Hoe ransomware te detecteren: begrijpen van tekenen van infectie

Met ransomware die steeds geavanceerder wordt, staan organisaties voortdurend bloot aan het risico van gegevensverlies en inbreuken. Volgens Statista hebben steeds meer organisaties elk jaar sinds 2018 te maken gehad met ransomware-aanvallen en het hoogtepunt werd bereikt in 2021 op 68,5% van de bedrijven. Bovendien was het aantal gedetecteerde ransomwarefamilies in 2020 34% groter dan dat in 2019 (tegen 127 families in 2020).

In deze blogpost definiëren we ransomware en belichten we de belangrijkste infectiekanalen en detectietechnieken voor ransomware. Ook bespreken we de oplossingen om ransomware te identificeren, verdere infectie te voorkomen en de veerkracht van uw gegevens tegen ransomware te vergroten.

Wat Is Ransomware?

Ransomware is schadelijke software die wordt gebruikt om in persoonlijke/zakelijke IT-omgevingen in te breken en gegevens te versleutelen of te vergrendelen. Het doel van ransomware-aanvallen is om losgeld te eisen van slachtoffers in ruil voor het herstellen van hun toegang tot de versleutelde/vergrendelde gegevens.

Hoe Systemen Geïnfecteerd Raken met Ransomware: 5 Infectievectoren

Om te voorkomen dat de IT-systemen van uw organisatie besmet raken met ransomware, moet u op de hoogte zijn van de meest voorkomende manieren waarop malware zich verspreidt. Op deze manier kunt u leren welke systeemonderdelen meer blootgesteld en kwetsbaar zijn voor ransomware-aanvallen en hoe u ransomware-activiteiten in uw infrastructuur snel kunt detecteren.

De manieren waarop uw organisatie slachtoffer kan worden van ransomware zijn talrijk. Hier zijn echter de meest voorkomende malware-infectiekanalen:

• Verdachte e-mailberichten die de ontvanger aansporen om op een link te klikken of een bijlage te downloaden die malware bevat.
• Kwaadaardige websites die zijn ontworpen om mensen te misleiden door hun pagina’s te bekijken en uiteindelijk geïnfecteerd te raken met ransomware door op kwaadaardige hyperlinks te klikken.
• Sociale media worden vaak gezien als betrouwbare en legitieme platforms, waardoor individuen ze onmiddellijk vertrouwen. Over het algemeen wordt malware verspreid via kwaadaardige applicaties, advertenties, plug-ins en links op sociale mediaplatforms. Die apps, advertenties, links en browserbijlagen overtuigen vervolgens gebruikers om kwaadaardige inhoud te downloaden, zoals ransomware of cryptomining-agents.
• Malvertising is een vorm van online adverteren met kwaadaardige code. U klikt op de link op een ogenschijnlijk legitieme website, en uw computer kan automatisch geïnfecteerd raken met malware.
• Mobile ransomware uitgevoerd via mobiele apps die zijn geïnjecteerd met kwaadaardige code. Door dergelijke apps te downloaden, kunt u malware uw mobiele telefoon binnen enkele seconden laten infecteren, en vervolgens de infectie naar uw computer verspreiden de volgende keer dat u de twee apparaten verbindt.

Technieken voor het detecteren van ransomware

Om ransomware te detecteren die probeert binnen te dringen of al uw IT-omgeving verstoort, kunt u een set tools en technieken gebruiken die helpen bij het onthullen van kwaadaardige bestanden en verdachte activiteiten. IT-specialisten onderscheiden de volgende typen detectietechnieken:

• Gebaseerd op handtekeningen
• Gedragsgebaseerde
• Bedrog

Hieronder bespreken we elke detectietechniek voor ransomware in detail.

Detectie op basis van handtekeningen

Gebaseerd op handtekeningen methoden vergelijken een steekproefhash van een ransomware-variant met eerder gevonden handtekeningen. Dit is een veelvoorkomende techniek als eerste stap voor antivirusoplossingen en beveiligingsplatforms. Deze controleren de gegevensfragmenten die zijn verpakt in een uitvoerbaar bestand voordat dat bestand wordt gelanceerd. De techniek omvat het vroegtijdig detecteren van ransomware-achtige codefragmenten en het blokkeren van de uitvoering van de geïnfecteerde code.

