Cybercrime is een steeds groter wordend probleem en ransomware is daar een van de meest verontrustende vormen van. Wist je dat Nederland in de top-10 van landen met de meeste ransomware aanvallen staat? In 2017 waren er zo'n 700 meldingen van cyberaanvallen in Nederland, in 2021 al meer dan tweeduizend. Ransomware aanvallen vormen het grootste gevaar. Voor bedrijven is ransomware een probleem wat steeds urgenter wordt. Vroeger waren voornamelijk grotere bedrijven het slachtoffer van ransomware. Dit verschuift echter steeds meer richting het MKB.
Bedrijven in het MKB zijn vaak veel minder goed voorbereid op cybercrime aanvallen of ransomware. Hier zijn drie redenen voor te bedenken: ze zijn zich niet bewust van de gevaren, ze geven het geen prioriteit of ze hebben geen budget om het aan te pakken. De gevolgen kunnen zo groot zijn, dat een faillissement op de loer ligt.
In dit blog leggen we uit wat ransomware precies is, hoe het werkt en hoe je het risico om hier slachtoffer van te worden, kunt beperken. We geven ook advies over wat je moet doen als je ondanks alle maatregelen te maken krijgt met ransomware. Het is belangrijk om op de hoogte te zijn van deze informatie, zodat je je jouw bedrijf zo goed mogelijk tegen deze vorm van cybercrime kunt beschermen.
Wat is ransomware?
Ransomware is kwaadaardige software die computers en bestanden gijzelt. In het Nederlands noemen we ransomware ook wel gijzelsoftware. De bestanden op een computer of netwerk worden versleuteld, en pas vrijgegeven als je betaald.
Maar daar houdt het niet op: zo is er ook double extortion, een vorm van cyberdreiging waarbij bestanden gegijzeld worden en cybercriminelen dreigen dat ze vertrouwelijke gegevens lekken als je niet betaald. Overtreffende trap hiervan is Triple extortion waarbij gedreigd wordt met een DDoS aanval als je niet betaald.
Op het darkweb zijn leak sites te vinden waar gelekte informatie wordt gedeeld van bedrijven die niet betaald hebben. Hieronder zie je een voorbeeld hiervan.
Betaling in cryptovaluta
Dit bedrag moet vaak betaald worden in de vorm van cryptovaluta, zoals Bitcoin. De reden hiervoor is dat dit anoniem kan en de aanvaller hiermee moeilijker achterhaald kan worden.
Wat is het verschil tussen ransomware en malware?
Malware is een verzamelbegrip voor schadelijke software, waaronder ook virussen, spyware en adware vallen. Ransomware is dus een specifiek type malware.
Het verschil tussen ransomware en andere vormen van malware is dat ransomware gericht is op het blokkeren van toegang tot je computer en het afpersen van geld.
Hoe komt ransomware op je computer?
Er zijn verschillende manieren waarop ransomware op je computer terecht kan komen. Dit kan bijvoorbeeld door te klikken op een kwaadaardige link, bijlage of advertentie in een email, het bezoeken van een kwetsbare website of door een phishing aanval.
Phishing is een algemene term voor de manier waarop een cyberaanval in gang gezet kan worden. Dit begint altijd met dat cybercriminelen medewerkers proberen te verleiden om te klikken op een link. Deze link zorgt ervoor dat er kwaadaardige software wordt geïnstalleerd. Zo krijgen cybercriminelen toegang tot het bedrijfsnetwerk.
Andere manieren zijn:
- door het bezoeken van kwetsbare websites
- door virussen in installatiebestanden die jij downloadt
- doordat de inloggegevens zijn gelekt van een medewerker
- doordat een softwareleverancier is gehackt die jij toegang hebt gegeven tot het bedrijfsnetwerk
- doordat jij een USB-stick in jouw bedrijfscomputer steekt waarop kwaadaardige software is geimplanteerd.
