Wat te doen als je het slachtoffer wordt van een ransomware-aanval

Als je een IT-beheerder vraagt waar hij van wakker ligt zal het antwoord zeer vaak ‘ransomware’ zijn. Logisch, want elke medewerker kan door simpelweg op een link te klikken of een kwaadaardig bestand te downloaden zonder het te weten een ransomware-aanval ontketenen. In hun wanhoop zijn organisaties al snel geneigd om losgeld te betalen om weer toegang tot hun bedrijfskritische data te kunnen krijgen. Over deze beslissing moet echter goed worden nagedacht.

Het is net als pestkoppen op het speelplein die de boekentas van een leerling afpakken en hem vragen om zijn lunchgeld te overhandigen om zijn tas terug te krijgen. Cybercriminelen doen in feite hetzelfde met organisaties na een succesvolle ransomware-aanval. Ze houden gevoelige informatie in gijzeling door die te versleutelen. Helaas vragen ze veel meer dan lunchgeld.

Voor bedrijven die door ransomware worden getroffen staat er uiteraard veel meer op het spel. Ze zijn voor hun bedrijfscontinuïteit of zelfs het voortbestaan van hun onderneming afhankelijk van de decryptiesleutels van cybercriminelen. Die zijn nodig om hun gegevens weer te decoderen, zodat die weer bruikbaar zijn. Toch lijken de dilemma’s voor beide typen slachtoffers verrassend veel op elkaar.

Wel of geen losgeld betalen?

Bij de overweging of je de afpersers in een van beide gevallen zou moeten betalen moet je rekening houden met de mogelijkheid dat je je boekentas of de decryptiesleutel ondanks de betaling niet terugkrijgt. Het is moeilijk om in de goede wil van cybercriminelen te geloven. In plaats van de spullen (informatie) die je liever geheim houdt terug te geven, zouden hackers simpelweg je ‘boekentas’ op het internet kunnen legen, zodat iedereen met een internetverbinding inzage heeft in de inhoud en daar gebruik van kan maken.

Het is ook heel goed mogelijk dat ze je data aan een andere crimineel overhandigen die daarmee kan doen wat die wil. In dat geval lost het betalen van losgeld je probleem niet op. Het maakt je alleen een stuk armer. Het zou ertoe kunnen leiden dat je organisatie het zowel zonder boekentas als lunchgeld moet stellen. En in het ergste geval krijg je daarmee de reputatie van een makkelijke prooi, een geldschieter die makkelijk en herhaaldelijk tot betaling kan worden gedwongen.

De ellende die voortvloeit uit het betalen van losgeld

Geen enkele organisatie wil een reputatie als geldschieter in de cybercriminele onderwereld hebben. Je zou net zo goed een schietschijf op je rug kunnen tekenen. Ik begrijp het lastige parket waarin organisaties zich bevinden na een succesvolle ransomware-aanval. Toch raad ik je aan om geen losgeld te betalen, tenzij je zeker weet dat je bedrijf anders kopje onder gaat. Het betalen van losgeld kan er namelijk toe leiden dat je herhaaldelijk slachtoffer wordt. Je moedigt cybercriminelen daarmee aan en financiert hun toekomstige aanvallen op jouw organisatie en op die van anderen.

Losgeld betalen: mag het van de wet?

Slachtoffers van ransomware-aanvallen die door cybercriminelen gedwongen worden om losgeld te betalen vragen zich vaak af dat illegaal is. Er is geen wet die verbiedt om dat te doen als de data en/of systemen van een organisatie in gijzeling worden gehouden. Het wordt echter sterk afgeraden door overheidsinstellingen en security-professionals om voor afpersing in enige vorm te zwichten. Organisaties zoals CISA, NCSC, de FBI en de HHS waarschuwen slachtoffers van ransomware-aanvallen tegen het betalen van losgeld. Dit biedt namelijk geen garantie dat ze ook daadwerkelijk weer toegang tot hun bestanden krijgen. Volgens een bulletin van het Office of Foreign Assets Control (OFAC) van het Amerikaanse Ministerie van Financiële Zaken kan dit cybercriminelen aanmoedigen om meer organisaties aan te vallen of hun ransomware te koop aan te bieden, zodat anderen daar misbruik van kunnen maken. Daarnaast bestaat de mogelijkheid dat het losgeld wordt ingezet voor de financiering van andere illegale activiteiten.

