Wat is ransomware? Voorbeelden, preventie & detectie

Er is een toename van ransomware-aanvallen, met meer dan 5.414 aanvallen die organisaties wereldwijd in 2024 hebben ervaren, wat een stijging van 11% is ten opzichte van het voorgaande jaar. Deze escalatie is te wijten aan phishing, exploitkits en kwetsbare clouddiensten die criminelen benutten om frauduleuze activiteiten te plegen. Zowel kleine als grote bedrijven lopen risico op infiltratie, dataverlies en langdurige uitval, wat leidt tot grote verliezen. Daarom is het belangrijk voor bedrijven om hun kennis van ransomware te vergroten en tegenmaatregelen te ontwikkelen tegen ransomware-aanvallen.

In dit artikel definiëren we wat ransomware is en hoe het een bedreiging vormt voor organisaties. Vervolgens bespreken we de gevolgen voor organisaties, leggen we de geschiedenis van ransomware uit en beschrijven we verschillende infectiemethoden. In deze sectie leert u over verschillende soorten ransomware en technieken die cybercriminelen gebruiken, evenals voorbeelden van bekende ransomware-incidenten. Tot slot bespreken we wat een ransomware-aanval is, geven we tips om ransomware-aanvallen te voorkomen en hoe SentinelOne elk van deze maatregelen versterkt.

Wat is ransomware?

Ransomware is een vorm van malware die de bestanden van een slachtoffer vergrendelt of versleutelt en vervolgens eist dat het slachtoffer betaalt om de decryptiesleutel te verkrijgen. De betekenis van ransomware is uitgebreid en omvat eenvoudige schermvergrendelaars tot de nieuwste geavanceerde crypto die systematisch gegevens steelt en vervolgens dreigt deze informatie te lekken. De wereldwijde losgeldeisen in 2024 werden geschat op gemiddeld $2,73 miljoen, en dit bedrag brengt bedrijven in een dilemma: hun data verliezen of een fors bedrag betalen.

Infiltratie is een agressieve handeling waarbij de aanvaller misbruik maakt van een zwakte in de doelsoftware of het gedrag van gebruikers. Simpel gezegd omvat de definitie van ransomware een ontwrichtende dreiging die niet alleen de bedrijfsvoering verlamt, maar ook het vertrouwen van consumenten aantast. Om ransomware effectief te definiëren, moet men het effect begrijpen – van de initiële infiltratie tot de verschillende niveaus van versleuteling. Laten we daarom doorgaan naar de volgende sectie.

Impact van ransomware op bedrijven

Eén ransomware-aanval kan aanzienlijke schade aanrichten bij een organisatie: productie stilleggen, data in databases vergrendelen of werknemers verhinderen toegang te krijgen tot applicaties. Het gemiddelde losgeld is gestegen, wat aangeeft dat criminelen zekerder zijn geworden van het verkrijgen van grote betalingen. Of het nu gaat om het lekken van klantinformatie of een storing die de bedrijfsvoering verlamt, de impact overstijgt louter financiële verliezen. Hier zijn vier belangrijke verliezen die bedrijven ervaren wanneer ze slachtoffer worden van ransomware-aanvallen:

1. Operationele verstoring: Wanneer kritieke bestanden of servers zijn vergrendeld, kunnen medewerkers niet werken aan klantverkoop, personeelsdossiers of supply chain management-applicaties, en vallen productielijnen stil. Elke onderbreking, hoe klein ook, leidt tot vertraagde bestellingen of geannuleerde diensten, wat resulteert in een gebrek aan vertrouwen bij klanten. Herstel van ransomware kan meerdere dagen of weken duren bij verouderde back-ups of als de data ook is versleuteld. Deze periode kan leiden tot ernstige reputatieschade en omzetverlies of tekorten.
2. Dataverlies & meldplicht datalekken: Recente ransomware-aanvallen omvatten ook datadiefstal. In dit scenario eisen de aanvallers geld van doelorganisaties in ruil voor het niet openbaar maken van bepaalde informatie over klanten of partners. Bij een datalek kunnen verplichte meldingsregels van kracht worden, wat kan leiden tot sancties en boetes. De combinatie van infiltratie en openbaarmakingsscenario’s toont de potentiële dreigingen die ransomware kan veroorzaken.
3. Financiële & reputatieschade: Naast het directe financiële verlies in de vorm van losgeld, kunnen deze cyberaanvallen dure forensisch onderzoek, systeemherstel en in sommige gevallen groepsvorderingen met zich meebrengen. Klanten kunnen overstappen naar andere bedrijven die mogelijk niet met soortgelijke problemen te maken krijgen, en investeerders kunnen twijfelen aan het risicomanagement van het leiderschap. Om dergelijke infiltratie te voorkomen, kunnen verzekeraars ervoor kiezen premies te verhogen of zelfs verzekeringen te annuleren. Het herstellen van een beschadigd merkimago kost uiteindelijk tijd, soms zelfs jaren.
4. Aantasting van vertrouwen bij stakeholders & klanten: Zodra een datalek wordt ontdekt, zullen personen zoals de raad van bestuur, toezichthouders of belangrijke klanten het beveiligingsniveau in twijfel trekken. Gebrek aan vertrouwen is kostbaar en kan leiden tot contractbeëindiging of strengere eisen van partners. Om hen gerust te stellen, moet bewijs worden geleverd van betere controles, voortdurende scans en, niet in de laatste plaats, goede training van personeel. Wanneer een organisatie investeert in sterke ransomwaremaatregelen binnen cyberbeveiliging, zorgt dit op de lange termijn voor meer vertrouwen.