De methode wordt gebruikt om de basisverdediging van een organisatie op te bouwen. Hoewel ze bekende ransomware-varianten effectief detecteren, kunnen op handtekeningen gebaseerde methoden falen bij nieuwe malware. Bovendien investeren hackers veel moeite om hun malware en beveiligingsneutralisatietools bij te werken, waardoor het detecteren van handtekeningen uitdagender wordt.

Er zijn momenteel meerdere leveranciers van malware-detectiesoftware die met elkaar concurreren op de markt. Elk van hen biedt een kenmerkende reeks ransomwaredetectietools die tot op zekere hoogte effectief kunnen zijn. Volgens het rapport van Sophos was echter meer dan 50% van de ransomware-aanvallen in 2021 succesvol, wat betekent dat geen enkel malware-detectiesysteem ransomware met een garantie van 100% kan onthullen.

Gedragsgebaseerde detectie

Gedragsgebaseerde ransomwaredetectiemethoden vergelijken historisch bekende gedragingen met nieuwe. Specialisten en automatische tools monitoren de activiteiten van gebruikers en applicaties binnen de omgeving om ongebruikelijke veranderingen in bestandssystemen, ongebruikelijk verkeer, onbekende processen en API-oproepen, onder andere te detecteren.

Controleer en onthoud de gebruikelijke gedragsmatige tekenen van pogingen tot ransomwareaanvallen of succesvolle systeeminfectie:

• Spam- en phishing-e-mails: Phishing is de meest voorkomende benadering die hackers gebruiken om ransomware te verspreiden.
• Prestatievermindering: Als uw IT-infrastructuurknooppunten langzamer functioneren dan verwacht, zorg er dan voor dat u reageert op een mogelijke ransomware-inbraak.
• Voortdurende verdachte inlogactiviteiten: Als mislukte inlogpogingen regelmatig plaatsvinden en op verschillende accounts vanaf ongebruikelijke locaties en apparaten, is het zeer waarschijnlijk dat iemand probeert ongeautoriseerde toegang te krijgen tot de IT-systemen van uw organisatie.
• Ongewenste netwerkscanners gedetecteerd: Als u niet weet wie het netwerkscanproces heeft geïnitieerd en met welk doel, moet u dit onderzoeken, aangezien het kwaadaardige activiteit kan zijn.
• Mogelijke testaanvallen: Hackers kunnen een paar lichte aanvallen initiëren op enkele knooppunten om de veerkracht van het beschermingssysteem van uw organisatie en de reactietijd te controleren voordat ze een grootschalige aanval lanceren.
• Uitschakeling of verwijdering van beveiligingssoftware: Geen van de verstoringen van het beschermingssysteem mag worden genegeerd, omdat zelfs een kortdurende storing een open poort betekent voor een ransomware-infectie.
• Data-encryptie op sommige knooppunten: Succesvolle gegevensencryptie op een knooppunt in uw systeem geeft een inbreuk op uw IT-beveiliging aan die hackers kunnen gebruiken bij een ernstigere aanval.
• Gedetecteerde bekende hacktools: Als u dergelijke apps als Microsoft Process Explorer, MimiKatz, IOBit Uninstaller en PC Hunter in de omgeving van uw organisatie opmerkt, moet u een volledige beveiligingscontrole van elk knooppunt uitvoeren.
• Ongebruikelijke activiteit rond Active Directory: Er is een bekend geval van hackers die het Remote Desktop Protocol (RDP) gebruiken om de beschermde AD-servers van olie- en gasfaciliteiten te bereiken en direct Ryuk-ransomware in het AD-aanmeldingsscript te injecteren.
• Pogingen tot corruptie van back-ups: Back-upopslagplatforms behoren tot de prioritaire doelwitten voor cyberaanvallen. Elke verdachte activiteit rond back-upopslag, of het nu op fysieke schijven is of in de cloud, kan een teken zijn van een mogelijke of lopende ransomware-aanval.

