Sinds een paar jaar is er wereldwijd een groeiende dreiging van ransomware. Deze schadelijke software kan elke organisatie raken die onvoldoende voorzorgsmaatregelen heeft getroffen. De laatste trend: cybercriminelen richten hun ransomware-aanvallen steeds vaker specifieker op doelen die waarschijnlijk hogere losgelden kunnen betalen. Lees bijvoorbeeld over de ransomware-aanval bij de KNVB.
Daarom leggen wij je alles uit over de diverse ransomware-types, krijg je handvatten hoe je jezelf tegen een ransomware-aanval kunt beschermen en vind je aanbevelingen over wat je moet doen als je organisatie met ransomware besmet is.
Wat is ransomware?
Ransomware is een type malware dat bestanden versleutelt om losgeld te eisen voor de ontsleuteling. Er zijn twee hoofdvormen: ‘lockers’ die het systeem vergrendelen, en ‘cryptors’ die bestanden versleutelen, soms zelfs cloud-data en back-ups.
Betaling wordt vaak gevraagd in crypto-currencies zoals Bitcoin. Hoewel het infectieproces lijkt op andere malware, kan de impact variëren van kleine hinder tot grote bedrijfsverstoringen. Dit is afhankelijk van hoe groot de organisatie is.
Hoe bescherm je je tegen ransomware?
Er is geen kant-en-klare oplossing tegen ransomware. Het is slechts één vorm van vele malwaresoorten. De stappen die je neemt om je te verdedigen tegen ransomware lijken sterk op de stappen om je systemen tegen andere malware te beschermen.
Ransomware heeft vaak een financieel motief. Daarom is het verstandig het netwerk grondig te beveiligen. Zo moeten aanvallers meer inspanningen verrichten voor een succesvolle ransomware-aanval. Als de moeite niet opweegt tegen de verwachte winst, geven ze het wellicht op.
5 tips om ransomware te weren
1. Vermijd misleidende e-mails
Phishing is een veelgebruikte methode om malware – waaronder ransomware – te verspreiden. Wees altijd waakzaam bij het openen van e-mails van onbekende afzenders. Vermijd het klikken op verdachte links of het downloaden van bijlagen die je niet verwacht. Train medewerkers om pogingen tot phishing te herkennen en gebruik geavanceerde e-mailfiltering om kwaadaardige e-mails te blokkeren.
2. Voer regelmatige systeemupdates uit en segmenteer het netwerk
Regelmatig scannen op kwetsbaarheden en deze tijdig patchen is belangrijk. Zorg ervoor dat alle software – inclusief besturingssystemen – up-to-date is. Segmenteer het netwerk om te voorkomen dat als één systeem wordt gecompromitteerd, aanvallers zich gemakkelijk kunnen verspreiden naar andere systemen.
3. Beheers en reguleer het uitvoeren van de code
Gebruik beveiligingsmaatregelen zoals applicatiewhitelisting om alleen vertrouwde applicaties uit te voeren. Deactiveer onnodige macro’s en scripts in documenten en gebruik beheerdersrechten spaarzaam, zodat malware niet gemakkelijk verhoogde rechten kan verkrijgen om zich in een systeem te nestelen.
4. Reguleer en monitor online surfgedrag
Gebruik webfilters en proxies om toegang tot kwaadaardige of verdachte websites te blokkeren. Dit helpt om drive-by downloads en andere webgebaseerde ransomware-infectiemethoden te voorkomen. Zorg er ook voor dat browser-plugins – zoals Flash en Java – up-to-date zijn of uitgeschakeld, indien mogelijk.
5. Zet beperkingen op het gebruik van externe opslagapparaten
USB-drives kunnen malware – waaronder ransomware – bevatten. Beperk het gebruik ervan en zorg ervoor dat ze vooraf worden gescand voordat ze op een netwerk worden aangesloten. Overweeg een beleid te implementeren waarbij alleen geautoriseerde USB-drives mogen worden gebruikt.
De gevolgen van een ransomware-aanval
Ransomware blokkeert toegang tot systemen of gegevens totdat er een oplossing komt. Dit kan leiden tot ernstige gevolgen zoals onveilige situaties, financieel verlies en imagoschade. Ransomware treft niet alleen de organisatie, maar kan ook de partners van de organisatie raken. Ook al zijn er goede back-ups, het kan even duren voordat alles weer normaal draait. Tijdens deze herstelperiode kan de organisatie gedwongen worden om de continuïteitsplannen te activeren.
Bij gerichte ransomware-aanvallen krijgen cybercriminelen toegang tot de IT-systemen. Dit kan de integriteit en privacy van de gegevens bedreigen. Er is ook een kans dat naast de ransomware nog andere malware op het systeem aanwezig is.
Een geslaagde ransomware-aanval heeft gevolgen die verder gaan dan alleen de versleutelde data. Dit kan zowel directe als langetermijnschade opleveren.
Organisatie besmet met ransomware: wat moet je doen?
Ransomware versleutelt bestanden. Het herstellen vanuit een back-up is de beste manier om de bestanden terug te krijgen. Als dit niet mogelijk is, kijk dan of er een decryptietool beschikbaar is.
Bij beperkte besmetting:
- Koppel het besmette systeem los van het netwerk.
- Verwijder de ransomware en herinstalleer het systeem indien nodig.
- Informeer de politie.
- Herstel je IT-systeem vanuit een back-up.
Bij een besmetting over het gehele netwerk:
- Activeer het noodplan.
- Isoleer het netwerk van het internet, bijvoorbeeld door de firewall te sluiten.
- Schakel een cybersecurity expert in.
- Informeer de politie.
- Herstel de IT-systemen vanuit een back-up.
- Controleer ook of de organisatie verplicht is om melding te maken bij het NCSC of een andere instantie, zeker in het kader van privacywetgeving.
Bron: NCSC