De ransomware REvil is een ware plaag voor het bedrijfsleven. Deze gijzelsoftware krijgt nu ook in Nederland voet aan de grond. Kenmerkend voor REvil is de dubbele afpersing: bestanden worden niet alleen versleuteld, maar in sommige gevallen ook openbaar gemaakt. Hoe gaan deze cybercriminelen precies te werk? En loopt uw organisatie risico?
Wat is REvil?
REvil, ook wel bekend als Sodinokibi, is een van de succesvolste ransomwarevarianten ooit. Deze ransomware dook in 2019 voor het eerst op. Sindsdien heeft de REvil-bende volgens een woordvoerder al 100 miljoen dollar buitgemaakt. De makers van REvil plegen zelf overigens geen aanvallen, maar leveren de gijzelsoftware als dienst aan andere cybercriminelen. Dit verdienmodel wordt ransomware-a-a-service (RaaS) genoemd.
Het KPN Security Research Team heeft REvil uitvoerig bestudeerd. De onderzoekers wisten meerdere domeinen in handen te krijgen waarmee besmette systemen communiceren en konden zo het aantal infecties tellen. In de laatste vijf maanden van 2020 zijn meer dan 150.000 systemen besmet geraakt. Gemiddeld eisen de aanvallers zo’n 260.000 dollar losgeld in de cryptovaluta Monero. Het bedrag ligt hoger naarmate er meer systemen van een organisatie geïnfecteerd zijn. Het team zag dat er in totaal 38 miljoen dollar losgeld werd gevraagd in vijf maanden tijd.
Whitepaper: 'Basisbeveiliging'
Zo beperk je het risico op cybercriminaliteit. Whitepaper voor ondernemers, directeuren en managers.
DownloadHoe werkt ransomware-as-a-service?
Cybercriminelen kunnen tegen betaling gebruikmaken van de ransomware. Deze ‘partners’ zijn verantwoordelijk voor de distributie van de malware. Zij moeten dus zelf toegang krijgen tot het netwerk van het doelwit en bepalen ook zelf de aanvalsmethode en de hoogte van het losgeld. Een percentage van de opbrengst, 20 tot 30 procent, wordt automatisch afgestaan aan in dit geval de REvil-bende. Op deze manier profiteren zowel de partners als de makers van een geslaagde aanval.
De partners van REvil opereren onafhankelijk van elkaar. Ook is er een flinke druk om te presteren, want er staan genoeg andere criminelen klaar om hun plek in te nemen. Hierdoor lopen de gebruikte aanvalstechnieken sterk uiteen. Sommige partners proberen zoveel mogelijk systemen te besmetten, bijvoorbeeld via grootschalige e-mailcampagnes, brute-forceaanvallen of bekende kwetsbaarheden in software en servers. Andere partners richten zich specifiek op grotere bedrijven die moeilijker binnen te dringen zijn, waardoor een meer geavanceerde aanval vereist is.
Hoe werkt de dubbele afpersing?
REvil geeft de aanvallers een stok achter de deur voor als het slachtoffer weigert te betalen. Via een in 2020 zelf opgerichte leksite genaamd ‘Happy Blog’ worden gestolen documenten gepubliceerd. Kort daarna voegden de criminelen zelfs een veilingfunctie toe aan de website. Deze functie stelt ze in staat om gestolen informatie te verkopen aan de hoogste bieder, ook als het slachtoffer al heeft betaald om zijn data terug te krijgen.
Het voorkomen van een datalek is dus nog een reden om met het geld over de brug te komen. In de praktijk biedt betaling van het losgeld echter geen garanties. Zo waarschuwde securitybedrijf Coveware in november 2020 dat betalende slachtoffers soms een paar weken later opnieuw afgeperst worden. REvil dreigt dan dezelfde informatie alsnog te lekken. Het lastige is dat organisaties hier geen grip op hebben: ze kunnen wel weer toegang krijgen tot gegijzelde data, maar blijven toch kwetsbaar vanwege de gestolen data.
Welke organisaties lopen risico?
REvil vormt een bedreiging voor elke branche. Van overheidsinstanties, onderwijsinstellingen en ziekenhuizen tot financiële dienstverleners, transportbedrijven en zelfs cybersecuritybedrijven. Volgens de groepering zelf zijn met name IT-bedrijven, verzekeraars, advocatenbureaus en agro-industriële bedrijven een interessant doelwit. In vergelijking met andere soorten ransomware zijn de losgeldbedragen relatief hoog. Een belangrijk criterium lijkt dus dat een organisatie diepe zakken moet hebben.
Uit het onderzoek van KPN Security blijkt dat REvil systemen besmet in meer dan 150 landen. De overgrote meerderheid van de infecties komt tot stand in Zuid-Korea (39%) en de Verenigde Staten (28%), maar ook in andere landen richt REvil grote schade aan. Zo werden in 2020 onder andere de Argentijnse internetprovider Argentina Telecom, de Chileense bank BancoEstado en de Australische drankenfabrikant Lion getroffen door de ransomware. Ook in 2021 was het al meerdere keren raak, bijvoorbeeld bij de Aziatische retailgigant Dairy Farm en de Braziliaanse vleesverwerker JBS. Laatstgenoemde betaalde na de hack maar liefst 11 miljoen dollar aan losgeld.
Nederland ontspringt de dans helaas niet. Het Nederlands Dagblad meldde in januari 2021 dat in de weken daarvoor zeker twee Nederlandse bedrijven getroffen waren door REvil. Beide gedupeerde organisaties besloten het geëiste losgeld te betalen. Volgens cyberbeveiliger Fox-IT zijn er waarschijnlijk nog veel meer slachtoffers.
Hoe bescherm ik mijn organisatie tegen REvil?
Er is geen wondermiddel tegen ransomware. KPN Security adviseert om in ieder geval de basis op orde te brengen. Denk hierbij aan een moderne antimalware-oplossing die malware blokkeert, e-mailbeveiliging tegen phishing en awarenesstrainingen voor het personeel. Ook een strikt patchbeleid is belangrijk, zodat kwetsbaarheden in software tijdig worden gedicht. En zorg ervoor dat u meerdere back-ups heeft van bedrijfskritische data, zowel online als offline.
Monitoring- en detectiesystemen behoren eveneens tot de basisbeveiliging. Hoe sneller u weet dat systemen besmet zijn met REvil of andere ransomware, hoe groter de kans dat er nog iets te redden valt. Verder is het goed om een noodplan te maken. Welke maatregelen treft u in het geval van een besmetting, bijvoorbeeld om de geïnfecteerde systemen te isoleren? Hoe beperkt u de impact op de dagelijkse werkzaamheden? Hoe ziet de taakverdeling eruit tijdens zo’n incident?
KPN Security raadt af om het losgeld te betalen, omdat dit het verdienmodel van de cybercriminelen in stand houdt. Bovendien heeft u geen garantie dat het probleem hiermee opgelost is. Wellicht krijgt u wel toegang tot de gegijzelde gegevens, maar worden deze later alsnog gelekt tenzij u opnieuw betaalt. In de praktijk kunnen er zwaarwegende argumenten zijn om toch tot betaling over te gaan. Raadpleeg in ieder geval een specialist als u in deze situatie zit.