Op bedrog gebaseerde detectie

Net zoals hackers regelmatig proberen om de digitale dreigingsdetectiesystemen van een organisatie te misleiden, hebben IT-beveiligingsspecialisten manieren bedacht om slechte actoren te lokken. Een van de meest voorkomende lokmiddelen staat bekend als een honeypot: een server of gebied in de IT-omgeving van een organisatie met gegevens die waardevol lijken voor hackers. Deze omgeving is echter volledig geïsoleerd van de site en kan worden gebruikt om aanvallers te monitoren en analyseren.

Evoluerende bedreigingen zorgen ervoor dat bedrijven elke beschikbare beveiligingsoptie gebruiken om inbreuken en gegevensverlies te voorkomen, waardoor het combineren van ransomwaredetectiemethoden een gangbare praktijk is. Bovendien is een goede strategie om ransomware-aanvallen te detecteren en proactief te bestrijden het begrijpen van de tactieken van aanvallers en het voorkomen van infiltratie. Hieronder volgen enkele aanbevelingen om aanvallen te identificeren en te voorkomen.

Hoe een aanval te identificeren en te voorkomen

We raden aan de volgende praktijken te hanteren om ransomware-aanvallen te voorkomen. We hebben ook tips toegevoegd om het risico op gegevensverlies te verkleinen als ransomware de omgeving van de organisatie infiltreert.

• Moedig werknemers aan om:
  • De meest voorkomende tekenen van ransomware en andere malware te leren
  • Sterke wachtwoorden te gebruiken en deze regelmatig bij te werken
  • De links en bestandsbijlagen te controleren voordat ze erop klikken
  • Te begrijpen hoe phishing werkt en e-mailadressen van inkomende berichten te controleren

• Update je systeem regelmatig

Je moet je besturingssysteem en essentiële toepassingen up-to-date houden en patches aanbrengen. Installeer updates zodra ze worden uitgebracht. Systeemupdates en beveiligingspatches zijn meestal bedoeld om problemen van eerdere releases op te lossen en bekende kwetsbaarheden van je systeem te dekken.

• Controleer software van derden

Voordat je software van derden installeert, controleer eerst of de softwareleverancier authentiek en betrouwbaar is. Daarvoor kun je whitelistingsoftware installeren (bijvoorbeeld Bit9, Velox, McAfee, Lumension), die kan bepalen of een nieuwe applicatie veilig genoeg is om te installeren en uit te voeren in je systeem.

• Scan je infrastructuur regelmatig

Installeer en gebruik anti-malwaresoftware die je op de hoogte stelt van eventuele bedreigingen, identificeert potentiële kwetsbaarheden en detecteert ransomware-activiteiten in je infrastructuur. Moderne anti-ransomwaresoftware stelt je in staat om je hele systeem te scannen op bestaande virussen en actieve malware-bedreigingen. Bovendien kunnen dergelijke computerscans op aanvraag of volgens een schema die je zelf instelt, worden uitgevoerd, waardoor de management-inbreng op je part minimaliseert.

• Maak honeypots aan

A honeypot is one of the most effective security measures that can be used to confuse cybercriminals and take their attention away from critical files. By setting up a honeypot, you create a fake file repository or a server that looks like a legitimate target to an outsider and appears especially enticing to ransomware attackers. This way, you can not only protect your files and rapidly detect a ransomware attack, but also learn how cybercriminals operate. Then, use that data and experience to improve the protection of your system against future cyberattacks.

• Beperk toegang tot essentiële systemen en toepassingen

Wanneer u werknemers machtigingen verleent voor systemen, pas dan het principe van de minste rechten toe. Het principe houdt in dat een werknemer alleen toegang krijgt tot die bestanden en systeembronnen die nodig zijn om hun werk efficiënt uit te voeren. Elke actie of toegang die niet nodig is voor een werknemer om zijn taken uit te voeren, moet door de beheerder worden verboden om onbedoelde infecties te voorkomen.

