Ransomware


authentication failure after ransomware attack
Source: Unsplash, image by Markus Spiske

Wat is gijzelsoftware of ransomware eigenlijk?


Gijzelsoftware, ook wel bekend als ransomware, is vandaag de dag een van de meest voorkomende vormen van Cybercrime. In het kort betekent dit dat criminelen uw bestanden en computersystemen versleutelen, waardoor u hier niet meer bij kunt. Het doel hiervan is u er toe te dwingen om de aanvallers te betalen om uw systemen weer te ontsleutelen.

In veel gevallen zullen hackers niet alleen uw ICT-infrastuctuur versleutelen maar ook gevoelige data kopiëren naar hun eigen servers, dit staat bekend als data exfiltration. Vervolgens kunnen criminelen deze gestolen data verkopen op het dark web of gebruiken om u of uw klanten te chanteren.

Waarom u vooral niet moet betalen in geval van een aanval met ransomware


Wanneer u te maken krijgt met ransomware is het heel begrijpelijk dat u geneigd bent om toch maar snel te betalen om maar snel weer bij uw bestanden en systemen te kunnen. Veel bedrijven en organisaties, zoals vorig jaar de Universiteit van Maastricht, zullen dan ook criminelen betalen omdat zij geen andere uitweg zien.

Echter cybercriminelen betalen is echter een slecht idee en daar zijn een drietal redenen voor. Allereerst is er geen enkele reden dat als u betaalt, uw aanvallers daadwerkelijk uw systemen weer gaan ontgrendelen of zoals een Engels gezegde luidt “there ain’t no honor among thieves”. Daarnaast geeft door te betalen diegene die u gehackt hebben het signaal dat u chantabel bent en net als inbrekers vaak in hetzelfde huis hun slag slaan, zullen deze hackers geneigd zijn om u opnieuw te gijzelen.

Ten derde geldt dat zolang mensen cybercriminelen blijven betalen om hun computers weer te ontgrendelen, ransomware een lucratieve vorm van misdaad is. En uit onderzoek blijkt dat het aantal aanvallen met gijzelsoftware in 2020 met 171 procent is toegenomen ten opzichte van 2019 en dat eveneens de gemiddelde losgeldeis in diezelfde tijd steeg van zo'n 115 duizend tot 312 duizend dollar.

Waarschijnlijk bent u het met ons eens dat misdaad nooit mag lonen. Dat betekent dat u in beginsel dus cybercriminelen nooit moet betalen. Alleen is dat vaak makkelijker gezegd dan gedaan. Gelukkig kunt u maatregelen nemen om de kans dat uw organisatie slachtoffer wordt van een aanval met ransomware te verkleinen.

Hoe beschermt u zich tegen ransomware?


Maatregelen tegen ransomware kunnen we verdelen in drie categorieën: preventie, detectie en correctie. Wij zullen hier kort een aantal hiervan bespreken.

Preventie


Veel aanvallen met gijzelsoftware beginnen met een vorm van social engineering - oftewel criminelen trachten u en uw medewerkers op slinkse wijze te verleiden hen toegang tot uw systemen te verlenen. Vooral diverse soorten van phishing zijn populair onder criminele hackers om de inloggegevens van uw medewerkers te bemachtigen. Daarnaast laten cybercriminelen USB-sticks slingeren in de hoop dat iemand deze in een computer steken, zodat er stiekem spyware als keyloggers geïnstalleerd wordt.

Aangezien het niet de vraag is of uw bedrijf te maken krijgt met ransomware maar wanneer, is het van groot belang dat uw medewerkers zich bewust zijn van de listen die criminele gebruiken om zich meester te maken van uw computersystemen. Een Cyber Security Awareness programma helpt u om uw medewerkers alert te houden.

Helaas kunt u niet altijd voorkomen dat iemand op een verkeerde link klikt of een besmette bijlage opent. Daarom zijn er een aantal technische maatregelen nodig:


Detectie


Uiteraard mochten cybercriminelen ondanks deze maatregelen toch er in slagen binnen te komen is het belangrijk dat u hiervan zo snel mogelijk op de hoogte wordt gebracht. Een intrusion detection and prevention system of IDPS detecteert afwijkend gedrag in uw ICT-infrastructuur en legt het systeem meteen plat om te voorkomen dat hackers schade kunnen aanrichten.

Een IDPS werkt het beste als uw IT-systemen gebruik maken van segmentatie. Dit wil zeggen dat als een van uw computers gehackt wordt, dat de aanvaller niet zomaar bij andere apparaten op uw netwerk kunnen komen. Een manier om segmentatie te realiseren is om elke computer, maar ook printers, te voorzien van een host based firewall.

Zodra u een seintje krijgt dat er iets aan de hand is, treedt uw incident response plan in werking. Dit is een document wat vertelt wat u en uw medewerkers moeten doen in geval er mogelijk sprake is van een cyberaanval. Neem in elk geval contact op met de politie!

Correctie


Helaas zijn bovenstaande maatregelen geen honderd procent garantie dat cybercriminelen uw systemen niet kunnen gijzelen – wel verkleinen deze de kans hierop aanzienlijk, mits goed uitgevoerd. Daarom dient u ook correctieve maatregelen te nemen en hoewel u misschien denkt dat deze pas achteraf genomen worden, moet u hier van te voren over na denken.

Back-ups nemen hier een centrale plek in. Door regelmatig back-ups te maken van uw data, kunt in geval van een aanval met ransomware uw systemen terugzetten zonder dat u criminelen hoeft te betalen. Uiteraard zullen hackers ook trachten om uw back-ups te vergrendelen en daarom dienen back-ups zoveel mogelijk offline bewaard te worden – bijvoorbeeld op tape in een kluis.

Verschillende bedrijven hebben decryptie tools ontwikkeld om de meest voorkomende soorten ransomware te kraken. Echter deze bieden geen garantie dat zij elke gegijzelde computer kunnen ontgrendelen. Back-ups blijven dus essentieel in de strijd tegen cybercriminelen.

Lees meer over wat een goede backup strategie inhoudt.

Asomis IT Secutrity


Asomis IT Security richt zich op het ontwikkelen van Cybersecurity strategieën voor uw onderneming of organisatie. Bescherming tegen ransomware is hier integraal onderdeel van. Wilt u meer weten hoe wij u kunnen helpen om uw organisatie beter weerbaar tegen Cybercrime te maken? Neem dan vooral contact op met ons op!