Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ransomwareaanvallen op bedrijven stegen vijfhonderd procent sinds vorig jaar

Het aantal gedetecteerde ransomwareaanvallen op bedrijven is sinds vorig jaar met meer dan vijfhonderd procent gestegen. Criminelen richten zich steeds minder op individuele slachtoffers en steeds meer op bedrijven, blijkt uit de kwartaalrapportage van Malwarebytes.

In het eerste kwartaal van 2019 heeft Malwarebytes 508 procent méér ransomwareinfecties aangetroffen bij bedrijven dan in dezelfde periode een jaar eerder, staat te lezen in het Labs Cybercrime Tactics and Techniques-rapport van het beveiligingsbedrijf. De grote stijging komt met name door een grote aanval met Troldesh. Die ransomware trof begin dit jaar veel Amerikaanse bedrijven.

Sinds het laatste kwartaal van 2018 is er een stijging van 195 procent wat betreft bedrijven te zien. Wereldwijd komen de meeste aanvallen voor in Amerika. Iets minder dan de helft van de ransomwareaanvallen komt daar vandaan. Malwarebytes wijt de stijging aan het feit dat bedrijven vaker bereid zijn hogere bedragen te betalen om hun bestanden of computersystemen terug te krijgen. De stijging van geïnfecteerde bedrijven betekent tegelijkertijd een daling van het aantal individuele slachtoffers. Vorig jaar vielen er onder die groep bijna een kwart minder slachtoffers.

Ook cryptomining gericht op consumenten is nagenoeg gestopt, zegt Malwarebytes. Dat komt met name doordat CoinHive er vorige maand mee ophield. Vrijwel iedere cryptojackingaanval gebruikte de tool van CoinHive. Malwarebytes ziet daarentegen wel een stijging in het aantal mobiele adware-aanvallen. De stijging bedroeg tweehonderd procent sinds vorig kwartaal.

Door Tijs Hofmans

Redacteur

26-04-2019 • 10:10

36 Linkedin Google+

Reacties (36)

Wijzig sortering
Ik had eigenlijk wel gedacht dat juist bij bedrijven minder te halen viel, omdat daar de boel relatief goed geback-upt wordt en er ook technici rondlopen die goed in staat zijn de computers te ontsmetten. Dat is kennelijk niet zo.
Je zou denken van wel dat bedrijven hun zaken goed op orde hebben, maar dat is zeker niet altijd het geval. En dan heb ik het niet alleen over MKB maar ook de grotere Enterprises. Maersk was een goed voorbeeld hiervan.

Ten tweede ook bedrijven die hun zaken goed op orde hebben lopen gevaar. Kijk maar naar Hydro laatst. Dit is een staalboer uit Noorwegen die IT technisch hun zaakjes goed voor elkaar hadden (inside info via via) maar toch bijna vanaf 0 moesten beginnen. Zie dit interessante filmpje over hoe ze zelfs terug moesten grijpen naar pen en papier / Excel alleen lokaal ipv gebruik van de centrale systemen.

Het gevaar ligt gewoon in een heel klein hoekje en het gaat niet zo zeer om de security policies en strategiën binnen bedrijven die meestal prima op orde zijn, het gaat om de uitzonderingen. Ergens staat er nog wel een W2003 server met alleen SMB1, ergens slingert er nog een service account rond met Domain Admin permissies en een password van 5 jaar oud, mensen met high privilege access die daarmee inloggen op hun normale werkplek, etc, etc.
Hoe zit het met een simpel lokaal netwerk waarin filesharing uit staat, alleen een gedeelde schijf en netwerkprinter gebruikt wordt, geen DA of policies. Computers kunnen elkaar niet zien, dus virussen kunnen binnen het netwerk niet verspreiden, toch? Ik doe vrijwilligerswerk voor een kleine non-profit, en alles is low budget. Die netwerkschijf is wel een risico, en daar moet ik nog eens naar kijken hoe dat beter kan, met name de backups dan.
Het tegendeel is helaas waar. Ik heb verschillende onderzoeken gelezen, die allemaal hetzelfde concluderen.