Geschiedenis van ransomware

De oorsprong van ransomware gaat terug tot eenvoudige afpersingstrojanen uit de late jaren 80 tot de meer geavanceerde versleutelingsaanvallen. Deze aanvallen zijn in de loop der jaren geëvolueerd en zijn, met behulp van geavanceerde encryptietechnieken en stealth-strategieën, uitgegroeid tot een van de grootste dreigingen binnen cybercriminaliteit. In de volgende secties onderscheiden we vier fasen om te laten zien hoe criminelen hun strategieën hebben ontwikkeld.

1. De PC Cyborg Trojan (late jaren 80): Ontwikkeld in 1989, infecteerde de “AIDS Trojan” of “PC Cyborg” de computer en eiste vervolgens betaling om de functionaliteit te herstellen. Dit was het eerste geregistreerde geval dat de definitie van een ransomware-aanval veranderde: software die specifieke data versleutelt en betaling eist. Hoewel relatief primitief volgens de hedendaagse definities, legde het de conceptuele basis voor moderne afpersing. De aanvalsmethode was vrij eenvoudig: het virus werd verspreid via geïnfecteerde diskettes die werden uitgedeeld aan deelnemers van een conferentie.
2. Versleutelende ransomware (begin jaren 2000): Geavanceerdere typen ransomware verschenen begin jaren 2000, die data versleutelden met moderne algoritmen zoals RSA of AES. Deze voorbeelden van ransomware waren moeilijk te vermijden omdat antivirusdetectie traag was. De aanvallers vroegen betaling via de eerste vormen van digitale middelen of overboekingen, waardoor het voor opsporingsdiensten lastig was het geld te traceren. Dit leidde tot de ontwikkeling van andere vormen van beveiligingsdreigingen, en beveiligingsexperts begonnen ze te benoemen als ‘crypto-ransomware’, geassocieerd met complexe algoritmen.
3. Nieuwe afpersingsmethoden: De jaren 2010 zagen een toename van geavanceerde technieken die werden gebruikt om misdrijven te plegen, waaronder de WannaCry-ransomware in 2017. Deze worm-gebaseerde aanval legde wereldwijd ziekenhuizen en bedrijven binnen enkele uren plat. Cybercriminelen gebruikten exploits die waren gestolen van de NSA om te laten zien dat zelfs de machtigsten onophoudelijke golven van ransomware-aanvallen kunnen veroorzaken. Daarnaast ontstond RaaS (Ransomware as a Service), waardoor nieuwkomers zonder ervaring konden instappen.
4. Dubbele afpersing & geopolitiek gebruik (2020s tot 2025): Tegenwoordig stelen cybercriminelen eerst data en dreigen deze openbaar te maken als niet aan de eisen wordt voldaan – dit wordt dubbele afpersing genoemd. Dit dwingt organisaties om rekening te houden met de kosten van een mogelijk datalek, zelfs als ze back-ups hebben. Staatsgesponsorde campagnes gebruiken soms ransomware voor spionage of destructieve doeleinden, waardoor het moeilijk is onderscheid te maken tussen financiële en politieke motieven. Momenteel zijn de dreigingen geavanceerder dan ooit door het gebruik van stealth, AI en zeer specifieke tools.

Hoe verspreidt ransomware zich?

Het uitleggen van de betekenis van het infectiepad van ransomware laat zien dat er verschillende manieren zijn waarop ransomware een systeem kan binnendringen, variërend van spammails met bijlagen tot gecompromitteerde cloudoplossingen.

Cybercriminelen passen hun strategieën aan op de kwetsbaarheden van elk doelwit, zoals onbeveiligde servers of goedgelovige medewerkers. Hier zijn vijf manieren waarop criminelen ransomwarecode afleveren en integreren in de infrastructuur van een organisatie:

