Ransomware behoort tot de grootste digitale risico’s van dit moment. Volgens een recente enquête van cybersecurityspecialist Fortinet maakt maar liefst 85% van alle organisaties zich meer zorgen over een ransomware-aanval dan om andere cyberbedreigingen. In hun wanhoop zijn organisaties al snel geneigd om losgeld te betalen om opnieuw toegang tot hun bedrijfskritische data te kunnen krijgen, maar voor die keuze ga je best niet over een nacht ijs.
Cybercriminelen zijn net als pestkoppen die de boekentas van leerlingen afpakken en hun lunchgeld eisen. Ze houden gevoelige informatie gegijzeld door die te versleutelen. Helaas staat er voor bedrijven veel meer op het spel dan wat lunchgeld. Organisaties zijn namelijk voor hun bedrijfscontinuïteit of zelfs het voortbestaan van hun onderneming afhankelijk van de decryptiesleutels van cybercriminelen. Die zijn nodig om hun gegevens opnieuw te decoderen, zodat die weer bruikbaar zijn.
Neem voorzorgsmaatregelen
Allereerst is het belangrijk om er alles aan te doen om ransomware-aanvallen te vermijden. Door enkele voorzorgsmaatregelen te treffen, kan je de beveiliging tegen aanvallen opvoeren:
- Vergroot de beveiligingskennis en -vaardigheden van je personeel via security-training.
- Klik niet op verdachte links en hanteer best practices op het gebied van cyberhygiëne.
- Download alleen materiaal van vertrouwde bronnen.
- Scan e-mailberichten op malware.
- Maak gebruik van firewalls en oplossingen voor endpoint-beveiliging die worden gevoed met real-time bedreigingsinformatie.
- Gebruik een programma voor gegevensherstel en maak back-ups van alle belangrijke gegevens die je op een veilige externe locatie bewaart.
- Gebruik een VPN als je een verbinding maakt via een openbaar draadloos netwerk.
- Stel een incidentresponsplan op waarbij het management, het IT-team, het team voor informatiebeveiliging en het juridische team betrokken zijn.
Losgeld betalen?
Hoeveel acties je ook onderneemt, het kan zijn dat je bedrijf toch te maken krijgt met een ramsomware-aanval. Bij de overweging of je de afpersers toch maar best betaalt, moet je rekening houden met de mogelijkheid dat je de decryptiesleutel ondanks de betaling niet terugkrijgt. In plaats van de confidentiële informatie terug te geven, kunnen hackers simpelweg de inhoud op het internet zetten, zodat iedereen met een internetverbinding inzage heeft in de inhoud en daar gebruik van kan maken. Het is ook heel goed mogelijk dat ze je data aan een andere criminele partij overhandigen. In die gevallen lost het betalen van losgeld je probleem niet op, maar maakt het je alleen een stuk armer en krijgt je organisatie de reputatie van een makkelijke prooi die snel en herhaaldelijk tot betaling kan worden gedwongen.
Dat wil elke organisatie vermijden. Hoewel er geen wet is die verbiedt om losgeld te betalen indien de data en/of systemen van een organisatie gegijzeld worden, raden overheidsinstellingen en security-professionals sterk af om voor afpersing in eender welke vorm te zwichten. Betalen kan er namelijk toe leiden dat je herhaaldelijk slachtoffer wordt en je zo toekomstige aanvallen rechtstreeks financiert.
Alternatieve stappen bij een ransomware-aanval
Organisaties kunnen ook zelf de schadelijke gevolgen van ransomware tot een minimum beperken door snel actie te ondernemen. De eerste stap is om de ransomware te isoleren, zodat die zich niet van het ene apparaat naar het andere kan verspreiden via netwerkverbindingen. Om ransomware te isoleren moet je het met ransomware besmette systeem uitschakelen. Verbreek daarop alle verbindingen van dat systeem met het netwerk en met eventuele apparaten. Het toepassen van netwerksegmentatie zal dit proces een stuk eenvoudiger en doeltreffender maken.
De volgende stap is om na te gaan met welk type malware je systeem is besmet. Meestal maakt ransomware namelijk deel uit van een bredere aanval. Inzicht in het betrokken type malware kan je incidentresponsteam helpen met het vinden van een passende oplossing. Zo zijn sommige decryptiesleutels voor bepaalde ransomware-varianten openbaar gemaakt.
Tot slot, hoewel de digitale recherche een enorme takenlast heeft en onderzoek veel tijd in beslag kan nemen, kan die afdeling je ook van uitstekende ondersteuning voorzien. Die hulp moet echter slechts een deel vormen van het incidentresponsplan van je organisatie en niet als vervanging daarvan dienen.