Een schrikbarend hoog percentage van de bedrijven (met name UK en US scoren zeer hoog) betalen ransomware. Dit verbaasde mij in 2016 al, maar dit is nog steeds actueel.

Hier enkele links:
(account) https://go.malwarebytes.c...somware2017_PRSocial.html
(account) https://www.ibm.com/accou...nup?formid=mrs-form-10908

https://www.zdnet.com/art...one-gets-their-data-back/
https://www.itsecuritygur...als-uk-likely-pay-ransom/
Klopt, maar de impact op een bedrijf is ook veel groter, mocht het niet worden tegengehouden. Plus dat je wel back-ups kan maken, maar als ze niet volledig gescheiden staan ben je alsnog de sjaak. Dus de impact is dan veel groter en dan bestaat de kans dus meer dat er wordt betaalt omdat er zoveel data is versleutelt. Het bedrijf raakt dan in paniek.

[Reactie gewijzigd door AnonymousWP op 26 april 2019 10:39]

Dat hangt er van af. Wanneer je als bedrijf te maken hebt met ransomware is dat echt een Red Flag. Als bedrijf weet je niet wat er nog meer gecompromitteerd is, dus je kan wel betalen maar dekt dat wel de lading en ben je er dan wel echt vanaf? Ikzelf zou zeker denken van niet. En zelfs wanneer je betaald, wordt dan daarmee het probleem wel echt verholpen? Of geven de 'hijackers' niet meer thuis?

Mijn advies zou zijn, neem je verlies (als dat mogelijk is) en bouw het nu wel goed op.
Klopt, het is ook maar net hoeveel kennis je medewerkers/IT'ers hebben van ransomware. Wij als Tweakers weten waarschijnlijk wel dat er decryptors (ontsleuteltools) zijn (niet voor alle varianten though), maar hier staan er al wel flink wat:
Ik hoop dat er nog eentje voor Zepto ontwikkeld wordt, heb een klant die dat op zijn privé pc gehad heeft en al zijn privé foto's encrypted joy :).
Met alle cloud mogelijkheden als Google Drive, OneDrive, DropBox & iCloud is backup bijna een no-brainer.
Zeker mobiel gemaakte foto's worden nagenoeg standaard ge-upload naar je gekoppelde cloud omgeving.

Helaas is je klant met zijn neus op de feiten gedrukt wat een goede externe backup kan betekenen. En ja, helaas heb ik dit gedrag ook voorbij zien komen bij kennissen en familie.
Harddisk stuk, alles weg.... Tja...
Corporate data is nooit een probleem voor backup, maar privé toestellen worden niet beheert door ons natuurlijk : )
Nee, prive zie ik ook nog steeds een 'struisvogel politieke' houding als het gaat om backups etc.
Ze weten allemaal over de phishing emails, de ransomware zaken, hardware failures etc. via o.a. het nieuws, maar het blijft allemaal het probleem van de ander.

' Nee joh, dat overkomt mij toch niet....'
En als het dan toch gebeurt : 'Surprised Pikachu face' ;)
Dit dus idd

En hoe langer je als bedrijf stil ligt hoe hoger de kosten op lopen dus zijn ze sneller geneigd om te betalen zodat ze er "van af" zijn
Ik geloof serieus niet dat je een key krijgt als je betaalt.
Nu zullen er wellicht voorbeelden zijn waarbij er wel "netjes" werd geleverd na betaling, maar ik zou daar nooit mn geld op inzetten.

