Wat moet je vooral niet doen bij een ransomware-aanval? En wat wel?

Ransom­ware behoort tot de grootste digitale risico’s van dit moment. Volgens een recente enquête van cyber­se­cu­ri­ty­spe­ci­a­list Fortinet maakt maar liefst 85% van alle orga­ni­sa­ties zich meer zorgen over een ransom­ware-aanval dan om andere cyber­be­drei­gingen. In hun wanhoop zijn orga­ni­sa­ties al snel geneigd om losgeld te betalen om opnieuw toegang tot hun bedrijfs­kri­ti­sche data te kunnen krijgen, maar voor die keuze ga je best niet over een nacht ijs.

Cyber­cri­mi­nelen zijn net als pest­koppen die de boekentas van leer­lingen afpakken en hun lunchgeld eisen. Ze houden gevoelige infor­matie gegijzeld door die te versleu­telen. Helaas staat er voor bedrijven veel meer op het spel dan wat lunchgeld. Orga­ni­sa­ties zijn namelijk voor hun bedrijfs­con­ti­nu­ï­teit of zelfs het voort­be­staan van hun onder­ne­ming afhan­ke­lijk van de decryp­tie­sleu­tels van cyber­cri­mi­nelen. Die zijn nodig om hun gegevens opnieuw te decoderen, zodat die weer bruikbaar zijn. 

Neem voorzorgsmaatregelen 

Aller­eerst is het belang­rijk om er alles aan te doen om ransom­ware-aanvallen te vermijden. Door enkele voor­zorgs­maat­re­gelen te treffen, kan je de bevei­li­ging tegen aanvallen opvoeren:

• Vergroot de bevei­li­gings­kennis en ‑vaar­dig­heden van je personeel via security-training.
• Klik niet op verdachte links en hanteer best practices op het gebied van cyberhygiëne.
• Download alleen materiaal van vertrouwde bronnen.
• Scan e‑mailberichten op malware.
• Maak gebruik van firewalls en oplos­singen voor endpoint-bevei­li­ging die worden gevoed met real-time bedreigingsinformatie.
• Gebruik een programma voor gege­vens­her­stel en maak back-ups van alle belang­rijke gegevens die je op een veilige externe locatie bewaart.
• Gebruik een VPN als je een verbin­ding maakt via een openbaar draadloos netwerk.
• Stel een inci­den­tres­pons­plan op waarbij het mana­ge­ment, het IT-team, het team voor infor­ma­tie­be­vei­li­ging en het juri­di­sche team betrokken zijn.

Losgeld betalen?

Hoeveel acties je ook onder­neemt, het kan zijn dat je bedrijf toch te maken krijgt met een rams­om­ware-aanval. Bij de over­we­ging of je de afpersers toch maar best betaalt, moet je rekening houden met de moge­lijk­heid dat je de decryp­tie­sleutel ondanks de betaling niet terug­krijgt. In plaats van de confi­den­tiële infor­matie terug te geven, kunnen hackers simpelweg de inhoud op het internet zetten, zodat iedereen met een inter­net­ver­bin­ding inzage heeft in de inhoud en daar gebruik van kan maken. Het is ook heel goed mogelijk dat ze je data aan een andere criminele partij over­han­digen. In die gevallen lost het betalen van losgeld je probleem niet op, maar maakt het je alleen een stuk armer en krijgt je orga­ni­satie de reputatie van een makke­lijke prooi die snel en herhaal­de­lijk tot betaling kan worden gedwongen.

Dat wil elke orga­ni­satie vermijden. Hoewel er geen wet is die verbiedt om losgeld te betalen indien de data en/​of systemen van een orga­ni­satie gegijzeld worden, raden over­heids­in­stel­lingen en security-profes­si­o­nals sterk af om voor afpersing in eender welke vorm te zwichten. Betalen kan er namelijk toe leiden dat je herhaal­de­lijk slacht­offer wordt en je zo toekom­stige aanvallen recht­streeks financiert. 

Alternatieve stappen bij een ransomware-aanval

Orga­ni­sa­ties kunnen ook zelf de scha­de­lijke gevolgen van ransom­ware tot een minimum beperken door snel actie te onder­nemen. De eerste stap is om de ransom­ware te isoleren, zodat die zich niet van het ene apparaat naar het andere kan verspreiden via netwerk­ver­bin­dingen. Om ransom­ware te isoleren moet je het met ransom­ware besmette systeem uitscha­kelen. Verbreek daarop alle verbin­dingen van dat systeem met het netwerk en met eventuele apparaten. Het toepassen van netwerk­seg­men­tatie zal dit proces een stuk eenvou­diger en doel­tref­fender maken.

De volgende stap is om na te gaan met welk type malware je systeem is besmet. Meestal maakt ransom­ware namelijk deel uit van een bredere aanval. Inzicht in het betrokken type malware kan je inci­den­tres­pons­team helpen met het vinden van een passende oplossing. Zo zijn sommige decryp­tie­sleu­tels voor bepaalde ransom­ware-varianten openbaar gemaakt. 

Tot slot, hoewel de digitale recherche een enorme takenlast heeft en onderzoek veel tijd in beslag kan nemen, kan die afdeling je ook van uitste­kende onder­steu­ning voorzien. Die hulp moet echter slechts een deel vormen van het inci­den­tres­pons­plan van je orga­ni­satie en niet als vervan­ging daarvan dienen.