Ransomware

​Incident

Ransomware

Het is toch slim bedacht, dat ransomware concept: malware die de gegevens van gebruikers vergrendelt en hen vervolgens de kans biedt deze terug te kopen. Ransomware is in korte tijd uitgegroeid tot een enorm succesvol businessmodel voor cybercriminelen. Maar ook tot één van de grootste uitdagingen voor consumenten en bedrijven. Als slachtoffer van ransomware , zit je in een uiterst bedreigende situatie en kan zelfs de toekomst van jouw organisatie op het spel komen te staan. Ben je benieuwd naar welke maatregelen tegen ransomware er zijn?  In dit blog vertel ik je niet alleen hoe je een besmetting kunt voorkomen, maar ook hoe je de schade kunt beperken en wat je moet doen om jouw zaken weer op orde te krijgen.

De grote kracht van ransomware is duidelijk: criminelen hoeven slechts één keer succes te hebben. Jouw jouw beveiliging mag echter op geen enkel moment mag verslappen. Je staat voor een lastige keuze: hoeveel geef je uit om een ramp te voorkomen die zich misschien nooit voordoet, maar die enorme verliezen kan veroorzaken als dat wel gebeurt? En is een perfecte beveiliging eigenlijk realistisch? Natuurlijk niet. Uiteindelijk is het een wedstrijd, en er komt een moment dat de criminelen jou te slim af zijn. Desondanks zijn er een aantal dingen die je nu kunt doen om het hen zo moeilijk mogelijk te maken. Trap in ieder geval niet in de oudste trucs!

Maatregelen tegen ransomware, verlaag de kans op besmetting!

Er zijn verschillende relatief eenvoudige manieren om te voorkomen dat je het slachtoffer wordt van cybercriminelen. Maatregelen tegen ransomware die we zelf kunnen we treffen zijn:

Updates

Installeer altijd de nieuwste beveiligingsupdates en isoleer potentiële risico gebieden

Gangbare netwerk security scanners kunnen veel gevaren voor je detecteren voordat ze opeens van kritisch belang worden. Terwijl je aan een lange termijn oplossing werkt, is het raadzaam om direct deze apparaten door middel van zo strikt mogelijke firewall regels van je bedrijfsnetwerk en van elkaar af te schermen.

Schakel macro ondersteuning in Office-documenten zoveel mogelijk uit

Een veelgebruikte truc door cyber criminelen is het versturen van een Word-document of een PowerPoint-presentatie. In deze bestanden plaatsen ze kwaadaardige macro’s die ransomware installeren. Macro’s worden standaard niet uitgevoerd, maar Word geeft zeer prominent de knop ‘Inhoud inschakelen’ weer. Hiermee worden de macro’s uitgevoerd en ben je verzekerd van een hoop ellende. Het document zelf is gewoonlijk enkel en alleen bedoeld om de gebruiker op deze knop te laten klikken. ‘Inhoud inschakelen’, niks mis mee zou je zo zeggen? Geef aanvallers geen kans om gebruikers over te halen en schakel macro’s volledig uit op zoveel mogelijk systemen.

Beperk gebruikersrechten

Ken geen lokale of domeinbeheer rechten toe, zeker niet aan accounts die medewerkers voor hun dagelijkse werkzaamheden gebruiken. Er is verder nog veel meer over het beveiligen van een Windows-netwerk te zeggen, maar hier begint het mee.

Verwijder bestandstype koppelingen voor ongewone uitvoerbare typen

Aanvallers zijn voortdurend op zoek naar nieuwe bestandstypen die er voor gebruikers en antivirussoftware onschuldig uitzien maar wel in staat zijn malware te installeren. Door het verwijderen van deze bestandstype koppelingen wordt de malware niet uitgevoerd. 

Voorkom met Applocker dat programma’s vanuit een profielmap van een gebruiker worden gestart (bijv. ‘Downloads’, ‘Bureaublad’ en ‘Tijdelijke bestanden’)

Dit is een rigoureuze maatregel. Gebruikers kunnen namelijk geen enkel programma starten dat niet op de juiste locatie geïnstalleerd is. Ook kunnen ze zelf geen programma’s installeren. Deze aanpak wordt aanbevolen voor omgevingen die al strenge beperkingen toepassen.

Antivirussoftware

Antivirussoftware biedt een goede basis beveiliging en absoluut noodzakelijk. Wees je er wel van bewust dat aanvallers altijd zullen proberen om malware te ontwikkelen die een virusscanner niet kan detecteren. Op dat punt loop je dus vaak achter de feiten aan.