Ik heb het zelf helaas ook moeten meemaken dat bij ons bedrijf toendertijd de boel werd encrypt en toen hebben we met 3 man ruim 9 uur overgewerkt om het te herstellen.
Niet leuk, maar betalen daar ben ik veel te koppig voor, dit soort crimineel gedrag moet altijd bestreden en nooit beloond worden.
Ik geloof serieus niet dat je een key krijgt als je betaalt.
Nu zullen er wellicht voorbeelden zijn waarbij er wel "netjes" werd geleverd na betaling, maar ik zou daar nooit mn geld op inzetten.

Ik heb het zelf helaas ook moeten meemaken dat bij ons bedrijf toendertijd de boel werd encrypt en toen hebben we met 3 man ruim 9 uur overgewerkt om het te herstellen.
Niet leuk, maar betalen daar ben ik veel te koppig voor, dit soort crimineel gedrag moet altijd bestreden en nooit beloond worden.
Als je geen key krijgt als je betaal betekent dat NIEMAND meer zulke hackers gaan betalen, en aangezien dat wel volop gebeurd, betekend dat wel degelijk de sleutel woord opgestuurd na betalen, zo dat de bedrijven/mensen weer bij hun gegevens kunnen komen.

En als het jou miljoenen of zelfs honderden miljoenen kan gaan kosten als bedrijf iedere dag dat je niet bij je gegevens kan komen, ga je wel zeker weten betalen om de sleutel te krijgen en weer bij al je gegevens kom, en het dan geen geld meer kost, ransomwareaanvallen op bedrijven is niks voor niks extreem toegenomen.

Dit soort criminelentijd loont gewoon, zelfde met de kind/kinderen ontvoeren van rijke mensen, wat ook volop gebeurd in zuid America en zo, zelfs als de kinderen bewaakt woorden, is er een aardige kans dat je kind ontvoerd kan woorden, en normaal krijg je weer netjes je kind terug als je betaal, en daarom loont dat soort criminelentijd ook.

[Reactie gewijzigd door AmigaWolf op 26 april 2019 19:00]

[...]
Als je geen key krijgt als je betaal betekent dat NIEMAND meer zulke hackers gaan betalen, en aangezien dat wel volop gebeurd, betekend dat wel degelijk de sleutel woord opgestuurd na betalen, zo dat de bedrijven/mensen weer bij hun gegevens kunnen komen.
Ik geloof zelfs dat ze het automatiseren.
Je gaat toch niet met de hand all die dingen doorlopen.
Dat zou zeker kunnen.
Is er echt een bron ergens die bevestigt dat er een key is afgegeven?
Ik heb altijd het idee dat men betaald, om het maar te proberen, om vervolgens erachter te komen dat het bedrog is (as expected).
Let wel, je hebt te maken met criminelen.
Natuurlijk is het mogelijk allemaal, maar ik zou er niet op vertrouwen.
Heel simpel, wat ik al zij "Als je geen key krijgt als je betaal betekent dat NIEMAND meer zulke hackers gaan betalen"

En aangezien het enorm is toegenomen kan je er zeker van wezen dat de grote meerderheid zijn bestanden weer krijgen als ze betaalt hebben, anders zou het absoluut niet toegenomen zijn, als er niks te halen is voor de criminelen was het zeker weten omlaag gegaan.
Ik wil niet flauw doen, maar die conclusie kun je niet zomaar trekken denk ik.
Nu geloof ik direct dat er mensen zijn die betalen, maar ik geloof ook dat dit meer dan eens mensen zijn die denken "laat ik het maar proberen" zonder dat zij persoonlijk verhalen kennen van mensen die echt een key hebben ontvangen.
Ik wil best geloven dat dit mogelijk is, maar ik heb nog nooit in de media vernomen (officieel) dat er ook echt keys zijn afgegeven.
De zogenaamde experts op TV hebben daarentegen wel beweerd dat de kans op een key klein is, ook na betaling.
En dat het toeneemt allemaal kan komen door meerder factoren, o.a. door de wens om inkomsten te vergroten, dus zetten ze groter in, hiermee ook wetende dat er meer kans is dat iemand betaalt.
Een backup heb je weinig aan indien ook je backups besmet zijn met ransomware. En dat is hoe tegenwoordig wordt gehandeld. Infecteren met ransomware. En dan afwachten. Niet een dag of 2. Nee, laat dit maanden lang sudderen. Backups lang sudderen. Laat je ransomware pas toeslaan na bijvoorbeeld 6 maanden.

