Ransomware is een ware plaag en kan vergaande gevolgen hebben voor slachtoffers. Als bestanden worden versleuteld, kan de bedrijfsvoering ernstig verstoord raken en voor individuen kan het verlies van persoonlijke data een grote emotionele impact hebben.
Volgens het de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) is er sprake van een explosieve toename van ransomware-aanvallen. Ook bij IBM zien we ransomware meer en meer opduiken. Uit een recent onderzoek van IBM blijkt dat ransomware de koploper is van alle cyberaanvallen. Maar liefst 21 procent van alle aanvallen in 2021 bestond uit een ransomware-aanval.
Geen garanties na losgeld
Wat is ransomware nu precies? Het is een variant van malware (kwaadaardige software) die de primaire bedoeling heeft om een systeem of zijn bestanden ontoegankelijk te maken en vervolgens losgeld te eisen om het systeem of de bestanden te herstellen. Na het betalen van het losgeld ontvangt de organisatie of persoon de decoderingssleutels of een decoderingsprogramma om de systemen weer toegankelijk te maken. Maar er is geen garantie. Er zijn incidenten gerapporteerd, waar na het betalen niets werd afgeleverd voor de decodering of dat de codering defect was.
Daarnaast zien we vaak het concept van dubbele afpersing. In dit geval dreigen cybercriminelen om vertrouwelijke gegevens te verkopen of openbaar te maken als er niet nog een keer losgeld wordt betaald. Bovendien is het erg lastig om ransomware te voorkomen omdat de aanvallen vaak inside aanvallen betreffen. Dergelijk aanvallen hoeven niet per se te worden uitgevoerd door interne medewerkers, maar kunnen ook worden opgetuigd door cybercriminelen vanuit de it-omgeving van werknemers. Sinds we steeds meer thuiswerken zien we een toename in deze aanvalstactiek. Insiders kunnen hun aanvallen en pogingen over een langere periode verspreiden. Dit biedt hen volop tijd om een aanvalsstrategie te plannen en uit te voeren, hun sporen uit te wissen en de overdracht van gegevens te verhullen voor beveiligingsoplossingen.
Van detectie naar herstel
Het is belangrijk bij ransomware om naast de nodige maatregelen om een aanval te voorkomen, ook de juiste voorbereidingen te treffen voor een daadwerkelijke ransomware-aanval. Snel kunnen handelen kan het verschil maken tussen een kleine of ernstige inbreuk. Om snel te handelen is een strategie cruciaal. Breng in deze strategie alle rollen en verantwoordelijkheden in kaart en stel een lijst op met alle interne en externe stakeholders die bij een eventueel incident betrokken zijn, inclusief hun contactgegevens en een beschrijving van taken. Op deze manier kan meteen worden begonnen met het uitvoeren van het recovery-proces voor elke getroffen it-service. Maak ook (offline-)backups en vergeet niet om deze regelmatig te testen op volledigheid en functionaliteit. Dit zal de impact bij een data-inbreuk verminderen en het herstelproces versnellen.
Bescherm, detecteer, handel en pas aan
Alleen met een dataherstelstrategie is het mogelijk om losgeld betalen te voorkomen. Hoewel er geen standaard template is voor een dergelijke strategie, zijn er altijd drie ingrediënten nodig om een organisatie voor te bereiden op ransomware. Het eerste ingrediënt is het afschermen van gebruikers. Op deze manier kan voorkomen worden dat onbevoegde gebruikers data en systemen (onbewust) in gevaar brengen. Organisaties kunnen dit bijvoorbeeld realiseren door een toegangscontrole te implementeren met dubbele authenticatie. Deze stap zou deel moeten uitmaken van een zero trust-aanpak. Zero trust heeft als doelstelling bedrijven te beschermen tegen de risico’s van ransomware, bedreigingen van binnenuit en andere verstoringen.
Het tweede ingrediënt is het beschermen van de data-kopieën, door het aanwenden van ‘safe-guarded copies’ (beveiligde kopieën). Wanneer er een kopie, snapshot of backup wordt gemaakt, dient er automatisch een onveranderlijke datakopie te worden gemaakt door een ‘airgap’ toe te passen, die de toegang tot kopieën verhindert voor malware of bedreigingen van binnenuit.
Het derde ingrediënt is de mogelijkheid om data voor alle workloads in minuten of uren te herstellen in plaats van dagen of weken. Het versnellen van de hersteltijd vereist de mogelijkheid om applicaties in een beveiligde omgeving te testen voordat de productie wordt hervat.
Daarnaast is het belangrijk om dreigingen, gecoördineerde aanvallen en datalekken vroegtijdig te detecteren en snel te reageren. Organisaties kunnen bijvoorbeeld geautomatiseerde ‘triggers’ implementeren om een beveiligde kopie te maken op basis van bepaalde bedreigingen. Denk hierbij aan inlogpogingen van onbekende ip-adressen, inlogpogingen buiten kantooruren en mislukte aanmeldingen.
Kortom, om u voor te bereiden op ransomware en bedreigingen van binnenuit is het verstandig om altijd de volgende factoren in uw achterhoofd te houden: beschermen, detecteren, handelen en aanpassen. Door uw cyberbestendigheid te vergroten, bent u beter voorbereidt en kunt u voorkomen dat organisaties gegijzeld worden in deze steeds groter wordende digitale wereld.
Een laatste advies: vergeet niet te testen. Voer regelmatig simulaties uit en test hoe goed het team reageert op dreigingen. Dit zal een groot verschil maken als u wordt getroffen door een cyberaanval.