Digitale gijzelingen van bedrijven – groot én klein – zijn aan de orde van de dag. Pas na het betalen van losgeld kunnen de slachtoffers hun operatie weer opstarten. Kan dat ook anders? En kun je een ransomware-aanval voorkomen? Hoe ga je verder na de nachtmerrie? Tijd voor een spoedcursus in voorkomen of genezen.
Er valt geld te verdienen met cybercriminaliteit. Veel geld. Van alle cyberdreigingen zijn aanvallen door ransomware de meest verwoestende. De codering verspreidt zich razendsnel over het netwerk en is nagenoeg niet te verwijderen. Alleen door losgeld te betalen, kun je alle gecodeerde gegevens met een sleutel weer decoderen – ervan uitgaande dat de criminelen zich aan hun woord houden. Doe je dat niet, loop je het risico dat alle getroffen data definitief worden gewist.
Wel of niet betalen
Meestal breekt de chaos uit nadat gijzelnemers contact hebben opgenomen, tenzij er een gedegen incident respons scenario klaarligt. Bovendien is er enorme druk om het bedrijf zo snel mogelijk weer operationeel te krijgen. De vraag die bij iedere aanpak bovenaan het lijstje staat is: betalen we of betalen we niet? Natuurlijk probeer je zo snel mogelijk te identificeren wat er precies is gebeurd en wat de schade is. Is er data gestolen, waar kan ik nog bij, kan ik zonder te betalen een crisis afwenden? Ondanks de chaos en druk is het van wezenlijk belang dat je hier absoluut duidelijkheid over hebt. Als je bijvoorbeeld te snel back-ups terugzet – zodat in ieder geval de medewerkers weer aan de slag kunnen – kun je de hacker juist in de kaart spelen, omdat deze nu een ingebouwde achterdeur in werking kan stellen. In plaats van enkelvoudige krijg je dan te maken met meervoudige afpersing.
Voorkomen
De zogeheten ‘point of entry’ voor de aanvallers is een menselijke fout (via phishing e-mails) of kwetsbare servers. Ook ransomware dringt via deze bekende paden het netwerk binnen. Ongetwijfeld zijn veel van de preventieve maatregelen bekend. We noemen de voornaamste. 1) Ontwikkel en implementeer een serieus cyberbeveiligingsprogramma waarbij iedereen in het bedrijf wordt betrokken. 2) Maak medewerkers bekend met de basisprincipes van security en digitale hygiëne. Instrueer ze om niet-goedgekeurde websites te vermijden en om niet op links in onverwachte e-mails te klikken. 3) Bescherm met sterke authenticatie en patch en update firewalls, applicaties en beheertools regelmatig. Wees daarbij alert op valse updates en patches. 4) Hanteer de principes van Zero Trust Network Access. Ga ervan uit dat al het verkeer zowel binnen als buiten de firewall mogelijk vijandig is en dat er geen eindpunten worden vertrouwd totdat ze zijn geverifieerd. 5) Presenteer PDFs en Microsoft Office-bestanden in een veilige sandbox-weergave. Veel malware zit verborgen in rijke documentformaten. 6) Zorg voor een continu bijgewerkte back-up, die niet kan worden ontdekt en aangevallen door ransomware (offline). 7) Schakel de expertise van een extern beveiligingsbedrijf in.
Uiteraard zijn er nog veel meer maatregelen die een ransomware- of andere malwareaanvallen kunnen helpen voorkomen. Denk bijvoorbeeld aan netwerksegmentatie, waarbij je het computernetwerk opdeelt in virtuele groepen. Het verkeer tussen deze afzonderlijke groepen wordt gecontroleerd met firewalls. Wanneer zich ergens op een netwerk een incident voordoet, kan je het in theorie insluiten in dat virtuele deel, zodat de andere delen niet beschadigd raken. Hoe effectief deze en bovenstaande maatregelen ook zijn, ze bieden helaas geen garanties. Zoals vrijwel alle cybersecurity-experts weten: het is niet de vraag óf je wordt aangevallen, maar wannéér dat gebeurt.
De aanval
Een ransomware-aanval bestaat uit een reeks gebeurtenissen die in zes fases zijn in te delen. 1) De hacker installeert de ransomware dankzij onnadenkend handelen van een medewerker of via een ander lek. 2) De in het systeem geïnfiltreerde kwaadaardige code zet een communicatielijn op naar de aanvaller. Hierlangs kan deze extra malware uploaden. De ransomware kan lange tijd verborgen blijven. Al die tijd kan het zich richten op bijvoorbeeld de back-upsystemen, om de herstelopties voor het slachtoffer zoveel mogelijk te elimineren. 3) De aanval wordt geactiveerd. 4) Data worden gegijzeld middels codering en soms via een vergrendelingsscherm. De codering kan reiken tot de masterbootrecord van een bestandssysteem, individuele virtuele machines of ook de back-upsystemen. Aangezien het zelf ontsleutelen van de codering praktisch onmogelijk is, heeft het slachtoffer drie keuzes: de gegevens verliezen, herstellen van een replica of back-up, of losgeld betalen. 5) De aanvaller vertelt hoe het losgeld kan worden voldaan, meestal via een cryptocurrency-transactie. 6) Herstel of losgeld betalen. Zonder een effectieve herstelmethode, kan de schade vele malen hoger uitvallen dan de kosten van het betalen van het losgeld. Is er wél een effectief herstelplan, dan kunnen de gegevens snel op een veilige manier worden hersteld met minimale onderbreking en zonder losgeld te betalen. Bovendien heb je geen garantie dat je na het betalen ook daadwerkelijk de decryptiesleutel krijgt. Meestal gebeurt dat overigens wel – het is per slot van rekening ook in het belang van hun eigen cybercriminele bedrijfsmodel.
Genezen
Nog voordat de aanval begint moet je al klaar zijn voor de afwikkeling van het hele drama. Alleen al in juridisch opzicht is het enorm belangrijk dat je kan terugkijken naar wat er allemaal precies is gebeurd. Begrijpen hoe de aanval het systeem heeft beïnvloed is essentieel voor zowel betere preventie als het herstel. Ook moet de aanval worden gemeld bij de politie en de Autoriteit Persoonsgegevens.
Zelfs nadat losgeld is betaald of herstel heeft plaatsgevonden, kunnen de schadelijke bestanden en code nog steeds aanwezig zijn. Deze moeten alsnog worden verwijderd. Het handmatig verwijderen van malware kan een lang en gecompliceerd proces zijn en vereist soms professionele hulp. Pas nadat de malware definitief en volledig is verdwenen, kan het systeem weer normaal werken.
Lees ook:
- Cybercriminaliteit: groeiend probleem voor de zorg
- IT-Security: EDR versus anti-malware