Het bedrijf kan nu 2 dingen doen:
- Betalen?
- Of niet betalen, proberen te herstellen om te ontdekken dat ook hun backups direct de ransomware eis tonen.

Je hier tegen beschermen is tot op zekere hoogte wel te doen. Maar vergeet niet dat er een gigantisch aantal bedrijven is, waarbij zeer zeker lang niet ieder bedrijf zich de benodigde security expertise kan veroorloven. Ja, voor een groot bedrijf met duizenden medewerkers kun je verwachten dat dit geregeld is. Maar voor de bakker om de hoek? Het restaurant in de straat? Het marketing kantoortje in het centrum? Allerlei bedrijven waarbij dit suboptimaal geregeld zal zijn.
Dat is eigenlijk zelfs voor KMO's vrij goed te doen, maar dan moeten ze zich wel bewust zijn van het probleem.

Begin met een NAS met mirroring en offsite backup. Die backup kan dan meldingen geven als er grote aantallen of percentages bestanden gewijzigd worden, zodat je snel kan weten dat er iets raars aan de hand is. Als ineens 10% van je bestanden wijzigt bijvoorbeeld, is dat voor de meeste bedrijven een teken dat er iets mis is.
Hierbij ga je er vanuit dat de gemiddelde ondernemer bedreven genoeg is in technologie om hun NAS op te zetten met mirroring en offsite backup, zich bewust is van de mogelijkheden om gebruik te maken van dit soort meldingen en eventueel weet hoe dit zelf uit te voeren dan wel indien wel bewust, maar niet zelf toe in staat, iemand inhuurt om dit te laten regelen.

In de praktijk is iemand geen bakker geworden omdat ze zo tech savvy zijn. En nu zitten we hier natuurlijk op tweakers, hebben we een redelijke selectie van de bevolking te pakken waarbij er in ieder geval een zekere bewustwording is van dit soort mogelijkheden. Maar als ik de gemiddelde kapper vraag, wat is een NAS? Dan zal hij of zij mij vermoedelijk aankijken als ze water zien branden.

En dan kun je uiteraard zeggen, hier moet je mensen voor inhuren. Maar vergeet niet dat de financiele middelen bij dit soort kleinere bedrijven vaak beperkt is. En dat ook de reden dat veel zaken die bij grotere bedrijven uitbesteed zal worden, veelal zelf gedaan zal worden. Zoals ook de boekhouding grotendeels zelf bij gehouden wordt, zal ook de digitale infrastructuur grotendeels zelf geregeld worden.
Nee, ik verwacht dat de gemiddelde ondernemer verstandig genoeg is om de dingen waar hij zelf geen kaas van gegeten heeft, te laten doen door iemand die er wel verstand van heeft. Als die dat niet doet, en onterecht denkt dat hij het zelf goed genoeg kan, dan moet hij niet verbaasd zijn als het mis loopt.

Zeker wanneer bepaalde dingen zo belangrijk worden voor je bedrijf, dat ze onmisbaar en/of onvervangbaar zijn, moet je ervoor zorgen dat dat goed beheerd wordt, anders ben je gewoon slecht bezig. Een bakker zal bijvoorbeeld zijn koeltoog of bestelwagen ook niet zelf onderhouden of houden tot die uiteen valt, en dat kost stukken meer dan een NAS en backups.