In stappen ziet het installeren van ransomware er zo uit:
Stap 1: Kwaadaardige software wordt geïnstalleerd
De ransomware aanval begint meestal met een onschuldige mail. De mail lijkt echt, waardoor je in alle onschuld een linkje klikt of een bestand downloadt en opent. Denk hierbij aan een factuur of een salarisspecificatie. Hackers zorgen dat het bestand echt lijkt. Dat doen ze door er een pdf- of doc- bestand van te maken met daarin een macro (dan moet je nog een keer uitdrukkelijk toegang geven tot het Word document, anders kan het document alleen gelezen worden). Maar zodat je dit doet, krijgt de hacker toegang tot jouw computer.
Stap 2: Doorzoeken van de bestanden
Hebben de hackers toegang tot het systeem dan gaan ze op zoek naar de belangrijkste bestanden. Soms zitten de hackers al maanden in jouw bedrijfssystemen, zonder dat je dit doorhebt. Ze lichten je hele bedrijfssysteem door en downloaden alle belangrijke en vertrouwelijke informatie. Vervolgens versleutelen ze dit, zodat je er niet bij kunt.
Stap 3: Versleutelen van bestanden
Op de achtergrond maakt de software contact met de server van de hacker. Er worden zogenaamde digitale sleutels gemaakt. Deze sleutels versleutelen bestanden op je computer waardoor je er niet meer bij komt. Je merkt dit pas op het moment dat je er niets meer aan kunt doen.
Stap 4: Geld overmaken
Je krijgt een melding op je scherm waarin staat dat je geld over moet maken binnen een bepaalde tijd. Betaal je niet, dan gaat de prijs omhoog. Of er wordt vertrouwelijke informatie gelekt, van klanten bijvoorbeeld. Hoe ga je dat uitleggen aan jouw klanten?
Hoe herken je ransomware?
We hebben hierboven al enkele dingen benoemd. Maar even op een rij: er zijn verschillende manieren waaraan je ransomware kunt herkennen. Denk aan:
- Je ziet een bericht op je scherm waarin staat dat je toegang tot je computer is geblokkeerd en dat je een bepaald bedrag moet betalen om de toegang te herstellen.
- Soms wordt een bericht ondersteund door een luide alarmbel of een sirene.
- Je kunt bestanden niet meer openen op je computer.
- Bestanden zijn alleen te openen wanneer je een bepaalde sleutel hebt.
- Er wordt betaling geëist via Bitcoin.
Wat moet je doen als je te maken hebt met ransomware?
Als je te maken hebt met ransomware, dan is het belangrijk om niet in paniek te raken en niet direct het bedrag te betalen. Hiermee beloon je namelijk de aanvaller waardoor deze motivatie heeft om door te gaan met deze vorm van cybercrime.
Het beste is om je computer van het internet te halen zodat er geen connectie meer gemaakt wordt door de hacker. Alleen dit vraagt wel een goede afweging. Is de versleuteling bijvoorbeeld niet goed voltooid, dan kan het afkoppelen ervoor zorgen dat de bestanden corrupt raken. Ze zijn dan zo beschadigd dat ze niet terug te halen zijn, zelfs niet met een sleutel. Ook kan het zijn dat het systeem dat je wilt ontkoppelen het belangrijke bedrijfssysteem is, wat niet zonder internet kan.
Wij raden aan om altijd te werken met een Incident Respons Plan. Een stappenplan voor hoe je als bedrijf omgaat met een cyberaanval. Het is raadzaam om een expert in te schakelen die je hierbij kan helpen.
Hoe voorkom je dat je te maken krijgt met ransomware?
Het is absoluut mogelijk om maatregelen te nemen die de kans op een ransomware aanval verkleinen. Een aantal maatregelen die je kunt nemen:
Belang van goede back-up
Allereerst is het belangrijk om een goede back-up te hebben. Maak daarom regelmatig een back-up van al je belangrijke bestanden en data en bewaar deze buiten je eigen computer. Denk hierbij aan bestanden op een externe harde schijf of in de cloud. Voordeel hiervan is dat cybercriminelen hier niet bij kunnen om ze te versleutelen.
Hierdoor kun je deze gegevens altijd terugzetten, zelfs als ze zijn gecodeerd door ransomware. Ook dit proces dient opgenomen te worden in een Incident Respons Plan. Hierin neem je op hoe je een back-up terug zet. Een back-up terugzetten op een geïnfecteerd systeem is niet handig. Zeker niet, wanneer je geen kennis van zaken hebt. Cybercriminelen kunnen bijvoorbeeld een backdoor geïnstalleerd hebben, waardoor ze alsnog toegang hebben.
