Als je naar wat statistieken hierover kijkt, kom je al snel tot de conclusie dat ransomware slechts een klein percentage van alle malware in de wereld uitmaakt. In 2015 minder dan 1%. Het lijkt erop dat dat aandeel groeiende is, maar het is zeker dat “gewone” malware nog altijd ruimschoots in de meerderheid is. Toch hebben IT-beheerders bij bedrijven en bij automatiseerders schijnbaar alleen nog maar oog voor ransomware en zijn er veel klachten over het feit dat niet alle ransomware door alle beveiligingsproducten goed wordt tegengehouden.

Hoger besmettingspercentage?

Een verklaring voor dit verschijnsel zou kunnen worden gevonden in een hoger besmettingspercentage van ransomware. Maar is dat wel zo? Nee, zeggen de malware-experts.

Ransomware maakt gebruik van dezelfde technieken als andere malware. Veel ransomware is relatief nieuw en maakt gebruik van betrekkelijk nieuwe beveiligingslekken, waar veel andere malware eerder oud is en gebruik maakt van oude beveiligingslekken, die relatief vaker al gepatcht zijn en dus niet schadelijk meer. Maar er is ook heel veel nieuwe malware, die gebruik maakt van dezelfde nieuwe beveiligingslekken als ransomware.

(Succesvolle) malware-infecties vallen nauwelijks op

Misschien heeft het te maken met het aantal mensen dat weet dat een infectie heeft plaats gevonden. Meestal wanneer een trojaan of keylogger op het bedrijfsnetwerk wordt aangetroffen, weet alleen de systeembeheerder van de infectie af.

De meeste malware heeft immers tot doel om eerst eens ongemerkt kopietjes te maken van alle interessante bestanden op het systeem om die naar het moederschip te sturen en vervolgens zo lang mogelijk onopgemerkt op het netwerk te blijven rondhangen. Dan kan de malware de PC’s van het netwerk inzetten in een botnet, waarmee DDOS-aanvallen kunnen worden gepleegd, waarmee spam kan worden verspreid en waarmee wachtwoorden kunnen worden gekraakt. Hoe langer de malware daar blijft zitten, hoe lucratiever de oorspronkelijke tijdsinvestering van het schrijven en verspreiden van de malware.

Het is om die reden dat (succesvolle) malware-infecties nauwelijks opvallen. De medewerkers van een bedrijf zullen er in de regel niets van merken. Dat ligt uiteraard anders bij ransomware. Bij een besmetting met ransomware, kan niemand binnen het bedrijf nog bij zijn bestanden en in de regel kan niemand zijn werkzaamheden nog uitvoeren. De kans dat het nieuws over een dergelijke besmetting uiteindelijk “uitlekt”, is uiteraard veel groter.

Sociale acceptatie

Toch is daarmee het verschijnsel niet volledig verklaard. Het meeste nieuws dat openbaar wordt over ransomware-besmettingen, wordt niet zozeer door loslippige medewerkers de wereld ingebracht. Het zijn meestal ook echt de IT-afdelingen die dergelijk nieuws met derden bespreken. Wellicht heeft dat te maken met sociale acceptatie. Het werkt ongeveer zo: je hoort niemand erover dat een bepaalde banktrojaan op een zakelijk netwerk is aangetroffen.

Als je als IT-manager ziet dat die banktrojaan op jouw systeem staat, kan dat eigenlijk maar één ding betekenen: je bent laks geweest. Je hebt een bepaalde patch niet op tijd uitgevoerd en nu is die banktrojaan uitgerekend op jouw netwerk binnengekomen. Je concurrenten en mede-ondernemers zijn veel verstandiger, want die hebben van deze banktrojaan geen last. Uit pure schaamte en angst voor een slechte reputatie besluit je de besmetting dood te zwijgen. En zo ondergaat de volgende die een besmetting met deze banktrojaan ondergaat, hetzelfde denkproces.

Bij ransomware is deze spiraal doorbroken, wellicht met behulp van minder discrete medewerkers die het nieuws aan de grote klok hebben gehangen. In ieder geval lijkt het nu nog nauwelijks een issue te zijn om ervoor uit te komen dat je netwerk door ransomware is gegijzeld. Er zijn al zoveel voorbeelden van dit soort infecties bij andere bedrijven dat we ons niet meer de enige sukkel voelen. En dat terwijl er precies dezelfde fouten aan ten grondslag liggen, zoals te late installatie van patches, het niet effectief filteren van e-mail bijlages en onvoldoende informeren van de medewerkers over de gevaren van links in e-mails, valse facturen en ZIP-files als bijlage.

(Bovenstaande bijdrage kwam tot stand in samenwerking met G DATA Software Belgium B.V.B.A. (Groot-Bijgaarden)).

Meer info: 070/350.129 of www.gdata.be.