Het is toch slim bedacht, dat ransomware concept: malware die de eigen gegevens van gebruikers vergrendelt en hen vervolgens de kans biedt deze terug te kopen. Ransomware is in korte tijd uitgegroeid tot een enorm succesvol businessmodel voor cybercriminelen en een serieus probleem voor zowel consumenten als bedrijven. Bovendien vormen gegevens een kritieke asset voor elk bedrijf. Met andere woorden: als je slachtoffer van ransomware wordt, zit je in een uiterst hachelijke situatie en kan zelfs de toekomst van jouw organisatie op het spel komen te staan. In deze blogpost bespreek ik hoe je dit kunt voorkomen, hoe je bij een besmetting de schade kunt beperken en wat je moet doen om jouw zaken weer op orde te krijgen.

De grote kracht van ransomware is duidelijk: criminelen hoeven slechts één keer succes te hebben, terwijl jouw beveiliging op geen enkel moment mag verslappen. Je staat voor een lastige keuze: hoeveel geef je uit om een ramp te voorkomen die zich misschien nooit voordoet, maar die enorme verliezen kan veroorzaken als dat wel gebeurt? En is een perfecte beveiliging eigenlijk realistisch? Natuurlijk niet. Uiteindelijk is het een wedstrijd, en er komt een moment dat de criminelen jou te slim af zijn. Desondanks zijn er een aantal dingen die je nu kunt doen om het hen zo moeilijk mogelijk te maken. Trap in ieder geval niet in de oudste trucs!

Het risico op besmetting met ransomware beperken

Er zijn verschillende relatief eenvoudige manieren om te voorkomen dat je het slachtoffer van ransomware wordt:

  • Installeer altijd de nieuwste beveiligingsupdates en isoleer probleemgebieden

Bij de recente uitbraak van de ransomware WannaCry is een kwetsbaarheid gebruikt waar Microsoft maanden geleden al een patch voor uitgebracht heeft. Sommige bedrijven waren gewoon te traag met updaten, maar vele andere organisaties kwamen tot de ontdekking dat dat voor hen geen optie was. Hun software of apparatuur was gebaseerd op oude of niet meer ondersteunde versies van Microsoft Windows. Gangbare netwerk security scanners kunnen veel van deze gevaren voor je detecteren voordat ze opeens van kritisch belang worden. Terwijl je aan een lange-termijn oplossing werkt, is het raadzaam om direct deze apparaten door middel van zo strikt mogelijke firewall-regels van je bedrijfsnetwerk en van elkaar af te schermen.

  • Schakel macro ondersteuning in Office-documenten uit voor zoveel mogelijk medewerkers

Een veelgebruikte truc is het versturen van een Word-document of een PowerPoint-presentatie met kwaadaardige macro’s die ransomware installeren. Macro’s worden standaard niet uitgevoerd, maar Word geeft zeer prominent de knop ‘Inhoud inschakelen’ weer. Hiermee worden de macro’s uitgevoerd en ben je verzekerd van een hoop ellende. Het document zelf is gewoonlijk enkel en alleen bedoeld om de gebruiker op deze knop te laten klikken. ‘Inhoud inschakelen’, niks mis mee zou je zo zeggen? Geef aanvallers geen kans om gebruikers over te halen en schakel macro’s volledig uit op zoveel mogelijk systemen.

  • Beperk gebruikersrechten

Ken geen lokale of domeinbeheerrechten toe, zeker niet aan accounts die medewerkers voor hun dagelijkse werkzaamheden gebruiken. Er is verder nog veel meer over het beveiligen van een Windows-netwerk te zeggen, maar hier begint het mee.

  • Verwijder bestandstypekoppelingen voor ongewone uitvoerbare typen

Aanvallers zijn voortdurend op zoek naar nieuwe bestandstypen die er voor gebruikers en antivirus-software onschuldig uitzien maar wel in staat zijn malware te installeren. Door het verwijderen van deze bestandstypekoppelingen wordt de malware niet uitgevoerd. Het kan soms lastig zijn te bepalen welke bestandstypes echt onnodig zijn, en welke gebruikt worden voor obscure, maar voor gebruikers  toch belangrijke functionaliteit. Net als alle beveiligingsbeperkingen kunnen deze regels het best stukje bij beetje opgesteld worden om de kans op verstoringen te verminderen.

  • Voorkom met Applocker dat programma’s vanuit een profielmap van een gebruiker worden gestart (bijv. ‘Downloads’, ‘Bureaublad’ en ‘Tijdelijke bestanden’)

Dit is een rigoureuze maatregel. Gebruikers kunnen namelijk geen enkel programma starten dat niet op de juiste locatie geïnstalleerd is, en zelf geen programma’s installeren. Deze aanpak wordt aanbevolen voor omgevingen die al strenge beperkingen toepassen.

