Ransomware in opmars
Momenteel houdt het nieuws over succesvolle ransomware-aanvallen niet op. Het maakt niet uit of het gaat om een grote Amerikaanse pijplijn, een wereldwijd actieve producent en handelaar in vlees, ontwikkelaars van videogames, overheidsinstellingen of ministeries. Overal zijn er actieve aanvallen en er komen bijna dagelijks berichten binnen over succesvolle aanvallen.
Maar wat is ransomware eigenlijk?
Ransomware is malware die geselecteerde gegevens of hele systemen versleutelt en vervolgens een bericht achterlaat waarin het slachtoffer wordt gevraagd losgeld te betalen. Dit is vaak gebaseerd op de grootte van het bedrijf en de versleutelde gegevens.
Gegevens worden echter ook steeds vaker geëxfiltreerd. Dat wil zeggen, gekopieerd en gedownload op de systemen van de daders. Dit wordt vervolgens gebruikt om het slachtoffer te chanteren door deze gegevens te publiceren.
Sinds steeds meer bedrijven over functionerende back-up concepten beschikken, waren steeds minder bedrijven bereid het losgeld te betalen. Maar nu, wanneer het feit dat belangrijke interne documenten zouden kunnen worden gepubliceerd plotseling ter sprake komt, zijn veel bedrijven bereid het losgeld te betalen.
Het is echter niet zeker dat de daders zich aan hun uitspraken houden en de gegevens toch niet publiceren.
Het is belangrijk ervoor te zorgen dat dit niet gebeurt.
Hoe kunt u zich beschermen tegen ransomware?
- Anti-virus bescherming op zoveel mogelijk systemen. Idealiter gecombineerd met een EDR-systeem. Fortinet biedt bijvoorbeeld met FortiEDR een hoogwaardige endpoint-beschermingsoplossing met DER-functionaliteit. Hiermee kunnen aanvallen in een vroeg stadium worden gedetecteerd en kan schade zelfs worden teruggedraaid.
- Reductie van het aanvalsoppervlak; het hebben van overzicht over het eigen netwerk is bijna onmogelijk geworden. Dit is waar professionele pentesters of vulnerability management oplossingen kunnen helpen. Wij werken met de Duitse fabrikant Greenbone voor vulnerability scanners.
- Segmenteer netwerken! Hoewel het meetelt voor het verkleinen van het aanvalsoppervlak, wordt het apart genoemd. Veel te weinig bedrijven
- Met rechtenbeheer kunt u ervoor zorgen dat niet iedere werknemer met lokale beheerdersrechten werkt. Dit betekent dat eventuele malware alleen kan werken met de rechten die beschikbaar zijn. Dit beperkt de mogelijkheden van malware sterk, of maakt het zelfs onmogelijk, afhankelijk van de malware.
- Sensibilisering van werknemers. Dit wordt vaak onderschat. We kennen allemaal het gezegde dat een ketting zo sterk is als de zwakste schakel. Als een werknemer twee keer nadenkt over het openen van de bijlage van een onverwachte e-mail of over de vraag waarom macro's moeten worden geactiveerd in Microsoft Office-documenten, dan is er al veel gewonnen.
Wat moet men doen als het zover is gekomen?
De BSI doet de volgende suggesties:
- Betaal niet. Dit is bedoeld om de daders te demotiveren hun activiteiten voort te zetten. Vooral omdat er geen garantie is dat zij een ontcijferingsmiddel krijgen en dat de gestolen gegevens worden vernietigd.
-
Doe aangifte bij de politie. Forensische experts en onderzoekers kunnen de gegevens misschien redden of op zijn minst de daders opsporen om ze te vervolgen en uiteindelijk te berechten.
Op de website van de Alliance for Cyber Security vindt u een contactpunt voor de verantwoordelijke rijksrecherchebureaus. - Isoleer getroffen systemen zodat ze geen andere systemen kunnen compromitteren. Laat deze systemen in een aangetaste staat totdat forensische experts ze hebben kunnen onderzoeken om bewijsmateriaal veilig te stellen en inzicht te krijgen in hoe het systeem is binnengedrongen en of er aanwijzingen zijn dat andere systemen zijn aangetast.
-
Back-ups herstellen. Als er veilige back-ups zijn die niet zijn aangetast, kunnen deze worden gebruikt om het systeem te herstellen. In ieder geval moet het systeem volledig opnieuw worden opgestart en moet ervoor worden gezorgd dat alle gegevens op het systeem zijn verwijderd voordat de back-up wordt hersteld.
Als u in uw bedrijf geen IT-beveiligingsteam / computercalamiteitenteam hebt, kan de BSI bedrijven aanbevelen die de nodige ondersteuning kunnen bieden.
Als u geïnteresseerd bent in het beveiligen van uw bedrijfsnetwerk, kunnen wij u adviseren. U kunt contact met ons opnemen via e-mail, telefoon of ons contactformulier.