Ransomware: een groot probleem waar veel bedrijven vandaag de dag mee te maken krijgen. Sterker nog: het is momenteel de meest voorkomende vorm van cybercriminaliteit binnen bedrijven en de meest rendabele vorm voor cybercriminelen. Een infectie met ransomware heeft vergaande gevolgen en zorgt voor grote problemen in de bedrijfsvoering.
Maar wat is ransomware eigenlijk precies, wat zijn de gevolgen ervan en welke mogelijkheden heb je om ransomware tegen te gaan?
Wat is ransomware?
Ransomware, ook wel bekend als malware of gijzelsoftware, is een middel dat hackers toepassen als chantagemiddel. Als je hier mee te maken krijgt, versleutelen hackers al je data. Je hebt dan geen toegang meer tot je bestanden, e-mail en de rest van je (bedrijfs)gegevens.
Uiteraard komen hackers nog wel in je netwerk. Via een phishing e-mail, een bug in je systeem, of door jouw wachtwoord te raden (brute-force attack) breken ze in op het netwerk en versleutelen ze al je bestanden. Vervolgens willen de hackers geld zien. Betaal je het gevraagde losgeld, dan krijg je een code waarmee de bestanden weer vrijgegeven worden.
Wat is het effect van ransomware?
Krijgt je onderneming te maken met ransomware, dan zijn de consequenties gigantisch. Zonder toegang tot computersystemen kan niemand binnen het bedrijf zijn werk uitvoeren. Ook kritieke bedrijfsystemen en e-mailservers kunnen ontoegankelijk zijn gemaakt. Dat betekent dat je hele bedrijfssvoering plat komt te liggen. Daarbij verlies je kostbare tijd en geld, omdat al je werknemers dagenlang of soms zelfs wekenlang niet in het systeem kunnen komen. Zij kunnen hun werk niet uitvoeren en niet bij bedrijfs e-mail. Houd er ook rekening mee dat je eventueel bestanden verliest.
Losgeld betalen
Verder is de hele kwestie een dure grap. Hackers vragen namelijk hoge bedragen aan losgeld in ruil voor het terugkrijgen van je bestanden. Het laten herstellen van je systemen is ook niet goedkoop. Je moet meestal een cybersecuritybedrijf inhuren die hierin gespecialiseerd is. Dit bedrijf voert een analyse uit om de besmetting op te sporen. Ze kijken welke systemen zijn geraakt, wat de oorzaak was van de besmetting en hoe je dit de volgende keer kunt voorkomen.
Daarna moet er gekeken worden of de back-ups nog intact zijn zodat er geen losgeld betaald hoeft te worden.
Of je nu via back-ups of middels een sleutel weer toegang krijgt tot je systemen, de geinfecteerde systemen moeten herstellen en dan opgeschoond worden. Wanneer de systemen geïnfecteerd zijn is ontsleutelen niet voldoende. Je kunt er dan niet direct in werken. De hacker kan nog toegang hebben tot dit systeem via een backdoor. Je moet er dus voor zorgen dat je alle deurtjes ook daadwerkelijk dicht zet. Na de herstelfase moet je ook nadenken over maatregelen die voorkomen dat je nog een keer gehackt wordt, dit kost ook veel geld.
Realiseer je ook dat de hacker nog steeds over vertrouwelijke informatie kan beschikken die hij eventueel later nog inzet om je te chanteren. We hoeven je natuurlijk niet te vertellen dat dit alles foute boel is.
Schade beperken versus schade voorkomen
Om ransomware tegen te gaan kun je twee dingen doen:
- Schade voorkomen
- Schade beperken
Beide zijn belangrijk. Aan de voorkant van het traject is nadenken over het voorkomen van schade belangrijk. Hoe beter je dit doet, hoe kleiner de kans dat je slachtoffer wordt. Maar reeël gezien kun je nog steeds slachtoffer worden. Dan is het verstandig om na te denken over hoe je de schade beperkt.
Schade voorkomen
Voorkomen is beter dan genezen. Een uitspraak die je te pas en te onpas tegenkomt. Toch is dit maar al te waar in het geval van een cyberaanval. Stevige maatregelen om je te wapenen tegen een infectie met ransomware zijn zeker op zijn plaats. Maar wat doe je om te vermijden dat je als bedrijf in handen valt van hackers en hun kwaadaardige software?
Om te beginnen is kennis macht. Het is dan ook belangrijk om je medewerkers awareness trainingen te laten volgen, zodat ze meer te weten komen over phishing en zo de risico’s zo veel mogelijk uit te bannen.
Wachtwoord Policy
Ook een sterk wachtwoordbeleid mag absoluut niet ontbreken. Hieronder vallen zaken als:
- Inzet van tweefactorauthenticatie
- Het gebruik van wachtwoordzinnen en sterke wachtwoorden.
- Policy met betrekking tot hoe vaak een wachtwoord gewijzigd moet worden
- Afspraken over hoe wachtwoorden opgeslagen moeten worden.
Dit maakt het voor hackers lastiger om wachtwoorden te achterhalen en binnen te dringen in het bedrijfssysteem.