Maatregelen tegen ransomware, beperk de potentiële schade!

Naast het treffen van maatregelen tegen ransomware is het tenminste zo belangrijk om een succesvolle aanval snel te detecteren, deze te stoppen en om vervolgens de schade zo veel mogelijk te beperken. Hieronder volgen vijf manieren waarop je dit kunt doen.

1

Maak back-ups

Als je regelmatig back-ups maakt, kun je er altijd voor kiezen je verlies te nemen. Je haalt dan gewoon de data van back-ups terug en werkt daarmee verder in plaats van de criminelen te betalen om de meest recente versie van jouw data weer te ontsleutelen. Dit is waarschijnlijk het meest belangrijke advies om de impact van een ransomware uitbraak te beperken.

2

Test je back-ups

Hoe vaak test je of jouw back-ups echt werken? Veel mensen denken hier pas aan als het te laat is. Controleer daarom of je back-ups inderdaad gemaakt worden en of alle belangrijke data ook echt terug te halen is. Jouw bedrijf zou niet het eerste zijn dat alle gegevens van zijn besmette systemen wist en er dan achterkomt dat de back-ups niet werken! In dat geval heb je geen enkele mogelijkheid meer om je gegevens te herstellen.

3

Beveilig je back-ups

Als de ransomware tevens je back-ups kan versleutelen, is het over en uit. Een gedeelde map op het netwerk of een externe harde schijf is niet voldoende, want ransomware kan en zal deze opslagapparaten versleutelen wanneer je ze op een besmet systeem aansluit.

4

Beperk de toegang tot gedeelde mappen

Ransomware versleutelt bestanden op gedeelde mappen. Bepaal daarom zorgvuldig hoeveel systemen toegang tot welke netwerkstations hebben en of ze schrijftoegang tot deze stations hebben. Onthoud dat er slechts één besmet systeem met schrijftoegang tot een gedeelde map nodig is om alle gegevens hierop te raken.

5

Logging en monitoring

Netwerken kunnen op vele verschillende manieren gemonitord worden, en er zijn vele producten die hierbij kunnen helpen. Belangrijk is dat je in het geval van besmetting met ransomware snel vast kunt stellen welke systemen wel en welke systemen niet besmet zijn. Vaak zal ransomware zich pas manifesteren wanneer het al grote hoeveelheden gegevens versleuteld heeft.

Maatregelen tegen ransomware, crisis management

Wanneer je slachtoffer van ransomware bent geworden, is het belangrijk dat je op de hoogte bent van de opties die je hebt.

1) De eerste stap is natuurlijk contact opnemen met Talox

2) Decryptie-tools

Voor sommige ransomware hebben onderzoekers decryptie tools beschikbaar gesteld waarmee je je gegevens kunt herstellen zonder dat je de criminelen hoeft te betalen. Deze tools werken echter alleen als de ransomware ernstige fouten bevat – wat steeds minder voorkomt omdat de criminelen slimmer worden – of als de onderzoekers erin geslaagd zijn de geheime encryptiesleutels van de criminelen te bemachtigen. Dit gebeurt soms wanneer criminelen opgepakt worden, als ze door rivalen of ‘goede’ computerkrakers gehackt worden, of als ze spijt hebben van hun criminele activiteiten en een goede daad willen verrichten (gek genoeg zijn er decryptiesleutels vrijgegeven waarbij dit als reden opgegeven is).

3) Betalen

Dit is meestal de dure optie. Bovendien werkt het de criminelen juist in de hand. Toch kan het in bepaalde gevallen de enige juiste handelswijze zijn. Sluit deze optie daarom pas uit als je zeker weet dat je belangrijke gegevens op een andere manier terug te krijgen zijn.

4) De Meest recente back-ups terugzetten en daarmee verdergaan

Dit is een van de betere opties, maar verondersteld uiteraard wel dat je goede backup procedure hebt en dat de bestanden van de backup nog beschikbaar zijn (en niet ook onderdeel zijn geweest van de aanval).

Ik hoop dat de informatie in deze blog je helpt cybercriminelen buiten de deur te houden of in ieder geval de schade van een cyberaanval zoveel mogelijk te beperken. Wil je een oordeel van een expert over het veiligheidsniveau van jouw netwerk, of tips voor de meest dringende verbeterpunten: Neem contact met ons op.

Loved this? Spread the word


Gerelateerde blogberichten