Wat kan de politie doen?

Helaas heeft de digitale recherche een enorme takenlast en andere prioriteiten. Daarmee bestaat de kans dat die zijn mensen niet kan inzetten op een manier die jouw organisatie het beste uitkomt. Bovendien kan onderzoek tijd in beslag nemen. Besmette systemen zullen zorgvuldig moeten worden geanalyseerd, terwijl jouw organisatie staat te trappelen om alle bedrijfsprocessen te herstellen. Desondanks kan de digitale recherche je van uitstekende ondersteuning voorzien. Die hulp zou echter slechts een deel moeten vormen van het incidentresponsplan van je organisatie en niet als vervanging daarvan moeten dienen. Bij het opstellen van dat plan moet het management, het IT-team, het team voor informatiebeveiliging en het juridische team zijn betrokken.

Als je na een aanval volledig bent aangewezen op externe hulp, heb je een probleem. Dat is een aanpak waarvoor het woord ‘reactief’ is uitgevonden. Je moet uit alle macht zien te voorkomen dat je op een punt belandt waarop je gedwongen bent om losgeld te betalen. De beste manier om dat te voorkomen is door het inzetten van effectieve beveiligingsmechanismen.

Hoe je ransomware-aanvallen kunt voorkomen Je kunt de beveiliging tegen ransomware-aanvallen opvoeren door de volgende maatregelen te treffen: · Neem security-training serieus en vertel je medewerkers om hetzelfde te doen

• Klik niet op verdachte links en hanteer best practices op het gebied van cyberhygiëne
• Download alleen materiaal van vertrouwde bronnen · Scan e-mailberichten op malware
• Maak gebruik van firewalls en oplossingen voor endpoint-beveiliging die worden gevoed met real-time bedreigingsinformatie
• Maak back-ups van alle belangrijke gegevens en bewaar die op een veilige externe locatie · Gebruik een VPN als je een verbinding maakt via een openbaar draadloos netwerk
• Stel een incidentresponsplan op Lees hier meer over proactieve strategieën voor het bieden van bescherming tegen ransomware.

Wat te doen als je het slachtoffer wordt van een ransomware-aanval

Organisaties kunnen de schadelijke gevolgen van ransomware tot een minimum beperken door snel actie te ondernemen. De eerste stap is om de ransomware te isoleren, zodat die niet van het ene apparaat naar het andere kan overspringen via netwerkverbindingen.

Om de ransomware te isoleren moet je het met ransomware besmette systeem uitschakelen. Verbreek daarop alle verbindingen van dat systeem met het netwerk en met eventuele apparaten.

Door op die manier de stekker uit het systeem te trekken kun je de verdere verspreiding van de ransomware voorkomen. Het toepassen van netwerksegmentatie zal dit proces er een stuk eenvoudiger en doeltreffender op maken.

De volgende stap is om na te gaan met welk type malware je systeem is besmet. Meestal maakt ransomware namelijk deel uit van een bredere aanval. Inzicht in het betrokken type malware kan je incidentresponsteam helpen met het vinden van een passende oplossing. Zo zijn sommige decryptiesleutels voor bepaalde ransomware-varianten openbaar gemaakt.

Als het er uiteindelijk toch van komt…

Hoeveel acties je ook onderneemt, het kan zijn dat je bedrijf toch wordt opgeschrikt door een ramsomware-aanval. Het is dan ook belangrijk om over een programma voor gegevensherstel te beschikken, vóórdat het van een ransomware-aanval komt. Als je op verschillende tijdstippen op de dag automatisch back-ups laat uitvoeren, zal het gegevensherstel na een aanval je organisatie slechts een paar uur kosten. Het maakt niet uit of je voor het maken van back-ups gebruikmaakt van clouddiensten of hardware op locatie. Het belangrijkste is dat je in staat bent om vanaf een onbesmet apparaat toegang tot de back-upbestanden te krijgen. Pas dan weet je zeker dat je de ellende, hoe beangstigend ook, binnen de perken kan houden, en de bedrijfsactiviteiten na een korte tijd doorgang kunnen vinden.

Vincent Zeebregts, Regional Director Nederland bij Fortinet