Inzet van IPS
IPS staat voor Intrusion Prevention System. IPS houdt alle activiteiten op het netwerk in de gaten. Het verschil met IDS is dat IPS zelf tot actie overgaat en bedreigingen tegenhoudt. IPS biedt de mogelijkheid om het verkeer vanaf bepaalde IP-adressen te detecteren, loggen en blokkeren. Het zorgt dus voor meer veiligheid, maar het beperkt de gebruiker ook enorm in de dagelijkse gang van zaken.
Updaten systemen
Software updaten helpt je om apparaten veilig te gebruiken. Het updaten van software doe je om IT-systemen actueel te houden. Voer je updates in software niet tijdig uit, dan geef je cybercriminelen ruimte om daar misbruik van te maken. Digitale aanvallers komen vaak binnen via een zwakke plek in je bedrijfs- of thuisnetwerk. Het stelen van data en financiële gegevens is iets wat regelmatig voorkomt.
Beperken van de schade
Het beperken van de schade kan bestaan uit de volgende acties:
Back-ups
Als jij getroffen wordt door ransomware, is het hebben van back-ups cruciaal. Als je back-ups hebt hoef je niet het losgeld te betalen en kan je van de aanval herstellen zonder criminelen te financieren. Om databehoud te garanderen, is het hebben van goede back-ups veruit het belangrijkste. Deze back-ups mogen niet bereikbaar zijn vanaf je bedrijfsnetwerk en moeten dus op een aparte locatie staan. Waarom? Om te verhinderen dat de hacker deze ook versleutelt. Bovendien is het altijd verstandig om het terugzetten van back-ups te testen. Houd daarbij in gedachten dat je systemen schoon moeten zijn om te vermijden dat de hacker nog steeds in het netwerk zit.
IDS en IPS
Om een cyberaanval te beperken is het van groot belang om te weten wanneer een cyberaanval zich aandient. Nu denk je misschien: dit weet je toch wel als bedrijf, maar bijna alle cyberaanvallen worden pas 200 dagen later opgemerkt nadat een hacker is geïnfiltreerd in de bedrijfssystemen. De hackers zitten gemiddeld dus al meerdere maanden al in jouw systemen! Er bestaan monitoringsystemen die hackaanvallen detecteren om je onderneming te beschermen tegen ransomware.
Als je namelijk een aanval detecteert, kan je daar gerichte actie op nemen zodat de hacker zich niet in het bedrijfsnetwerk verspreid. Veelgebruikte monitoringsystemen bij grotere bedrijven zijn IDS en IPS. IDS staat voor Intrusion Detection System. IDS is een systeem dat hackpogingen in je netwerk herkent en beschikt over sensoren die activiteiten monitoren. Gebeurt er iets verdachts, dan krijg je een waarschuwing. Een goed IDS herkent het ook wanneer hackers technieken gebruiken om slechte bedoelingen te verbergen.
Daarnaast is er ook IPS. Dit staat voor Intrusion Prevention System. Ook IPS houdt alle activiteiten op het computersysteem in de gaten. Het verschil met IDS is dat IPS zelf tot actie overgaat en bedreigingen tegenhoudt. IPS biedt de mogelijkheid om het verkeer vanaf bepaalde IP-adressen te detecteren, loggen en blokkeren. Het zorgt dus voor meer veiligheid, maar het beperkt de gebruiker ook enorm in de dagelijkse gang van zaken
Netwerk segmenteren
Zorg ervoor dat je het netwerk segmenteert. Daarmee bedoelen we dat je goed weet wie toegang heeft tot welke bestanden. Zorg er ook voor dat je weet waar jouw kroonjuwelen staan en beveilig deze extra goed. Het is onverstandig om alle medewerkers toegang te geven tot het hele netwerk. Zorg dus dat gebruikers niet overal beheerdersrechten hebben. Krijgt een hacker toegang via een medewerker, dan is niet direct het hele netwerk toegankelijk.
Zorg daarnaast voor extra beveiliging voor de accounts van de beheerders en de administrators. Vaak gaan hackers op zoek naar deze gebruikersaccounts zodat ze de allerhoogste rechten hebben om hun kwaadaardige software uit te voeren. Deze maatregel is belangrijk omdat als zij een account toch hacken dat het ze niet lukt om verder in de systemen te komen en de aanval niet succesvol zal zijn.
Bescherm je organisatie en zorg voor een Incident Respons Plan
De kracht van ransomware is niet te onderschatten. Het is vaak niet meer de vraag of je wordt getroffen door ransomware maar wanneer, ook het MKB. Het is dan ook zeker de moeite waard om effectieve maatregelen te treffen. Een sterk wachtwoordbeleid en de toepassing van monitoringsystemen zijn zeer aan te bevelen. Monitoringsystemen zijn onder meer verkrijgbaar bij een derde leverancier. Is het hackers toch gelukt om binnen te dringen in je netwerk, dan is een goed Incident Respons Plan onmisbaar.
Dit houdt in dat je als bedrijf een plan hebt klaarliggen om de schade zoveel mogelijk te beperken. Denk aan het opstellen van bepaalde procedures, een actieplan, maar ook belangrijke contacten zijn zeer nuttig. Maar nogmaals: voorkomen is beter dan genezen!