Ga naar de inhoud

Acht veel voorkomende manieren van ransomware

Door Marco Krijgsman, marketeer Symbis

Als je inzicht hebt op welke manieren ransomware jouw apparaat kan infecteren en zich vervolgens over een netwerk kan verspreiden, kun je voorkomen dat jouw organisatie het volgende slachtoffer van een aanval wordt. Symbis heeft de 8 meest voorkomende voor je op een rij gezet.

1. Phishing e-mails

Dit is nog steeds de meest gebruikte methode. Er wordt steeds meer gerichte, gepersonaliseerde en specifieke informatie gebruikt om je vertrouwen te winnen en je ertoe te verleiden bijlagen te openen of op links te klikken om schadelijke bestanden te downloaden. De bestanden worden steeds moeilijker van echt te onderscheiden en de aanvallers maken gebruik van bijvoorbeeld een standaard Windows-configuratie die de echte extensie van het bestand verbergt. Een bijlage kan dan ‘bestandsnaam.pdf’ lijken te heten, maar de volledige extensie is dan een uitvoerbaar ‘bestandsnaam.pdf.exe‘ bestand. Bestanden kunnen ook de vorm aannemen van MS-Office bijlagen, Pdf-bestanden of Javascript.

2. Accounts zonder Multi-factor Authentication (MFA)

Accounts waar geen MFA op zit, kunnen makkelijker gehackt worden. Wachtwoorden kunnen achterhaald worden via de methode van bovenstaande phishing e-mails. Waar het veel vaker misgaat, zijn de volgende manieren: je hebt een te simpel wachtwoord, jouw wachtwoord is voor meerdere diensten hetzelfde, ze achterhalen je wachtwoord via social engineering of je ontvangt een mail van de ‘supportafdeling’ dat je wachtwoord gaat verlopen. Je hoeft alleen maar op de link te klikken en jouw oude en nieuwe wachtwoord in te voeren. Zonder de extra stap van MFA is het hacken van je account vervolgens zo gebeurd.

3. Gehackte websites

Gehackte websites zijn makkelijke plekken om kwaadaardige codes te plaatsen. De betreffende site leidt om naar een pagina die je vervolgens vraagt een nieuwere versie van bepaalde software te downloaden, zoals de webbrowser, een plug-in of mediaspeler. Je herkent dit vaak bijzonder moeilijk, omdat de kwaadaardige codes aan de ‘achterkant’ van de site geplaatst zijn.

4. Malvertising

Als je een kwetsbaarheid in je browser hebt, kan een malvertisingaanval plaatsvinden. Gebruikmakend van gewone advertenties op websites kunnen cybercriminelen kwaadaardige codes invoegen die de ransomware zal downloaden zodra een advertentie wordt weergegeven. Hoewel dit een minder vaak voorkomende ransomware is, vormt het nog steeds een gevaar omdat het niet vereist dat het slachtoffer een openlijke actie onderneemt zoals het downloaden van een bestand of het inschakelen van macro’s.

5. Exploit Kits

Angler, Neutrino en Nuclear zijn Exploit Kits die op grote schaal zijn gebruikt bij ransomware-aanvallen. Exploit Kits zijn geautomatiseerde kwaadaardige tools die gericht zijn op kwetsbaarheden in browserplugins zoals Java en Adobe Flash. Microsoft Internet Explorer en Microsoft Silverlight zijn ook veel voorkomende doelwitten. Ransomware zoals Locky en CryptoWall zijn voorbeelden die verspreid zijn via Exploit Kits op sites en in malvertising campagnes.

6. Downloaden van applicaties

Elk bestand en toepassing dat kan worden gedownload, kan ook worden gebruikt voor ransomware. Gekraakte software op illegale sites voor het delen van bestanden is vaak besmet met malware. Recente gevallen van bijvoorbeeld MBRLocker maakten gebruik van deze route. Hackers kunnen ook legitieme websites misbruiken om een geïnfecteerd bestand af te leveren.

7. Berichtenapplicaties

Via apps als WhatsApp en Facebook Messenger kan ransomware binnenkomen als schaalbare vectorafbeeldingen (SVG) die de traditionele extensiefilters omzeilen. Aangezien SVG is gebaseerd op XML kunnen cybercriminelen elke soort inhoud insluiten die ze maar willen. Het geïnfecteerde afbeeldingsbestand leidt naar een schijnbaar legitieme site, waar gevraagd wordt een installatie te accepteren.

8. Brute-force aanval via RDP

Aanvallers kunnen ook ransomware verspreiden door middel van een brute-force aanval via internet-gerichte RDP-servers (Remote Desktop Protocol). RDP stelt IT-beheerders in staat om op afstand toegang te krijgen tot en controle uit te oefenen over het apparaat van een gebruiker, maar dit biedt aanvallers ook de mogelijkheid om het te misbruiken voor kwaadaardige doeleinden.

Conclusie

Ransomware blijft evolueren, waarbij ransomware-as-a-service steeds populairder wordt. Malware-auteurs verkopen op maat gemaakte ransomware aan cybercriminelen in ruil voor een percentage van de winst. De koper van de dienst beslist over de doelwitten en de manieren van aanvallen. Deze verdeling leidt tot steeds gerichtere malware en innovatie in manieren van aanvallen.

Je hoeft het niet alleen in de gaten te houden

Bewustwording is cruciaal in een goede beveiligingsstrategie, vandaar deze blog om jou hierbij te helpen. Een goede ICT-dienstverlener uiteraard ook. Je hoeft het niet alleen te doen, samen staan we namelijk sterker tegen ransomware!

Meer weten over onze ransomware-aanpak?

We helpen je graag verder!