Hoe ransomware zich verspreidt: 9 meest voorkomende infectiemethoden

Gepubliceerd op 3 januari 2020 om 01:56
Hoe ransomware zich verspreidt: 9 meest voorkomende infectiemethoden

Cybercriminelen zijn op zoek naar creatieve nieuwe manieren om uw gegevens gegijzeld te houden.

Hoewel ransomware misschien steeds geavanceerder wordt, is het belangrijk om te onthouden dat het nog steeds aan dezelfde regels moet voldoen als gewone oude malware.

Dat betekent dat het nog steeds moet worden gedistribueerd, het moet nog steeds uw systeem infecteren voordat het zijn nuttige lading kan leveren - en het kan nog steeds worden vermeden door een proactieve benadering van beveiliging te nemen.

Hoe infecteert ransomware uw computer? In dit artikel laten we u enkele van de meest voorkomende manieren zien waarop ransomware zich verspreidt en hoe u het risico op infecties kunt verminderen.

1. E-mailbijlagen

Ransomware wordt vaak verspreid via e-mails die de ontvanger aanmoedigen om een kwaadaardige bijlage te openen. Het bestand kan in verschillende formaten worden aangeleverd, waaronder een ZIP-bestand, PDF, Word-document, Excel-spreadsheet en meer. Zodra de bijlage is geopend, kan de ransomware onmiddellijk worden ingezet; in andere situaties kunnen aanvallers dagen, weken of zelfs maanden wachten na infectie om de bestanden van het slachtoffer te coderen, zoals het geval was bij de 'Emotet' / 'Trickbot'-aanvallen.

Aanvallers kunnen uitgebreid onderzoek doen naar hun doelwit (vaak een specifiek bedrijf of hooggeplaatste persoon in een organisatie) om geloofwaardige en zeer geloofwaardige e-mails te maken. Hoe legitiemer de e-mail eruit ziet, hoe groter de kans dat de ontvanger de bijlage opent.

Preventie tips

  • Open alleen bijlagen van vertrouwde afzenders.
  • Controleer of het e-mailadres van de afzender correct is. Vergeet niet dat domeinnamen en weergavenamen gemakkelijk kunnen worden vervalst. (spoofing)
  • Open geen bijlagen waarvoor u macro's moet inschakelen. Als u denkt dat de bijlage legitiem is, vraag dan advies aan uw IT-afdeling.
  • Lees deze handleiding voor meer informatie over het voorkomen van phishing-e-mails.

2. Schadelijke URL's

Aanvallers gebruiken ook e-mails en sociale mediaplatforms om ransomware te verspreiden door kwaadaardige links in berichten in te voegen. Tijdens het derde kwartaal van 2019 gebruikten bijna 1 op de 4 ransomware-aanvallen e-mailphishing als een aanvalsvector, volgens cijfers van Coveware.

Om u aan te moedigen op de kwaadaardige links te klikken, zijn de berichten meestal zo geformuleerd dat ze een gevoel van urgentie of intriges oproepen. Als u op de link klikt, wordt ransomware gedownload, die uw systeem codeert en uw gegevens voor losgeld bewaart.

Preventie tips

  • Pas op voor alle koppelingen die zijn ingesloten in e-mails en directe berichten.
  • Controleer de URL's door de muisaanwijzer op de link te houden voordat u klikt.
  • Gebruik CheckShortURL om verkorte URL's uit te vouwen.
  • Voer handmatig links in uw browser in om te voorkomen dat u op phishing-links klikt.

3. Extern bureaubladprotocol

RDP, een communicatieprotocol waarmee u via een netwerkverbinding verbinding kunt maken met een andere computer, is een andere populaire aanvalsvector. Enkele voorbeelden van ransomware die zich via RDP verspreiden, zijn onder andere 'SamSam', 'Dharma' en 'GandCrab'.