1. Phishing-e-mails & kwaadaardige bijlagen: Phishing-e-mails verleiden medewerkers tot het openen van kwaadaardige documenten of het bezoeken van links die leiden naar websites van aanvallers. Wanneer macro’s of scriptkwetsbaarheden worden geactiveerd, begint de versleuteling of worden backdoor shells geactiveerd. Ondanks dat medewerkers zijn getraind om niet op links te klikken of persoonlijke informatie te verstrekken via e-mail, blijft phishing een betrouwbare methode voor criminelen om toegang te krijgen tot het netwerk van een bedrijf. Bedrijven die contentfilters en geavanceerde e-mailgateways gebruiken, verminderen deze penetratie aanzienlijk.
2. Uitgebuite softwarekwetsbaarheden: Ransomware zoekt kwetsbare frameworks, besturingssystemen of ontwikkel-/testinterfaces die niet zijn verwijderd. Via zorgvuldig samengestelde pakketten of commando’s krijgen criminelen controle en voeren ze code uit, waardoor ransomware zonder medeweten van de gebruiker wordt geïnstalleerd. Deze infiltratiehoeken worden beperkt door tijdig patchen, kwetsbaarheidsscans en segmentatie. Eén gemiste patch kan hele structuren platleggen, wat duidelijk is geworden bij grootschalige aanvallen.
3. Remote Desktop Protocol (RDP)-aanvallen: Onvoldoende of hergebruikte inloggegevens voor RDP-sessies maken het mogelijk voor aanvallers om toegang te krijgen via raden of brute force. Eenmaal binnen bewegen aanvallers zich snel en verspreiden ze ransomware over meerdere shares of domeincontrollers. Maatregelen zoals het gebruik van multifactorauthenticatie, het beperken van RDP-toegang tot VPN of het uitschakelen van externe RDP minimaliseren het risico aanzienlijk. Deze combinatie maakt het onmogelijk om toegang te krijgen met alleen een gestolen of geraden wachtwoord.
4. Drive-by downloads & kwaadaardige advertenties: Phishingwebsites of besmette advertentie-servers leveren payloads aan browsers die niet zijn bijgewerkt. Door een geïnfecteerde pagina te bezoeken of per ongeluk een advertentie te zien, worden verborgen scripts geactiveerd die ransomware downloaden. Endpoint-antivirus of nieuwe browsers kunnen dergelijke scripts als kwaadaardig herkennen, maar gewone medewerkers of systemen zonder updates zijn kwetsbaar. In combinatie met geavanceerde contentfiltering wordt de kans op drive-by-infiltratie sterk verminderd.
5. Supply chain-compromittering: Criminelen knoeien ook met software-updates van leveranciers en verspreiden geïnfecteerde patches of afhankelijkheden. Zodra de organisatie de “officiële” update ontvangt, wordt de verborgen malware uitgevoerd. Deze infiltratiemethode is aanzienlijk toegenomen, vooral bij supply chain-incidenten met grote impact. Om supply chain-infiltratie te voorkomen, is het verifiëren van elk softwarepakket, het toepassen van code signing-controles en het scannen van nieuw geïntroduceerde libraries essentieel.

Soorten ransomware

De soorten ransomware zijn geëvolueerd en elk type heeft verschillende methoden van versleuteling, infiltratie of afpersing. Sommige ransomware bevriest het scherm, andere lekken informatie. Bewustzijn van deze verschillen helpt bij het opbouwen van adequate verdediging. In de volgende sectie beschrijven we zeven belangrijke gebieden die zich richten op de ontwikkeling en diversificatie van ransomware.

1. Crypto-ransomware: Deze varianten versleutelen de gegevens van de gebruiker met sterke algoritmen en dwingen slachtoffers de decryptiesleutel te kopen. Criminelen proberen doorgaans hele mappen of belangrijke bedrijfsbestanden te infecteren om maximale verstoring te veroorzaken. Als back-ups ook zijn getroffen of ontbreken, zijn de herstelkansen somber. Een aanzienlijk aantal grootschalige infiltratiegolven richt zich op crypto-gebaseerde afpersing.
2. Locker-ransomware: In tegenstelling tot encryptie, waarbij gebruikers worden buitengesloten van hun systemen, bevriest locker-ransomware het besturingssysteem. De dreiging houdt in dat normale toegang pas wordt hersteld na betaling, zelfs als de bestanden niet zijn versleuteld. Verlies van systeemfunctionaliteit kan net zo verwoestend zijn voor werkplekken als voor individuen en bedrijven. Hierdoor is het mogelijk dat gedeeltelijke data nog kan worden hersteld als forensisch onderzoek de strains kan ontgrendelen, omdat er geen encryptie plaatsvindt.
3. Dubbele afpersing-ransomware: Cybercriminelen stelen data voordat ze deze versleutelen en dreigen deze openbaar te maken of te verkopen als niet aan de eisen wordt voldaan. Deze combinatie verhoogt de druk, omdat back-ups op zichzelf niet voorkomen dat publieke data uitlekt. Ze delen meestal voorbeelden op websites die data lekken, wat reputatie- of juridische gevolgen heeft voor organisaties. Bij dubbele afpersing kunnen slachtoffers, zelfs na betaling, niet zeker zijn dat hun data privé blijft, omdat criminelen hun woord kunnen breken.
4. Ransomware-as-a-Service (RaaS): In RaaS-modellen bieden ervaren dreigingsactoren hun tools, oftewel ransomwarekits, aan affiliates met weinig technische kennis. Affiliates vallen doelwitten aan, sturen een deel van het losgeld naar de groep en breiden het aantal doelwitten uit. Deze samenwerking stimuleert een bloeiende economie van gespecialiseerde infiltratierollen, van initial access brokers tot onderhandelaars. RaaS leidt tot een toename van het aantal ransomware-aanvallen wereldwijd door het lagere vaardigheidsniveau dat nodig is om dergelijke aanvallen uit te voeren.
5. Fileless ransomware: Fileless-varianten werken voornamelijk in het geheugen en zijn niet resource-intensief, wat betekent dat ze weinig data naar schijven schrijven. Sommige van deze processen worden niet gedetecteerd door conventionele antivirus- of scanprogramma’s. Malware-auteurs gebruiken systeemhulpprogramma’s, zoals PowerShell, om de encryptiecommando’s heimelijk uit te voeren. Om dergelijke infiltratiehoeken tegen te gaan, zijn geavanceerde gedragsdetectie en beperkte scripttoegang vereist.
6. Mobiele ransomware: Specifiek ontworpen voor smartphones of tablets, vergrendelen deze varianten gebruikers van hun apparaten of versleutelen lokaal opgeslagen bestanden. Cybercriminelen verspreiden gevaarlijke apps via externe marktplaatsen of verwerken ze in updates. Door gebruik te maken van persoonlijke data of zakelijke logins op het apparaat worden slachtoffers gedwongen te betalen voor herstel. Een sterke downloadmuur voor applicaties en regelmatige back-ups van apparaten beperken het succes van mobiele infiltratie aanzienlijk.
7. Wiper-ransomware: Een destructieve subgroep die data verwijdert of beschadigt in plaats van decryptie te bieden na betaling. Hoewel het lijkt op traditionele ransomwarecommunicatie, is het werkelijke doel vernietiging of ontwrichting. Cybercriminelen kunnen wiper-strains gebruiken om bedrijfsvoering te verstoren of zelfs essentiële infrastructuren te saboteren. Door het ontbreken van een herstelcode is de enige hoop op dataterugwinning een back-up en een robuust incident response-plan.