  • Antivirus-software

Antivirus-software biedt een goede basisbeveiliging, maar aanvallers zorgen doorgaans dat populaire antivirus-software hun nieuwste malware niet weet te detecteren. Hierdoor lopen de makers van antivirus-software vaak achter de feiten aan.

Vijf manieren om de schade van ransomware te beperken

Het is belangrijk om het risico op besmetting met ransomware te verkleinen. Nog belangrijker is echter het detecteren van een een succesvolle ransomware aanval, het stoppen van de verspreiding en het beperken van de schade. Hieronder volgen vijf manieren waarop je dit kunt doen.

  1. Maak back-ups

Als je regelmatig back-ups maakt, kun je er altijd voor kiezen je verlies te nemen. Je haalt dan gewoon de data van back-ups terug en werkt daarmee verder in plaats van de criminelen te betalen om de meest recente versie van jouw data weer te ontsleutelen. Dit is waarschijnlijk het meest belangrijke advies om de impact van een ransomware uitbraak te beperken.

  1. Test je back-ups

Hoe vaak test je of jouw back-ups echt werken? Veel mensen denken hier pas aan als het te laat is. Controleer daarom of je back-ups inderdaad gemaakt worden en of alle belangrijke data ook echt terug te halen is. Jouw bedrijf zou niet het eerste zijn dat alle gegevens van zijn besmette systemen wist en er dan achterkomt dat de back-ups niet werken! In dat geval heb je geen enkele mogelijkheid meer om je gegevens te herstellen.

  1. Beveilig je back-ups

Als de ransomware tevens je back-ups kan versleutelen, is het over en uit. Een gedeelde map op het netwerk of een externe harde schijf is niet voldoende, want ransomware kan en zal deze opslagapparaten versleutelen wanneer je ze op een besmet systeem aansluit.

  1. Beperk de toegang tot gedeelde mappen

Ransomware versleutelt bestanden op gedeelde mappen. Bepaal daarom zorgvuldig hoeveel systemen toegang tot welke netwerkstations hebben en of ze schrijftoegang tot deze stations hebben. Onthoud dat er slechts één besmet systeem met schrijftoegang tot een gedeelde map nodig is om alle gegevens hierop te raken.

  1. Logging en monitoring

Netwerken kunnen op vele verschillende manieren gemonitord worden, en er zijn vele producten die hierbij kunnen helpen. Belangrijk is dat je in het geval van besmetting met ransomware snel vast kunt stellen welke systemen wel en welke systemen niet besmet zijn. Vaak zal ransomware zich pas manifesteren wanneer het al grote hoeveelheden gegevens versleuteld heeft.

Het opruimen van de rotzooi na een ransomware-uitbraak

Wanneer je slachtoffer van ransomware bent geworden, is het belangrijk dat je op de hoogte bent van de opties die je hebt:

  • Zoek naar algemeen beschikbare decryptie-tools

Voor oudere ransomware hebben onderzoekers decryptie-tools beschikbaar gesteld waarmee je je gegevens kunt herstellen zonder dat je de criminelen hoeft te betalen. Deze tools werken echter alleen als de ransomware ernstige fouten bevat – wat steeds minder voorkomt omdat de criminelen slimmer worden – of als de onderzoekers erin geslaagd zijn de geheime encryptiesleutels van de criminelen te bemachtigen. Dit gebeurt soms wanneer criminelen opgepakt worden, als ze door rivalen of ‘goede’ computerkrakers gehackt worden, of als ze spijt hebben van hun criminele activiteiten en een goede daad willen verrichten (gek genoeg zijn er decryptiesleutels vrijgegeven waarbij dit als reden opgegeven is).

  • Betalen

Dit is meestal de dure optie. Bovendien werkt het de criminelen juist in de hand. Toch kan het in bepaalde gevallen de enige juiste handelswijze zijn. Sluit deze optie daarom pas uit als je zeker weet dat je belangrijke gegevens op een andere manier terug te krijgen zijn.

  • Meest recente back-ups terugzetten en daarmee verdergaan

Dit is duidelijk de beste optie.

Ik hoop dat de informatie in deze blog je helpt cybercriminelen buiten de deur te houden of in ieder geval de schade van een cyberaanval zoveel mogelijk te beperken. Wil je een expert-oordeel over het veiligheidsniveau van jouw netwerk, of tips voor de meest dringende verbeterpunten: je kunt ons altijd bellen!

CDN