Ransomware kill chain en kenmerken
Ransomware kill chain en kenmerken melden via Centraal Meldpunt: Meld.nl.
Ransomware Kill Chain en Kenmerken
De ransomware kill chain beschrijft het geautomatiseerde proces waarmee een ransomware-aanval wordt uitgevoerd. Het begint met de levering van de malware via phishingmails, geïnfecteerde downloads, malvertising, of via kwetsbaarheden in software. Na levering wordt de ransomware geïnstalleerd op het slachtoffer’s systeem, vaak onopgemerkt, en begint zich te reproduceren. Vervolgens maakt de malware verbinding met de Command and Control (CnC) server van de aanvaller, waar instructies worden ontvangen. De ransomware zoekt dan naar referenties en hogere toegangsrechten in het netwerk, steelt wachtwoorden en breidt zich via laterale beweging uit naar andere systemen. Uiteindelijk ontdekt de ransomware de doelbestanden en begint deze te versleutelen, waardoor toegang voor de gebruikers wordt geblokkeerd. Het laatste stadium is de eis van een digitaal losgeldbedrag (meestal in cryptocurrency) voordat de privésleutel wordt vrijgegeven. Dit proces verloopt snel en vaak zonder medeweten van het slachtoffer, waardoor detectie lastig is.
Fasen van de Ransomware Kill Chain
| Stap | Toelichting | Signalen |
|---|---|---|
| 1. Levering | Strategische verspreiding via phishing, malvertising, etc. | Onverwachte e-mails, verdachte bestanden |
| 2. Installatie | Malware wordt automatisch gedownload en actief | Onbekende software, verhoogde CPU-belasting |
| 3. Command & Control | Verbinding met aanvaller voor commando’s | Verkeer met onbekende IP-adressen |
| 4. Toegang | Verzamelen van referenties, verkrijgen van beheerdersrechten | Ongebruikelijke accountactiviteit |
| 5. Ontdekking | Doorzoeken naar bestanden om te versleutelen | Ongewoon gedrag van bestandssystemen |
| 6. Laterale beweging | Exploitatie van netwerk en systemen om verder te verspreiden | Abnormale netwerkactiviteit |
| 7. Actie | Versleutelen van bestanden, blokkeren toegang, eisen losgeld | Versleutelde bestanden, losgeldeisen |
| Kenmerk | Beschrijving |
|---|---|
| Bestanden gijzelaars door encryptie | Sterke encryptie maakt bestanden ontoegankelijk voor de gebruiker |
| Losgeldbetaling in cryptocurrency | Eisen van betaling meestal in Bitcoin of andere digitale valuta |
| Infectiekanalen | Besmetting via kwaadaardige e-mailbijlagen, drive-by downloads, kwetsbare software |
| Nep-meldingen van hulpdiensten | Mensen worden benaderd door nep-medewerkers van Microsoft die op afstand inloggen |
| Losgeldbetaling is risicovol | Betalen kan laatste redmiddel zijn, maar garandeert geen ontsleuteling |
| Ondoorgankelijke encryptie | Versleuteling is meestal onomkeerbaar zonder decryptiesleutel |
| Besmetting van externe opslagsystemen | Infectie breidt uit naar externe harde schijven en netwerkopslag |
Impact Ransomware-aanvallen
| Betrokkene | Effect |
|---|---|
| Individuen | Financiële verliezen, verlies van waardevolle data, stress |
| Bedrijven | Verlies productiecapaciteit, omzet, imagoschade, boetes |
| Maatschappij | Economische schade, risico’s voor vitale infrastructuren |
Juridische basis
Artikel 138ab Sr | Artikel 350a Sr | Artikel 318 Sr | Artikel 326 Sr | Algemene Verordening Gegevensbescherming (AVG)
Belang van anonimiteit bij meldingen
Meldingen via Meld.nl kunnen anoniem worden gedaan en helpen bij het tijdig signaleren en bestrijden van ransomware. De Wet bescherming klokkeniers beschermt melders tegen represailles.
Wanneer Cybercrime Advocaat inschakelen
-
Bij detectie of vermoeden van ransomware-infectie
-
Bij ernstige financiële schade of datalekken
-
Voor onderhandelingen over losgeldbetaling
-
Ter ondersteuning bij juridische procedures
-
Voor hulp bij communicatie met autoriteiten en verzekeraars
Taken van de Advocate
Juridisch advies | Procesbegeleiding | Vertegenwoordiging | Onderhandeling | Bewijsbeheer | Mediation
(Contra) (Forensisch) (Digitaal) Onderzoek
Onafhankelijke forensische onderzoeken zijn essentieel om de aanval te analyseren, sporen te verzamelen en herstel te ondersteunen.
Meld.nl biedt een veilige route voor anonieme meldingen. Elk signaal is van cruciaal belang. Na afhandeling wordt melding verwijderd. Juridische ondersteuning door een Cybercrime advocaat is essentieel.
Meld.nl kan op dit moment geen meldingen verwerken; excuses voor het ongemak.