Meer informatie: Soorten ransomware-aanvallen

Veelvoorkomende aanvalsvectoren van ransomware

Naast infiltratieroutes zoals phishing of ongepatchte apps gebruikt ransomware meerdere vectoren en manieren voor penetratie en escalatie. Hackers onderzoeken continu de kwetsbaarheden van bedrijven, waaronder gestolen inloggegevens en misbruikte partnerverbindingen. Hier beschrijven we vijf van de meest voorkomende paden die ze gebruiken en leggen we uit hoe criminelen van de eerste fase van een inbreuk naar data-encryptie gaan.

1. Phishing & social engineering: Richt zich op medewerkers via e-mails met links naar nepwebsites, andere e-mails of macro-geïnfecteerde bijlagen die ransomware activeren. Deze berichten zijn verder aangepast om te lijken alsof ze afkomstig zijn van HR, financiën of een bekende leverancier. Na uitvoering van de code verspreidt het virus zich snel, gericht op lokale mappen of gekoppelde shares. Spamfilters, gebruikersbewustzijn en het gebruik van tweefactorauthenticatie verlagen het succespercentage van infiltratie.
2. Credential stuffing & password spraying: Met een groot aantal gelekte accounts op internet proberen cybercriminelen toegang te krijgen tot zakelijke VPN’s of externe toegang met dezelfde inloggegevens. Zodra het doelwit is geïdentificeerd, injecteren ze malware in het netwerk, vaak vermomd als een legitieme gebruiker. Maatregelen zoals sterke wachtwoordbeleid of verplichte wachtwoordwijziging binnen korte tijd minimaliseren ook infiltratiehoeken. Daarnaast beïnvloeden MFA en device context het succes van wachtwoordaanvallen.
3. Exploitkits & malvertising: Hackers injecteren eerst exploitcode in advertenties of websites die ze beheren en leiden gebruikers vervolgens om naar hun gekozen bestemmingen. In de volgende stap voeren kwetsbare browsers of plug-ins de ransomware uit. Zelfs gerenommeerde nieuws- of e-commercesites kunnen slachtoffer worden van het hosten van advertenties als advertentienetwerken worden gecompromitteerd. Door contentfilters te gebruiken, browsers te patchen en het gebruik van plug-ins te beperken, voorkomen organisaties dergelijke infiltratiepogingen.
4. Remote desktop services & VPN-kwetsbaarheden: RDP of oudere VPN-oplossingen met bekende CVE’s zijn nog steeds verkeerd geconfigureerd en vormen de belangrijkste routes voor een succesvolle aanval. Deze eindpunten worden ofwel brute forced of uitgebuit door aanvallers om direct ransomware te downloaden en uit te voeren op doelservers. Zonder robuuste configuraties zoals account lockouts of firmware-updates blijft deze infiltratie eenvoudig. Een tweede beschermingslaag door RDP achter een zakelijke VPN met MFA te segmenteren, verkleint deze gaten ook.
5. Supply chain-compromittering: Software-updates van een vertrouwde leverancier of library worden door criminelen aangepast, zodat ze kwaadaardige modules in uw omgeving kunnen introduceren. Wanneer de updates worden geïntegreerd in uw patchsystemen of build pipelines, wordt de code geactiveerd. RaaS-groepen kopen ook toegang van gecompromitteerde leveranciers, waardoor infiltratie wordt verbonden met nog grotere zakelijke doelwitten. Leveranciersrisicobeoordelingen, code-signing verificaties en scanning voorkomen deze verborgen infiltratiepaden.

Hoe werkt ransomware?

Weten hoe ransomware in detail werkt, helpt te verklaren hoe het zich verbergt, hoe snel het evolueert en hoe gevaarlijk het is. Hackers gebruiken een combinatie van infiltratietechnieken en encryptieprocedures, samen met de beruchte losgeldeisen, die soms ongrijpbaar maar krachtig zijn. Hier identificeren we vijf belangrijke processen die deze vicieuze cirkel verklaren:

1. Initiële toegang & payloadlevering: Criminelen identificeren een toegangspunt, bijvoorbeeld via phishing, exploitpacks of gestolen inloggegevens, en introduceren de malware. Deze payload controleert vaak de systeemarchitectuur, aanwezigheid van antivirus of gebruikersrechten. Als het een gunstige omgeving vindt, verhoogt het privileges of creëert het submodules. In deze fase kan vroege detectie de hele infiltratieketen verstoren.
2. Privilege-escalatie & laterale beweging: Binnen het doelsysteem maken criminelen gebruik van zwakke plekken of standaardwachtwoorden om van gebruikers- naar beheerdersniveau te gaan. Vervolgens bewegen ze zich door het netwerk, op zoek naar shares, back-upservers of domeincontrollers. Door beveiligingslogs of EDR-agents uit te schakelen, maskeren ze de voortgang van infiltratie. Zo wordt ervoor gezorgd dat de infiltratie breed is voordat encryptie begint, wat maximale verstoring oplevert.
3. Data-exfiltratie & dubbele afpersing: Bij moderne aanvallen worden gevoelige gegevens naar andere servers geëxfiltreerd voordat encryptie plaatsvindt. Cybercriminelen eisen losgeld van de doelwitten in ruil voor het niet openbaar maken van de gestolen informatie. Deze combinatie escaleert losgeldonderhandelingen – back-ups zijn niet voldoende als datalekken waarschijnlijk worden. De combinatie van infiltratie en afpersing dwingt organisaties rekening te houden met zowel operationele als reputatiekosten.
4. Encryptie & vergrendeling: Zodra de malware is geïnstalleerd, versleutelt de kwaadaardige routine doelbestanden met sterke encryptie-algoritmen zoals AES of RSA, waardoor bestanden ontoegankelijk worden. De aanvallers laten een losgeldbrief achter met het verzoek om betaling in cryptocurrency en stellen vaak een tijdslimiet. Deze encryptie kan ook back-ups treffen als criminelen merken dat deze zijn aangesloten. Na verloop van tijd wordt het agressiever en begint het pogingen tot herstel te verstoren.
5. Losgeldonderhandeling & mogelijke decryptie: In dit geval blijven slachtoffers achter met de keuze om het losgeld te betalen of te herstellen vanaf back-ups. Criminelen leveren meestal het decryptietool na ontvangst van het losgeld, maar de kwaliteit van het tool kan twijfelachtig zijn. Sommige criminelen lekken alsnog data of de verstrekte sleutels werken niet goed, wat de situatie verergert. Een offline of air-gapped back-up en geteste herstelplannen kunnen voorkomen dat er betaald moet worden.

Fasen van een ransomware-aanval

Hoewel de details van infiltratie kunnen verschillen per type ransomware-strain of omgeving, volgen de meeste ransomware-aanvallen een aantal gemeenschappelijke fasen. Dit betekent dat het stoppen in het begin – zoals het blokkeren van de eerste exploitpoging – kan voorkomen dat de situatie verergert. Hieronder hebben we de gebruikelijke fasen van verkenning tot de laatste stap van afpersing uiteengezet en toegelicht hoe criminelen systematisch tot succesvolle encryptie komen.

1. Reconnaissance: Aanvallers onderzoeken netwerken, verkrijgen wachtwoorden uit datalekken of zoeken medewerkersprofielen op LinkedIn. Ze zoeken kwetsbare doelwitten zoals ongepatchte servers, open poorten of personen met toegang tot data. Deze combinatie onthult waardevolle assets, zoals financiële databases of domeincontrollers. Door een zorgvuldige analyse van de omgeving kunnen criminelen manieren bedenken om een organisatie binnen te dringen.
2. Initiële compromittering: Op basis van deze verkenning lanceren criminelen malware of controleren ze inloggegevens. Ze kunnen zich voordoen als medewerkers of misbruik maken van bekende kwetsbaarheden in software. Na het eerste toegangspunt, zoals desktops, verzamelen de aanvallers meer details over de omgeving. Dit maakt diepere infiltratie of laterale beweging mogelijk.
3. Privilege-escalatie & laterale beweging: Tegenwoordig maken aanvallers gebruik van lokale kwetsbaarheden of brute force om domein- of rootrechten te verkrijgen. Ze scannen ook gekoppelde schijven, netwerkshares of cloud-API’s op waardevolle informatie. Door beveiligingslogs te controleren of te omzeilen, voorkomen ze dat hun infiltratie wordt opgemerkt door detectieprogramma’s. Hierdoor kan één gecompromitteerde gebruiker hele segmenten beïnvloeden als microsegmentatie ontbreekt.
4. Data-exfiltratie: Met beheerdersrechten verplaatsen criminelen gegevens stilletjes naar servers buiten het bedrijfsnetwerk. Deze stap bereidt hen voor op een dubbele afpersingsstrategie waarbij ze dreigen data te lekken als het losgeld niet wordt betaald. Het helpt criminelen ook bij het bepalen van het potentiële losgeld en de gevoeligheid van de data. Doelwitten zijn zich vaak niet bewust van het dataverlies totdat losgeldbrieven worden ontvangen of ongebruikelijk verkeer wordt gedetecteerd.
5. Encryptie & losgeldeis: Tot slot versleutelt de code belangrijke bestanden met een sterke sleutel en laat een bericht achter over hoe te decrypten en het te betalen bedrag. Dreigingsactoren vragen meestal betaling in cryptocurrency en stellen een korte tijdslimiet of dreigen gestolen data te publiceren. Als back-ups ook verloren zijn gegaan of personeel niet voorbereid is, wordt de bedrijfsvoering de hele dag stilgelegd. Deze laatste fase bezegelt het succes van de infiltratie, tenzij de aanval wordt gedetecteerd en gestopt of de geïnfecteerde systemen snel offline worden hersteld.