Standaard ontvangt RDP verbindingsverzoeken via poort 3389. Cybercriminelen maken hier gebruik van door poortscanners te gebruiken om op internet te zoeken naar computers met blootgestelde poorten. Vervolgens proberen ze toegang tot de machine te krijgen door beveiligingsproblemen te misbruiken of brute force-aanvallen te gebruiken om de inloggegevens van de machine te kraken.

Zodra de aanvaller toegang tot de machine heeft verkregen, kunnen ze min of meer alles doen wat ze willen. Meestal houdt dit in dat uw antivirussoftware en andere beveiligingsoplossingen worden uitgeschakeld, toegankelijke back-ups worden verwijderd en de ransomware wordt geïmplementeerd. Ze kunnen ook een achterdeur achterlaten die ze in de toekomst kunnen gebruiken.

Preventie tips

  • Gebruik sterke wachtwoorden.
  • Wijzig de RDP-poort van de standaardpoort 3389.
  • Schakel RDP alleen in als dat nodig is.
  • Gebruik een VPN.
  • Schakel 2FA in voor externe sessies.

4. MSP's en RMM's

Cybercriminelen richten zich vaak op managed service providers (MSP's) met phishing-aanvallen en door gebruik te maken van de RMM-software (Remote Monitoring and Management) die vaak wordt gebruikt door MSP's.

Een succesvolle aanval op een MSP kan cybercriminelen mogelijk in staat stellen ransomware te implementeren in het volledige klantenbestand van de MSP en een enorme druk op het slachtoffer uitoefenen om het losgeld te betalen. In augustus 2019 werden 22 steden in Texas getroffen met ransomware die zich verspreidde via MSP-tools. Aanvallers eisten $ 2,5 miljoen om de gecodeerde bestanden te ontgrendelen.

Preventie tips

  • Schakel 2FA in op RMM-software.
  • MSP's moeten zeer alert zijn op phishing.

5. Malvertising

Malvertising (kwaadwillende reclame) wordt een steeds populairdere methode voor de levering van ransomware.

Malvertising maakt gebruik van dezelfde tools en infrastructuren die worden gebruikt om legitieme advertenties op internet weer te geven. Aanvallers kopen doorgaans advertentieruimte, die is gekoppeld aan een exploitkit. De advertentie kan een provocerende afbeelding, een berichtmelding of een aanbieding voor gratis software zijn.

Wanneer u op de advertentie klikt, scant de exploitkit uw systeem op informatie over de software, het besturingssysteem, browsergegevens en meer. Als de exploitkit een kwetsbaarheid detecteert, probeert deze ransomware op de computer van de gebruiker te installeren. Veel grote ransomware-aanvallen verspreiden zich via malvertising, waaronder 'CryptoWall' en 'Sodinokibi'.

Preventie tips

  • Houd uw besturingssysteem, applicaties en webbrowsers up-to-date.
  • Schakel plug-ins uit die u niet regelmatig gebruikt.
  • Gebruik een ad blocker. Het Emsisoft lab-team beveelt u Block Origin aan.
  • Schakel click-to-play-plug-ins in uw webbrowser in, waardoor wordt voorkomen dat plug-ins zoals Flash en Java automatisch worden uitgevoerd. Veel malvertising vertrouwt op het exploiteren van deze plug-ins.

6. Drive-by downloads

Een drive-by download is elke download die plaatsvindt zonder uw medeweten. Ransomware-distributeurs maken gebruik van drive-by-downloads door de schadelijke inhoud op hun eigen site te hosten of, vaker, in legitieme websites te injecteren door bekende kwetsbaarheden te exploiteren.

Wanneer u de geïnfecteerde website bezoekt, analyseert de kwaadaardige inhoud uw apparaat op specifieke kwetsbaarheden en voert automatisch de ransomware op de achtergrond uit.

In tegenstelling tot veel andere aanvalsvectoren, vereisen drive-by downloads geen input van de gebruiker. U hoeft op niets te klikken, u hoeft niets te installeren en u hoeft geen kwaadaardige bijlage te openen - een geïnfecteerde website bezoeken is voldoende om geïnfecteerd te raken.