• Gegevensbescherming en het testen van back-ups

Maak regelmatig back-ups van gegevens en werk deze bij. Gebruik de 3-2-1-regel om de bescherming te verbeteren en ervoor te zorgen dat gecodeerde gegevens succesvol kunnen worden hersteld na een ransomware-aanval. De regel bepaalt dat u 3 kopieën van uw gegevens moet hebben en dat u ze op 2 verschillende media moet opslaan, waarvan er 1 extern moet worden opgeslagen. Voer na het maken van back-ups tests uit om te controleren of uw back-ups functioneel en herstelbaar zijn. Op deze manier kunt u storingen tijdens het herstel van het systeem voorkomen die anders zouden kunnen optreden.

Hoe NAKIVO kan helpen bij het beschermen van uw gegevens tegen ransomware

Vandaag de dag is een ransomware-aanval die de gegevens van een organisatie onbeschikbaar maakt niet alleen waarschijnlijk, maar een kwestie van tijd. En de meest efficiënte manier om incidenten van gegevensverlies te voorkomen en productiestoringen te vermijden na verstoringen veroorzaakt door succesvolle ransomware-aanvallen is door geldige back-ups klaar te hebben voor herstel.

Ongeveer 93% van de bedrijven die geen back-ups en rampenherstelplannen implementeren, gaan binnen een jaar na een wereldwijde gegevensramp failliet. Aan de andere kant slaagde 96% van de bedrijven met een betrouwbare back-up- en herstelstrategie erin succesvol te herstellen van ransomware-aanvallen.

NAKIVO Backup & Replication is een gegevensbeschermingsoplossing die u kunt gebruiken om een betrouwbare ransomware-beschermingsstrategie te implementeren en de veerkracht van de organisatie tegen aanvallen te vergroten:

1. Maak betrouwbare en toepassingsconsistente back-ups van uw gegevens.
2. Bewaar back-ups op locatie, verstuur offsite of in de cloud om de 3-2-1-regel te volgen en een enkel faalpunt te vermijden.
3. Schakel onveranderlijkheid in voor back-ups opgeslagen in lokale op Linux gebaseerde repositories en/of in de cloud om ervoor te zorgen dat uw back-upgegevens onveranderd blijven en beschikbaar blijven, zelfs als ransomware de back-upinfrastructuur treft.
4. Schakel versleuteling van uw back-upgegevens tijdens het verzenden en in rust in. De oplossing gebruikt de AES-256-encryptiestandaard om te voorkomen dat derden toegang krijgen tot uw back-upgegevens.
5. Gebruik rolgebaseerde toegangscontrole (RBAC) om toegangsrechten voor medewerkers in te stellen en de veiligheid van back-ups te verbeteren.Als een ransomware-aanval toeslaat en de oorspronkelijke gegevens versleutelt, gebruik dan back-ups voor herstel. U kunt volledige VM’s en fysieke machines onmiddellijk als VM’s herstellen. Gebruik Directe granulaire herstel om individuele bestanden en toepassingsobjecten te herstellen naar oorspronkelijke of aangepaste locaties voor nog kortere downtime.
6. Wanneer een ransomware-aanval toeslaat en de originele gegevens versleutelt, gebruik dan back-ups voor herstel. Je kunt volledige VMs en fysieke machines onmiddellijk herstellen als VMs. Gebruik Directe Granulaire Herstel om individuele bestanden en toepassingsobjecten te herstellen naar de originele of aangepaste locaties voor nog kortere downtime.
7. Gebruik replicatie, geautomatiseerde failover en disaster recovery-orkestratie voor snelle beschikbaarheid van systemen en apps.

Het NAKIVO-oplossing stelt je in staat om back-up- en herstelprocessen te beheren en te automatiseren vanuit één scherm. Voer back-ups uit als vaak als elke minuut om gegevensverlies te minimaliseren. Met relevante onveranderlijke back-ups tot je beschikking, kun je het losgeld aan hackers ontwijken, zelfs nadat ransomware je beveiligingssystemen omzeilt en de originele gegevens succesvol versleutelt.