Methode van ransomware-aanvallen

Criminelen gebruiken verschillende tactieken en strategieën van infiltratie en afpersing die gericht zijn op verschillende aspecten of gedragingen van medewerkers. Door deze ransomwaremethoden te analyseren, kunnen organisaties hun verdediging op elk infiltratiepunt verbeteren. Hier presenteren we vijf voorbeelden om te laten zien hoe veelzijdig en flexibel moderne aanvallers zijn:

1. Malspam & spear phishing: E-mail is tot nu toe de meest gebruikte infiltratiemethode, vooral massaal of gericht, waarbij gebruik wordt gemaakt van onervaren medewerkers die besmette bijlagen downloaden of op links klikken. Spear phishing omvat het versturen van berichten met informatie die criminelen hebben verkregen via sociale media of eerdere hacks. Zodra macro’s of exploitkits worden uitgevoerd, start het encryptie- of exfiltratieroutine. Geavanceerde e-mailfilters, bewustwording bij personeel en linkscanning verkorten het succes van infiltratie.
2. Exploitkits & drive-by compromise: Malware wordt geïnjecteerd in doelgerichte of geïnfecteerde websites of via malvertising. Elke browser of plug-in die niet is bijgewerkt met de laatste patches vormt een open deur zodra medewerkers de site bezoeken. Zelfs grote advertentienetwerken kunnen af en toe kwaadaardige advertenties leveren aan legitieme sites. Strikt patchbeheer en beperkt gebruik van plug-ins beperken deze infiltratiehoeken aanzienlijk.
3. Remote services & RDP-aanvallen: Hackers onderzoeken proactief RDP-eindpunten of SSH-verbindingen met als doel standaardwachtwoorden of een ontdekte CVE te gebruiken. Als de aanvaller domeinadminrechten of roottoegang tot het besturingssysteem krijgt, kan hij encryptieroutines op systeemniveau installeren. Maatregelen zoals multifactorauthenticatie of het beperken van externe toegang tot bronnen achter VPN of zero trust verkleinen de kans op succesvolle cyberaanvallen aanzienlijk. Herhaaldelijk logs controleren op soortgelijke vermeldingen is een andere manier om brute force-pogingen vroegtijdig te herkennen.
4. Trojanized software & third-party compromise: Kwakzalvers infiltreren legitieme software-updates zoals drivers, plug-ins of libraries en integreren ransomwarecode. Slachtoffers denken dat ze downloaden van de leverancier of een mirror-site en voeren de updates uit, waardoor infiltratieprocedures worden geactiveerd. Dit toont perfect aan hoe supply chain-compromittering verstrekkende gevolgen heeft. Controleren van codesignatures, sterk leveranciersrisicomanagement en pipeline-scanning voorkomen deze verborgen infiltratievectoren.
5. Lateral pivot vanuit andere malware: Soms begint infiltratie met een minder opvallende trojan of keylogger die heimelijk gebruikersnamen of wachtwoorden verzamelt. Aanvallers gaan vervolgens over tot de daadwerkelijke encryptie zodra ze waardevolle data hebben geïdentificeerd. Het encryptieproces van ransomware start voordat medewerkers doorhebben dat er iets mis is. Gedragsgebaseerde EDR-oplossingen kunnen een abnormale pivot detecteren en infiltratie stoppen vóór de laatste aanval.

Voorbeelden van ransomware-aanvallen

Als het om ransomware gaat, is het duidelijk waartoe criminelen in staat zijn – ze kunnen de bedrijfsvoering platleggen of miljoenen dollars eisen voor vrijgave. Het is daarom belangrijk te beseffen dat zelfs de best uitgeruste organisaties verrast kunnen worden als één infiltratiehoek onbeschermd blijft. In de volgende sectie worden vier cases gepresenteerd om de ernst van infiltratie, de reacties van bedrijven en de uitkomsten te belichten.

1. LoanDepot (2024): In januari meldde een van de grootste hypotheekverstrekkers, LoanDepot, een ransomware-aanval die plaatsvond van 3 tot 5 januari, waarbij data werd versleuteld en gevoelige klantinformatie werd gestolen, wat leidde tot verstoring van de dienstverlening voor 16,6 miljoen consumenten. Alphv/BlackCat claimde de aanval, waarmee de groep zijn geschiedenis van grote datalekken uitbreidde. De recente aanval op LoanDepot toont aan dat financiële bedrijven met veel gebruikersdata bijzonder aantrekkelijk zijn voor afpersers.
2. Veolia (2024): Veolia North America, een water- en energierecyclingbedrijf, meldde dat het slachtoffer was geworden van een ransomware-aanval waardoor sommige back-end systemen niet beschikbaar waren. Hoewel de waterzuiveringsactiviteiten niet werden verstoord, werden factureringsdiensten beïnvloed, wat ongemak veroorzaakte bij klanten. Dit leidde tot gebruikersmeldingen na een gedeeltelijk datalek. Dit toont aan dat kritieke infrastructuurleveranciers steeds vaker doelwit zijn om snelle betaling van losgeld af te dwingen.
3. Ascension (2024): Ascension, een zorgsysteem uit St. Louis, maakte in mei bekend dat ransomware elektronische patiëntendossiers (EHR) en enkele telefoonlijnen had getroffen. Meer dan een maand lang ondervonden patiënten verstoring bij het plannen van afspraken en verwarring bij het bestellen van medicatie. Sommige locaties moesten zelfs ambulances omleiden omdat het personeel de drukste week ooit beleefde. Dit toont aan hoe gevaarlijke ransomware-incidenten essentiële zorg verstoren, wat niet alleen een bedreiging vormt voor de stabiliteit van ziekenhuizen, maar ook voor het leven van patiënten.
4. Stadsbestuur Cleveland (2024): In juni legden hackers de stad Cleveland plat, waardoor het stadhuis 11 dagen werd gesloten na een aanval die factureringssystemen en administratieve procedures verstoorde. Medewerkers probeerden de getroffen computers te isoleren en data te herstellen vanaf back-ups. De stad gaf aan het losgeld niet te betalen, hoewel niet kon worden bevestigd of data was gestolen. Dit toont aan hoe zelfs schadelijke ransomware-aanvallen alle gemeentelijke diensten kunnen verlammen en het dagelijks leven van inwoners beïnvloeden.

