gekoppeld die afgaat na het opstarten, zodat het proces na het herstarten van de computer doorzet. Overal waar de software bij kan, worden alle bestanden versleuteld en onbruikbaar.

Evil corp

De groep die de hack op Garmin opeiste heet Evil Corp. De naam spreekt hier voor zich. Iedereen en iedere organisatie kan ten prooi vallen aan deze groep. Zelfs universiteiten en ziekenhuizen zijn niet veilig, want zolang als het geëiste geld binnenkomt, geven ze nergens om. Dit toont aan dat werkelijk iedereen slachtoffer kan worden. Op dit moment zijn er vooral zorgen om aanvallen tegen ziekenhuizen en andere partijen die een rol spelen in de coronapandemie. Het vermoeden is dat hier gezien die omstandigheden en uitgeoefende druk snel betaald zal worden.

Waarom Garmin?

De prangende vraag is natuurlijk: Waarom Garmin? Het antwoord blijft giswerk. Over het algemeen is er bij ransomware echt maar één ding belangrijk: de betaling. Organisaties moeten bereid zijn geld neer te leggen, anders heeft het voor de hackers geen zin. Daarbij laat ik politieke motieven buiten beschouwing.

Wanneer ben je sneller geneigd te betalen? Bijvoorbeeld als jouw productieprocessen stilgelegd worden, je klanten of omzet verliest of (en dat is wel het ergste van alles) als jouw organisatie onderdeel is van de vitale infrastructuur.

Wat is eraan te doen?

Sophos, een aanbieder van beveiligingstools heeft een suite in zijn aanbod die dit soort praktijken op kan sporen. Deze tool is slechts een schakel in het geheel, want er is meer om in de gaten te houden. Bijvoorbeeld het veiligstellen van backups en het voorbereiden van plannen voor het geval je onverwacht toch slachtoffer wordt van een ransomware aanval.

Natuurlijk zul je backups moeten maken. Nee, niet één backup op één locatie, maar verschillende backups of meerdere locaties, waarvan er geen enkele bereikbaar is vanuit jouw netwerk. Deze backups dienen regelmatig gemaakt en gecontroleerd te worden. Bovendien moet je beveiliging standaard op orde zijn, waarbij je kunt denken aan gespecialiseerde software zoals Sophos intercept X Advanced die in staat is ransomware aanvallen op dezelfde manier tegenhoudt als dat virusscanners virussen buiten de deur houden.

Betalen is gevaarlijk

Betalen is uiteraard een optie, anders zouden dit soort aanvallen al uitgestorven zijn, waarbij ik politieke motieven even achterwege laat. Betalen is risicovol. Volgens Sophos wordt iedereen die betaald automatisch op een lijst geplaatst en is de kans aanzienlijk groter dat je op korte termijn opnieuw doelwit wordt van een ransomware aanval. 

Dus het idee is nooit te betalen, maar dan moet je stevig in je schoenen staan. Stel je voor dat je leiding geeft aan een ziekenhuis waar artsen niet langer hun patiëntgegevens kunnen inzien, zou je dan het losgeld betalen? De criminelen zijn hierbij moeilijk te pakken te krijgen, omdat zij buiten de landsgrenzen en ondere andere wetgevingen opereren.

Sleutels

Tot slot bestaat er ook een website met tal van mogelijke sleutels. Sommige oudere ransomware versleutelingen zijn al gekraakt en de sleutels zijn bijvoorbeeld op de Nederlandse website https://www.nomoreransom.org/ gepubliceerd. Het blijft altijd een spelletje tussen goed en kwaad, waar de strijders voor het goede steeds een paar stappen achter blijven lopen. 

Conclusie

De beste aanpak is om vooraf een plan te maken. Zorg ervoor dat je backups op orde zijn en kijk naar welke opsporingssoftware geschikt voor je is om infecties in de kiem te smoren. Veiligheid, in de breedste zin van het woord, is van levensbelang. Criminelen zoeken naar de makkelijkste manier om te binnen te komen, maar zijn ook doorlopend op zoek naar nieuwe manieren. Hoewel er tot op heden ‘nog’ geen aanvallen via API’s bekend zijn, kunnen we er niet op rekenen dat criminelen zwakheden in API’s niet ooit eens zullen gaan gebruiken om hun ransomware aanvallen uit te voeren. 

De nadruk ligt op ‘nog niet’. Zorg ervoor dat jouw API definition potdicht zit en dat je alle payloads valideert ten opzichte van zogenoemde schema’s om de kans op aanvallen te minimaliseren. Neem ook een kijkje naar ons webinar over de WSO2 API Manager en 42Crunch waar het specifiek over dit onderwerp gaat.

Net als met zoveel dingen in het leven bestaan er ook hier geen garanties dat jij nooit slachtoffer zult worden. 

Meer weten? Luister hier de BNR uitzending met Rob over Ransomware-as-a-Service.