Helaas komt het steeds vaker voor dat bedrijven de dupe worden van ‘gijzelsoftware’ Het hele bedrijf zit op slot, tenzij er een flink bedrag in Bitcoin wordt betaald. Wij zien een sterke toename van dit soort aanvallen.
Maar hoe komt die ransomware (de officiële term) binnen en hoe kun je je wapenen tegen dit soort aanvallen? En als je getroffen bent, hoe kun je herstellen van een dergelijke aanval?
Allereerst even in het kort wat ransomware is. Bij een ransomware aanval wordt door een softwareprogramma (ransomware) de bestanden van het bedrijf versleuteld. Tegen een (hoog) bedrag kun je de “ontcijfersleutel” om de data weer te ontcijferen terugkopen. Na het betalen van losgeld (vaak in Bitcoin, omdat dit niet te traceren is) zou de gegijzelde data met deze “ontcijfersleutel” weer ontcijferd kunnen worden. Hierbij is het overigens niet zeker dat na het betalen van het losgeld, de ontcijfersleutel ook daadwerkelijk geleverd gaat worden.
Er zijn meerdere manieren waarop deze ransomware op de computers van het bedrijf kan komen.
Hoe komen ze binnen?
De meest gebruikte manier is door middel van phishing. Hierbij worden via mail, whatsapp of sms berichten verstuurd met daarin een link. Door op deze links te klikken geef je ongewild toegang tot je computersysteem of telefoon en kunnen de cybercriminelen hun gang gaan.
Een andere en wat minder bekende manier is dat cybercriminelen gebruik te maken van “foutjes” of bugs in de softwarepakketten die je gebruikt. In een aantal gevallen geven deze bugs onbedoeld toegang tot bepaalde delen van de software. Cybercriminelen weten dit en maken gebruik (misbruik) van deze softwarefoutjes.
Deze onbedoelde achterdeurtjes moeten natuurlijk zo snel mogelijk weer dicht worden gezet. De meeste softwareleveranciers zijn hier dan ook zeer beducht op. We herkennen allemaal wel de meldingen van software-leveranciers dat er binnenkort weer een beveiligingsupdate gaat komen, waarbij veiligheidsrisico’s afgedicht zijn. Het is dus van groot belang dat we deze beveiligingsupdates ook daadwerkelijk doorvoeren op onze eigen computersystemen en pc’s. Hoe langer deze fouten niet hersteld zijn, des te langer staan de systemen in feite open voor misbruik door cybercriminelen en hoe meer je bloot staat aan cyberaanvallen die gebruik maken van deze achterdeurtjes.
Wat kun je doen?
Een bescherming tegen ransomware aanvallen ligt dus grotendeels in het bewust zijn van deze risico’s en alert zijn op linkjes die ongevraagd en onverwacht worden toegestuurd. Door alert te zijn op dit soort risico’s kun je het aantal succesvolle aanvallen flink verminderen.
Een tweede aanbeveling is om beveiligingsupdates die van de leveranciers komen zo snel mogelijk uit te voeren. Ook hiermee verklein je de kans dat er ingebroken wordt op je computersystemen. Dit geldt ook voor de zogenaamde service packs op onze Windows laptops pc ‘s.
Maar goed, wat te doen als je toch het slachtoffer bent geworden van een ransomware aanval en je data versleuteld is?
Herstel met “No more ransom”?
Slachtoffer geworden van ransomware? Kijk dan eerst even op de site van “No More Ransom” … dit is een initiatief van het Team High-Tech Crime van de Nationale Politie, het European Cybercrime Centre van Europol, Kapersky en McAfee.
Het doel van deze organisaties is het helpen van slachtoffers van ransomware bij het herstellen van hun versleutelde gegevens zonder dat zij de criminelen hiervoor betalen.
Deze organisatie heeft voor een aantal typen ransomware een decryptiesleutel en stelt deze gratis beschikbaar voor getroffen bedrijven.
Meer informatie is te vinden op https://www.nomoreransom.org.
Dan toch maar de back-up!
Mocht je hier geen gebruik van kunnen maken, dan kun je alleen nog maar terugvallen op de back-up van je systeem. Hierbij is het wel van belang dat je een goed back-up regime hebt ingesteld, waarbij de data gescheiden is van de programma’s en waar zowel gebruik is gemaakt van gescheiden online en offline media. Als je back-up immers op dezelfde schijf staat als de data, dan is de kans groot dat die ook geëncrypt is en dus ook niet meer beschikbaar.
Naast de media waarop de back-ups zijn opgeslagen, is het dus ook van belang om te kijken hoe vaak een back-up gemaakt moet worden. Je moet je hierbij afvragen hoe ver in de tijd je terug kunt gaan zonder dat je aanzienlijke (financiële) verliezen gaat lijden.
Een goed back-up regime is dus essentieel om te kunnen herstellen van een ransomware aanval, maar nog beter is het om de aanval te voorkomen.
Tips
- Identificeer wat je meest waardevolle en daarmee meest kwetsbare data zijn en beveilig die maximaal (niet iedereen hoeft toegang te hebben),
- Identificeer je kwetsbare systemen en netwerkcomponenten en beveilig deze goed,
- Organiseer “Cyber Awareness” trainingen voor al het personeel,
- Filter webbrowser verkeer op phishing malware,
- Beperk het gebruik van USB-stick,
Dit is geen garantie tegen ransomware, maar verminderd wel de kans om slachtoffer te worden.
Om werkelijk effectief te beveiligen is het belangrijk het bedrijf en de ‘digitale organisatie’ goed te kennen. Tijdens een kop koffie kom ik hier graag een keer over praten om te helpen de beveiliging op orde te brengen.
We wensen u veel veilig werk.
Fernando Estarippa
of mail naar fernando@symion.nl
Business Analist
Bel Fernando