Hoe ransomware-aanvallen voorkomen?

Beveiligen tegen infiltratie vereist niet alleen betere tools, maar ook goed geïnformeerd personeel, veilige instellingen en geteste back-ups. Daarom is geen enkele maatregel op zichzelf voldoende, aangezien criminelen hun strategieën voortdurend aanpassen. Hier zijn vijf fundamentele maatregelen die het risico op infiltratie aanzienlijk verminderen en het herstel na een incident versnellen:

1. Uitgebreide training van personeel: Phishing en social engineering blijven de populairste methoden voor aanvallers om organisaties binnen te dringen. Periodieke trainingssessies en gesimuleerde phishingaanvallen helpen medewerkers alert te blijven op potentiële dreigingen. Gebruik aanvullende beveiligingsmaatregelen om ervoor te zorgen dat alleen complexe wachtzinnen worden gebruikt in plaats van eenvoudige, gemakkelijk te raden wachtwoorden. Dit verkleint het risico dat onschuldige klikken of hergebruikte wachtwoorden hele netwerken in gevaar brengen.
2. Verplicht gebruik van multifactorauthenticatie: Zelfs als criminelen wachtwoorden raden of verkrijgen, vertragen tweede factoren (zoals codes naar de telefoon of fysieke tokens) indringers. MFA wordt sterk aanbevolen bij het inloggen op een admin- of domeinaccount voor externe VPN- of RDP-verbindingen. Dit verkleint de kans op credential stuffing aanzienlijk. Op termijn verbeteren andere geavanceerde oplossingen, zoals single sign-on in combinatie met contextgebaseerd beleid, de authenticiteit.
3. Regelmatig patchen & kwetsbaarheidsscans: Het tijdig uitvoeren van updates voor besturingssysteem, applicaties en firmware beperkt bekende infiltratiehoeken. Regelmatige scans helpen bij het detecteren van nieuw ontdekte CVE’s of zero-day kwetsbaarheden. Dergelijke taken moeten ook tijdelijke resources omvatten, zoals containers of ontwikkel-/testservers. Door scanning te koppelen aan pipeline-merges kunnen dev en ops kwetsbaarheden aanpakken in het ontwikkelproces vóór release naar productie.
4. Microsegmentatie & zero-trust-architectuur: Het opdelen van netwerken in segmenten voorkomt laterale beweging als aanvallers een server, endpoint of cloudresource binnendringen. Zero trust controleert de identiteit en rechten van elk verzoek, waardoor ongeautoriseerde toegang via gestolen of geraden inloggegevens wordt voorkomen. De implementatie van softwaregedefinieerde perimeters of zeer restrictieve VLAN-regels biedt minimale infiltratievensters. Segmentatie, gecombineerd met zero trust, zorgt ervoor dat infiltratie zich niet verspreidt naar de hele omgeving.
5. Air-gapped back-ups & rampenoefeningen: Het is onmogelijk om alle soorten infiltratie te voorkomen, zelfs met de meest robuuste beveiligingsmaatregelen, daarom is een offline back-up essentieel. Controleer periodiek herstelpunten om te waarborgen dat de data actueel en onbeschadigd is. Als criminelen productie versleutelen, kunnen offline back-ups snel worden gebruikt voor herstel zonder losgeld te betalen. Door gebruik te maken van incident-runbooks kan personeel echte infiltratie effectief beheren, waardoor chaos wordt beperkt.

Detectie & verwijdering van ransomware

Ransomwarepreventie is niet altijd waterdicht en infiltratie kan plaatsvinden via misbruik van een zero-day-kwetsbaarheid of een social engineering-aanval. Vroege detectie van kwaadaardige code kan versleuteling halverwege stoppen en zo een hele omgeving redden. Hier zijn vijf stappen om snel gevaarlijk gedrag te herkennen en te coördineren hoe ransomware na een infectie kan worden verwijderd:

1. Gedragsgebaseerde endpointbescherming: Een antivirus die alleen op signatures werkt, is vaak traag omdat code snel en vaak verandert. Geavanceerde EDR-oplossingen observeren runtime-gedrag, zoals een nieuw proces dat veel bestanden tegelijk versleutelt. Als een anomalie overeenkomt met een bekend infiltratiepatroon, wordt deze geïsoleerd of in quarantaine geplaatst. Hierdoor worden fileless of zelfs geheel nieuwe vormen van kwaadaardige programma’s realtime gedetecteerd.
2. Netwerkanomaliedetectie: Datatransfers buiten werktijd of plotseling hoog bandbreedtegebruik duiden op exfiltratie of massale encryptie. SIEM- of NDR-tools kunnen dergelijke patronen detecteren om personeel te waarschuwen voor nader onderzoek. Analyse van verkeersverdeling en east-west-verbindingen kan de eerste stadia van infiltratie aan het licht brengen. Dit voorkomt dat de aanvaller voet aan de grond krijgt en alle bestanden versleutelt of gestolen data verzendt.
3. Ransomware-scanners: Sommige anti-ransomwaretools zijn ontworpen om actief te zoeken naar specifieke encryptie-algoritmen, hernoemacties of bestandsextensies die doorgaans worden vergrendeld. Ze kunnen ook controleren op gedeeltelijke ransomware-schrijfacties of wijzigingen aan volume shadow copies. Indien geactiveerd, beëindigen ze het probleemproces of herstellen ze gewijzigde bestanden via journaling. Naast standaard antivirus verkorten deze specifieke scanners de infiltratietijd aanzienlijk.
4. Geautomatiseerde isolatie & herstel: Zodra een automatiseringsframework wordt geactiveerd, kan het geïnfecteerde hosts uitschakelen en netwerktoegang weigeren, waardoor laterale beweging wordt gestopt. Sommige geavanceerde oplossingen bieden ‘rollback’-mogelijkheden om de systeemstatus vast te leggen en personeel in staat te stellen het systeem terug te zetten naar een staat vóór de infectie. Door isolatie te koppelen aan de detectiefase voorkomt u dat criminelen lateraal bewegen of data exfiltreren. Dit bespaart tijd in het incidentvenster en verkort de totale impact.
5. Verwijdering van ransomware & forensische opschoning: Na isolatie blijft er altijd wat code achter die geneutraliseerd moet worden, moeten systeembestanden worden gecontroleerd en alle mogelijke triggers worden verwijderd. Dit kan het scannen van opstartprogramma’s, geplande taken of registers op kwaadaardige koppelingen omvatten. Bij gedeeltelijke encryptie kunnen bestanden worden hersteld vanaf back-ups of gedecrypt met decryptietools. Een grondige ransomware-analyse na het incident helpt toekomstige detectieregels te verfijnen en infiltratiehoeken te patchen.

Voorkom ransomware-aanvallen met SentinelOne

De autonome AI-dreigingsdetectie van SentinelOne kan organisaties helpen bij het bestrijden van malware, ransomware, phishing en alle vormen van cyberdreigingen. De Offensive Security Engine met Verified Exploit Paths kan afwijkingen detecteren, nieuwe aanvalshoeken blootleggen en deze mitigeren voordat ze kunnen worden misbruikt.

De geavanceerde endpointbescherming van SentinelOne kan VM’s, workloads, clouds, containers, gebruikers en identiteiten beveiligen. Purple AI, een generatieve AI-cybersecurityanalist, kan unieke inzichten bieden over aanvallers en security pipelines. U krijgt de beste CI/CD-pijplijnbeveiliging en adequate dekking. SentinelOne kan meer dan 750+ verschillende soorten secrets detecteren en het lekken van cloudreferenties voorkomen.

U kunt inactieve of slapende accounts identificeren en scannen op kwaadaardige processen voordat ze accounts kunnen overnemen, accounts kapen of privileges verhogen. SentinelOne kan actieve en passieve scans op de achtergrond uitvoeren en 24/7 opereren, waarbij u automatisch meldingen ontvangt bij problemen en valse positieven worden geëlimineerd.

Het beschikt ook over Snyk-integratie en wordt geleverd met een agentloze holistische CNAPP die volledige bescherming biedt. Door gebruik te maken van SentinelOne-oplossingen zorgt u ook voor continue naleving van regelgevende kaders zoals SOC 2, NIST, HIPAA, CIS Benchmark en andere. Organisaties kunnen ook Active Directory- en Entra ID-aanvallen bestrijden met de mogelijkheden van het platform.

Neem de rondleiding

AI-gestuurde endpointdetectie en -respons.

Conclusie

Ransomware blijft een van de gevaarlijkste dreigingen voor moderne bedrijven, omdat het data, bedrijfsprocessen en het vertrouwen van klanten in gevaar brengt. Bij infiltratiemethoden zoals phishing, exploitkits of laterale beweging is het effectiever om de aanpak op individueel niveau te analyseren en meerdere beschermingslagen te ontwikkelen. Het stoppen van infiltratie is echter slechts een deel van de oplossing; het identificeren van kwaadaardige activiteiten tijdens een aanval en het hebben van solide back-ups vormen de andere twee pijlers. Of het nu gaat om een kortstondige cloudomgeving of een on-premises server die al jaren in gebruik is, scannen, personeel trainen en microsegmentatie implementeren minimaliseren het aantal toegangsvectoren aanzienlijk.

Geen enkele oplossing is voldoende wanneer criminelen zich aanpassen aan nieuwe infiltratiestrategieën, zoals dubbele afpersing of de integratie van geavanceerde wormfuncties. Continue verbeteringen op basis van duidelijk gedefinieerd beleid, bewezen back-ups en adaptieve EDR-oplossingen houden infiltratiedreigingen onder controle. In combinatie met een speciale ransomware-scanner of een AI-gebaseerd Endpoint Protection Platform zoals SentinelOne krijgt uw omgeving realtime detectie en automatische remediatie.