Houd je software up-to-date
Het up-todate houden van de software op je computer (zoals je besturingssysteem) is essentieel. In een verouderd systeem kan kwaadaardige software eenvoudig uitgevoerd worden.
Cybercriminelen maken namelijk vaak gebruik van bekende beveiligingslekken in verouderde software om toegang tot je computer te verschaffen en malware te installeren. Door software up-to-date te houden kun je dit risico verminderen.
Het is van belang dat je van elk systeem en softwareproduct weet welk versie erop staat. Door dit in kaart te brengen kun je hier een strategie op voeren.
Inzet van tweefactorauthenticatie
Wil je nog meer zekerheid inbouwen, zorg dat medewerkers tweefactorauthenticatie gebruiken. Tweefactorauthenticatie betekent dat er twee stappen gezet moeten worden om in te loggen op een account. Je kunt het zien als dat je niet één maar twee verschillende sleutels gebruikt om een slot te openen. Voor cybercriminelen is het hacken wat een systeem waar twee-factorauthenticatie wordt gebruikt veel lastiger.
Dit is voornamelijk belangrijk bij de stap waarbij cybercriminelen gaan proberen om via jouw computer op zoek te gaan naar andere bedrijfssystemen en informatie op andere servers. Maar ook als ze via een datalek toegang proberen te krijgen.
Informeer medewerkers over phishing links
Kennis is macht. Dat geldt zeker voor het herkennen van phishing links. Zorg dat medewerkers weten hoe phishing links te herkennen zijn, maar ook wat ze moeten doen wanneer ze twijfelen over bepaalde links of bijlagen in e-mails, sms-jes of andere berichten.
Detectie van phishing mails
Richt systemen zo in dat als er op een phishing mail wordt geklikt deze worden gedetecteerd! Vaak zijn cybercriminelen al heel lang in het netwerk maar wordt nooit gezien opgemerkt. Denk hierbij bijvoorbeeld aan IDS (Intrusion Detection Systems). Het monitoren van het bedrijfsnetwerk is belangrijk om hackaanvallen te voorkomen. Klikt een medewerker op een link waarmee malware wordt binnengehaald, dan geeft het systeem een melding. Deze kan opgepakt worden door analisten van het Security Operations Center. In grote bedrijven is dit proces vaak ingericht. Binnen MKB bedrijven echter niet. Het is raadzaam hier onderzoek naar te doen.
Goede antivirussoftware
Wanneer jij je verdiept in ransomware lees je veel over het gebruik van antivirussoftware. Natuurlijk is antivirussoftware belangrijk. Hierdoor kun je potentiële bedreigingen snel detecteren en hopelijk blokkeren voordat ze kwaad kunnen doen. Hierbij moet wel genoemd worden dat de meeste antivirussoftware ransomware niet detecteert.
Conclusie
Ransomware is een vorm van cybercrime die steeds meer voorkomt en waar iedereen zich bewust van moet zijn. Het kan namelijk grote gevolgen hebben voor zowel particulieren als bedrijven. Voor bedrijven geldt dat het kan leiden tot serieuze schade zoals financiële schade en reputatieschade. De gevolgen kunnen zo groot zijn dat een bedrijf totaal wordt plat gelegd.
Om te voorkomen dat je slachtoffer wordt is het belangrijk om te begrijpen hoe ransomware werkt en hoe je het risico kunt beperken. Zorg dus voor een goede virusscanner, houd software up-to-date, werk met sterke wachtwoorden of wachtwoordzinnen en wees altijd voorzichtig met links en bijlagen in e-mails. Wanneer je mensen in dienst hebt, is het ook belangrijk om hen goed in te lichten en bewust te maken van de risico's van ransomware.
Mocht je ondanks deze maatregelen toch slachtoffer worden, raak dan niet in paniek, maar kom wel direct in actie. Probeer de gegevens te herstellen vanuit een back-up en zoek eventuele professionele hulp als dat nodig is.