De gemiddelde kapper die jij aanhaalt, zal ook zeer weinig te verliezen hebben bij een cryptolocker bijvoorbeeld. Met wat geluk heeft hij wel al eens van backups gehoord en kan hij de 15 facturen van het laatste kwartaal wel terug in zijn 2 maanden oude backup van de boekhouding steken.
Een bedrijf is ook makkelijker te (spear)phishen. Met meer medewerkers wordt ook de kans groter dat er iemand op een link klikt. Plus, voor veel bedrijven telt mee dat het soms zelfs duurder is backups terug te zetten dan 'gewoon' het losgeld te betalen...
voor veel bedrijven telt mee dat het soms zelfs duurder is backups terug te zetten dan 'gewoon' het losgeld te betalen
En hier zouden bedrijven hun maatschappelijke verantwoordelijkheid moeten nemen. Als niemand betaald, dan is het voor de criminelen niet meer rendabel en zal het uiteindelijk niet meer voorkomen.
In theorie ja, in de praktijk.... Een bedrijf gaat zo'n offer for the greater good natuurlijk niet maken.
Allemaal ISO's hier ;). Zucht was het inderdaad allemaal maar zo makkelijk.
Je data backuppen is één ding. Maar als (noem eens wat) je kassasysteem een paar dagen onbruikbaar is, kan dat aardig in de papieren lopen.

Dat maakt juist bedrijven een stuk vatbaarder. Als consument heb je niet zoveel "bedrijfskritische" processen, enkel je data die je liever niet kwijt wilt. Die kun je idd op je gemakje van een backup terughalen. Maar een dag gemiste omzet krijg je niet meer terug.
Zelfs bedrijven die maandelijks spamtrainingen/spamtests uitvoeren, uitvoerige spamfitters gebruiken, dagelijks backups maken en hun Antivirus definitie updates en patching goed op orde hebben, kunnen gewoon getroffen worden door Randsomwareaanvallen.

Geen enkele omgeving is immuun voor dit soort praktijken en zelfs ervaren systeembeheerders kunnen wel eens de mist in gaan en kwalijke bestanden openen.
Goed IT beleid kan je risico's reduceren en als er toch een incident is kan je wellicht sneller je data herstellen, maar 100 procent voorkomen is niet realistisch haalbaar.

Zoals AnonymousWP hieronder aangeeft is de impact dan ook direct veel groter. Daarbij komt dat bij bedrijven eenvoudigweg meer te halen in het algemeen.
Ik vermoed dat een aantal (grotere) bedrijven niet eens een centraal, volledig overzicht heeft van de servers die ze hebben. Denk bijvoorbeeld aan fragmentatie door on-site, datacenters en cloud. Ik denk dat veel it-ers wel eens een 'spookserver' zijn tegengekomen.

In aanvulling wat Anonymous hierboven zegt zijn bedrijven ook nog wel eens gebonden aan SLA's waarin een gegarandeerde uptime is vastgelegd. Overschrijding hiervan kan potentieel 'beboet' worden. Dit kan, naast het gedoe dat het allemaal oplevert, behoorlijk in de papieren gaan lopen. Als bedrijf wordt het dan een economische afweging - betalen of zelf oplossen. Een bedrijf is gewoon een grotere en vettere vis dan een enkeling.
Als IT-er kan ik je zeggen dat ik altijd wist waar de spookservers stonden. Speciale rack, of gewoon bij ons op het kantoor om uit te zoeken wat er draait of niet. Mochten we er echt niet uitkomen, stekker er uit en kijken wat er niet meer werkt :p
Je zou hopen dat ze alles goed hadden geregeld.
"Ook cryptomining gericht op consumenten is nagenoeg gestopt"

Mooi, kan ik nu van alle computers de NoCoin-extensie uit Chrome halen?
Offtopic, maar ligt het aan mij, of leest "500%" veel gemakkelijker ?
Vanwege financiele wetgeving moeten bedrijven ook financiele informatie kunnen opgeven, nog jaaaren daarna, dus is het logisch dat deze eerder zijn geneigd te betalen.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Politiek en recht

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True