Preventie tips

  • Installeer altijd de nieuwste softwarebeveiligingspatches.
  • Verwijder overbodige browser-plug-ins.
  • Installeer een ad-blocker zoals uBlock Origin.

7. Netwerkpropagatie

Terwijl oudere soorten ransomware alleen de lokale machine konden coderen die ze hebben geïnfecteerd, hebben meer geavanceerde varianten zelf-propagerende mechanismen waarmee ze lateraal naar andere apparaten in het netwerk kunnen worden verplaatst. Succesvolle aanvallen kunnen hele organisaties verlammen.

Enkele van de meest verwoestende ransomware-aanvallen in de geschiedenis waren zelf-propagatiemechanismen, waaronder 'WannaCry', 'Petya' en 'SamSam'.

Preventie tips

  • Segmenteer uw netwerk en pas het principe van de minste rechten toe.
  • Implementeer en onderhoud een betrouwbare ransomware-back-upstrategie.

8. Illegale software

Van Ransomware is bekend dat het zich verspreidt via illegale software. Sommige gekraakte software wordt ook geleverd met adware, die mogelijk ransomware verbergt, zoals het geval was in de recente STOP Djvu-campagne (gratis decryptor hier beschikbaar). Bovendien kunnen websites die illegale software hosten gevoeliger zijn voor malvertising of drive-by downloads.

Het gebruik van illegale software kan ook indirect het risico op ransomware-infecties vergroten. Meestal ontvangt software zonder licentie geen officiële updates van de ontwikkelaar, wat betekent dat gebruikers belangrijke beveiligingspatches mislopen die door aanvallers kunnen worden misbruikt.

Preventie tips

  • Gebruik geen illegale software.
  • Bezoek geen websites met illegale software, cracks, activators of sleutelgenerators.
  • Pas op voor software-deals die te mooi zijn om waar te zijn.

9. USB-drives en draagbare computers

USB-drives en draagbare computers zijn een veelgebruikt voertuig voor ransomware. Het verbinden van een geïnfecteerd apparaat kan leiden tot ransomware die de lokale machine versleutelt en zich mogelijk over het netwerk verspreidt.

Meestal is dit onbedoeld - een medewerker sluit onbewust een geïnfecteerde USB-schijf aan, die hun eindpunt versleutelt - maar het kan ook opzettelijk zijn. Een paar jaar geleden ontdekten inwoners van Pakenham, een buitenwijk in Melbourne, ongemarkeerde USB-schijven in hun mailboxen. De schijven bevatten ransomware vermomd als een promotie-aanbieding van Netflix.

Preventie tips

  • Sluit nooit onbekende apparaten aan op uw computer.
  • Sluit uw apparaten niet aan op gedeelde openbare systemen zoals fotoafdrukkiosken en computers in internetcafés.
  • Bedrijven moeten robuust BYOD-beveiligingsbeleid implementeren en handhaven.
  • Gebruik gerenommeerde antivirussoftware die verwisselbare schijven kan scannen en beveiligen.

Conclusie

Ransomware verspreidt zich op veel verschillende manieren. Sommige aanvalsvectoren zoals kwaadaardige e-mailbijlagen, phishing-koppelingen en verwijderbare apparaten zijn afhankelijk van menselijke fouten, terwijl andere zoals malvertising, drive-by downloads en netwerkpropagatie effectief zijn zonder enige input van de gebruiker.

Ongeacht hoe ransomware zich verspreidt, er zijn veel dingen die u kunt doen om het risico op infecties te verminderen en de gevolgen van een aanval te verminderen. Investeren in beproefde antivirussoftware, back-ups onderhouden en voorzichtig zijn met uw klikken, kan uw gegevens aanzienlijk beschermen en uw systeem beschermen tegen ransomware.

Bron: Diverse, emsisoft.com