Vijf vragen over jouw ransomware-verdediging

Ransomware-aanvallen worden steeds sluwer en complexer. Ze komen ook steeds meer voor. Hoe bescherm je als IT-manager je bedrijf tegen deze dreiging?

Het eerste wat je merkt: het ene na het andere bestand wordt ontoegankelijk. Al snel komt de gevreesde boodschap. Je moet losgeld betalen in bitcoin om weer bij je bedrijfsbestanden te kunnen. Dan weet je het zeker: jouw bedrijf is het nieuwste slachtoffer van ransomware.

Maar daar blijft het niet bij. Tegenwoordig voeren de criminelen de druk nog verder op met double extortion: ze dreigen om je gegevens openbaar te maken. Jouw bedrijfsgeheimen en klantgegevens komen dan op hun website. Of ze verkopen je data aan de meestbiedende.

En er is nu zelfs triple extortion: de aanvallers nemen zelf contact op met de media, met je klanten en je leveranciers. Ze vertellen hen dat ze jouw geraakt hebben – en dus hun gegevens hebben. En ondertussen blijven ze jouw bedrijfsnetwerk aanvallen, bijvoorbeeld met DDoS, zodat jij je systemen niet kunt herstellen.

Slecht idee

Zo kun je dus geen kant meer op. Het bedrijf is lamgelegd en de reputatie zwaar beschadigd. Dan maar losgeld betalen?

Dat is geen eind van de ellende. Allereerst natuurlijk omdat je zo de daders en hun collega’s aanmoedigt. Van de bedrijven die betaalden, kreeg 80% een nieuwe aanval te verduren*. Logisch: als je bereid blijkt ‘zaken te doen’ met cybercriminelen ben je een aantrekkelijk slachtoffer.

Maar losgeld is ook een slecht idee omdat de sleutels van de criminelen vaak slecht werken: 46% van de bedrijven kreeg wel data terug, maar geheel of gedeeltelijk gecorrumpeerd.

En zelfs als de sleutel wèl goed werkt, duurt het decrypten vaak dagen of zelfs weken. Al die tijd kan er geen productie worden gedraaid of is de dienstverlening niet optimaal. Gemiddeld zijn aangevallen organisaties 16 dagen buiten bedrijf.

Niemand is veilig

Dit soort aanvallen komt steeds meer voor. Sinds het begin van de coronacrisis is cybercrime met 600% gegroeid! Dat komt mede doordat de inzet van ransomware is toegenomen. Geen wonder: het is tegenwoordig ruim verkrijgbaar op het dark web en eenvoudig te gebruiken, ook tegen organisaties met honderden of duizenden medewerkers.

Het gemak is dus groot en de opbrengst ook. Bij organisaties zit immers meer geld dan bij particulieren. Ze zijn ook gevoeliger voor reputatieschade; vandaar de triple extortion.

De criminelen hebben geen last van scrupules, want ook tijdens de coronacrisis worden ziekenhuizen en zorgverleners niet gespaard. Daarnaast zijn er natuurlijk allerlei andere organisaties die worden geraakt: telecommunicatiecentra, financiële instellingen, overheidsorganisaties zoals rechtbanken en alle andere soorten bedrijven, van groot tot klein.

Vijf vragen

Het is duidelijk: dit gevaar kan elke organisatie treffen. En elke aanval met ransomware moet in de kiem worden gesmoord.

Maar wat is daarvoor nodig? Is jouw organisatie klaar om een ransomware-aanval af te slaan? De onderstaande vijf vragen kunnen je helpen om het antwoord te vinden.

1. Is je endpoint security niet verouderd?

Nu thuiswerken toeneemt, worden laptops vaker toegangspoort voor malware. Traditionele antivirusproducten herkennen bestaande malware wel, maar de ontwikkelingen gaan tegenwoordig snel. Soms heeft een stuk ransomware in een paar maanden wel drie upgrades. Bovendien kan ransomware zijn eigen code herschrijven terwijl het zich verspreidt over je netwerk.

Wat je dus nodig hebt is Next Generation Antivirus (NGAV): die kijkt niet naar de usual suspects, maar naar verdachte gedragingen op de computers. Met machine learning worden het gedrag en de kenmerken van ransomware in beeld gebracht, zodat ook nieuwe malware meteen wordt opgemerkt. Dan is jouw endpoint security klaar voor de aanvallen van morgen, niet alleen die van gisteren.

2. Is je endpoint security volledig?
Waarschijnlijk heb je wel security-software draaien op je desktops en laptops. Maar zijn je smartphones en tablets ook beveiligd? En endpoint security moet niet alleen kijken naar executables. Ook documenten zoals PDF’s kunnen malware bevatten in de vorm van macro’s. Moderne security-software voorziet in deze behoeften.

3. Wie is sneller: jij of de aanvallers?
Ransomware bevat vaak enorm snelle encryptie-algoritmes. Dus op het moment dat de eerste server wordt versleuteld, is er een race gaande tussen jou en de criminelen. Heb jij met je huidige beveiliging meteen een goed overzicht van wat er precies gaande is? Waar de dreiging vandaan komt, wat het verband is tussen gebeurtenissen op het netwerk en hoe je de aanval het beste kunt stoppen?

4. Hoeveel menskracht vraagt jouw verdediging?
Een moderne verdediging tegen ransomware werkt met één lichte client per computer. Tegelijk wordt het hele systeem gemonitord vanaf één enkele console, met intuïtieve software. Dat bespaart niet alleen geld, maar voorkomt ook coördinatieproblemen en tijdverlies.

5. Ben je 24/7/365 paraat?
Cybercriminelen gebruiken elke zwakte in je systeem, maar ook in je bemensing. Niet elke organisatie kan dag en nacht, week in week uit, klaar staan om een ransomware-aanval te beantwoorden.

Het kan dus verstandig zijn om de bewaking van je bedrijfsnetwerk uit te besteden. Bij een extern Security Operations Center zitten experts die voortdurend je netwerk monitoren op verdachte activiteiten. Zij kunnen de eerste tekenen van een ransomware-aanval detecteren en meteen ingrijpen. In overleg met hen kun je vooraf bepalen wat voor jou organisatie belangrijk is. En hoe zij moeten optreden als op een dag de alarmbellen afgaan.

*cijfers zijn gebaseerd op rapportages Cybereason

Lees ook:

Gerelateerde berichten...