De laatste tijd haalt ransomware herhaaldelijk de krantenkoppen. De Universiteit van Maastricht en Thuisbezorgd zijn slechts enkele voorbeelden van de afgelopen tijd die dit onderstrepen. Organisaties over de hele wereld zijn het doelwit geworden van cybercriminelen en er worden aan de lopende band systemen gegijzeld om vervolgens losgeld te vragen.
Volgens de politie is het afgelopen jaar 4.690 keer aangifte gedaan van cybercrime en was er met name een stijging te zien in de hoeveelheid ransomware-aanvallen. Dat is een toename van 64 procent vergeleken met 2018. Hoewel de dreiging dus ernstig is, zijn veel organisaties niet goed voorbereid op een eventuele aanval.
Uit een enquête, die wij onlangs hebben gehouden onder 541 organisaties, blijkt dat maar liefst 39 procent van de organisaties die getroffen zijn door een ransomware aanval geen toegang hebben tot een werkende backup. 37 procent van de getroffen organisaties kon hierdoor maar een deel van hun data terughalen. Daarentegen geeft maar liefst 83 procent van de bedrijven aan dat het belangrijk is om je goed voor te bereiden op een ransomware aanval. Momenteel is geen enkele organisatie veilig. Het is daarom belangrijk dat organisaties de nodige voorzorgsmaatregelen nemen om risico’s te verminderen.
Goede backup
Een goede backup is cruciaal om te herstellen van een ransomwareaanval. Echter maken organisaties vaak een verkeerde backup. Bovendien weten ze vaak niet dat gekoppelde backups ook ten prooi kunnen vallen. Het is daarom verstandig om altijd drie kopieën (3-2-1-strategie) te maken: twee lokale kopieën op twee verschillende media (meestal op schijf en tape) en isoleer één kritische backup van het netwerk (air gap) op een externe locatie. Vergeet niet om de backups regelmatig te testen op volledigheid en functionaliteit. Dit zal de impact bij een data-inbreuk verminderen en het recovery-proces versnellen.
Tapes zijn een veilig alternatief backup-systeem met betrekking tot gegevensopslag. Zodra je backup op een tape is gezet, wordt de tape uitgenomen en is deze niet meer verbonden met het netwerk. Zo kan de tape nooit last hebben van een malware-aanval. Indien ook je backups worden getroffen door ransomware of niet meer werken, dan hoeft de data nog niet weg te zijn. Een datarecovery-bedrijf, kan vaak de data nog herstellen of de ransomware omzeilen om zo bij de data te komen.
Indien je grote hoeveelheden data moet opslaan en gebruikmaakt van raid-systemen, is het verstandig om copy-on-write-file-systemen, zoals Netapp Wafl of Linux ZFS, te implementeren. Dankzij dergelijk systemen worden er continu snapshots en klonen van de data gemaakt. Een snapshot is een momentopname van een bestandssysteem dat enkel te lezen is. Een kloon is een snapshot die is aan te passen. Door het gebruik van klonen ontstaat er een plaats-besparende manier om vele kopieën van veel gedeelde data op te slaan. Dankzij deze momentopname is het mogelijk data te herstellen bij een ransomware-aanval tot een specifiek tijdstip, zolang alle iteraties van de data beschikbaar zijn. Indien je gebruik maakt van een nas-systeem of ander apparaat, voeg dan de write once read many (worm)-functie toe. Op deze manier kunnen backups niet gewist worden door cybercriminelen.
Maar wat doe je als de back-up data weg is? Indien ook je back-ups worden getroffen door ransomware of niet meer werken, dan hoeft de data nog niet weg te zijn. Een data recovery bedrijf, kan vaak de data nog herstellen of de ransomware omzeilen om zo bij de data te komen. Als ransomware de netwerkperimeter bereikt en er geen volledige back-up beschikbaar is, kan je data meestal nog hersteld worden. Betaal in ieder geval nooit losgeld, datarecovery-bedrijven kunnen vaak via geavanceerde technieken de back-up controleren en data herstellen. Bovendien vererger je hiermee het ransomware-probleem en heb je geen garantie dat je de data terugkrijgt.
Tips om ransomware te voorkomen
Naast een backup zijn er veel mogelijkheden om ransomware en andere cyberaanvallen te voorkomen. Wees er zeker van dat al je apparaten en software geüpdatet zijn. Hierdoor kunnen cybercriminelen geen toegang krijgen tot je systeem via mogelijke kwetsbaarheden.
Zorg daarnaast voor de nieuwste beveiligingssoftware en sterke wachtwoorden. Wanneer je een wachtwoord instelt, moet je ervoor zorgen dat ze complex zijn en dat je niet steeds hetzelfde wachtwoord gebruikt. Heb je moeite om je wachtwoorden te onthouden, gebruik dan een passwordmanager. Je kunt ook overwegen om two-factor authenticatie in te stellen. Two-factor authenticatie is een stuk veiliger omdat naast een gebruikersnaam en wachtwoord ook nog een extra code ingevoerd moet worden die zich per login-sessie aanpast. Op deze manier wordt inloggen een stuk veiliger, want zelfs als je wachtwoord onderschept wordt zal de cybercrimineel nog altijd in bezit moeten komen van de extra gegeneerde code om in te kunnen loggen.
Gezien de meeste fouten worden gemaakt door mensen, is het belangrijk dat medewerkers goed worden getraind om hun cyberbewustzijn te verhogen. Het succes van een aanval is vaak afhankelijk van de goedgelovigheid van slachtoffers en dit gebeurt meestal middels phishing. Bij phishing proberen cybercriminelen middels e-mails je naar een valse website te lokken. Als slachtoffers vervolgens op de link in de mail klikt of de bijlage opent, wordt er ransomware geïnstalleerd. Als mensen aanvalstechnieken kunnen herkennen zullen cybercriminelen immers sneller door de mand vallen.
Daarnaast is het belangrijk om te benadrukken dat geen enkele organisatie het zich kan veroorloven om op haar lauweren te rusten. Een ondoordringbare verdediging tegen ransomware is er niet en zal er voorlopig niet komen. De technieken die cybercriminelen gebruiken gaan sneller dan ooit, organisaties moeten er daarom voor zorgen dat ze over de wil en technologie beschikken om continu te verbeteren.