Ransomware: voorkomen is goedkoper dan overkomen
door Frank Ruijgrok op wo 20 apr 2016
We zien in de wereld een sterke toename van cybercriminaliteit. Waar de meeste criminelen zich eerst puur richtten op de particulieren, zie je nu ook dat het bedrijfsleven gericht wordt bestookt met virussen en ransomware. De dreigingen van vandaag de dag komen erg dichtbij en richten in korte tijd flink wat schade aan. Dit blog gaat in op ransomware, een verschijningsvorm van cybercriminaliteit welke we nu in het dagelijks leven tegenkomen, op het werk, thuis en bij familie, vrienden of kennissen.
Cybercriminelen zijn er op uit snel geld te verdienen. De laatste drie jaar zien we een snelle ontwikkeling van ransomware als vorm van cybercriminaliteit. Als het je overkomt weet je niet hoe je moet handelen: ga je de dwangsom betalen of maak je gebruik van een IT helpdesk die je helpt om de werkplek weer beschikbaar te krijgen? De kern van de zaak: kun je beter voorkomen dat je te maken krijgt met ransomware, of laat je het je overkomen?
Wat zijn de gevolgen van ransomware?
Een aantal bekende vormen van ransomware zijn Cryptolocker, CTB-Locker, CryptoWall en Petya ransomware. Met ransomware willen cybercriminelen ‘losgeld’ krijgen omdat zij ervoor hebben gezorgd dat bestanden op je werkplek onleesbaar zijn geworden (versleuteld) en daardoor niet meer geopend kunnen worden. Het gevolg is dat kosten stijgen door het inhuren van IT specialisten om het ontstane probleem op te lossen en imagoschade voor het bedrijf omdat de organisatie niet meer aan leveranciersverplichtingen kan voldoen of leveringen aan klanten niet meer kan uitvoeren.
Bij de eerste vormen van ransomware waren de bestandsversleutelingen nog te voorspellen, het beperkte zich voornamelijk tot de bekende extensies (zoals office files) op de lokale harde schijf. Al snel werden de cyberaanvallen geavanceerder en werden de fileserver shares ook besmet met deze versleuteling. USB verbonden systemen, zoals USB-sticks of harde schijven werden ook door versleuteling getroffen. Back-up folders worden onbruikbaar, de versleutelde bestanden op de lokale schijf worden automatisch gesynchroniseerd naar de cloud en zijn hierdoor waardeloos geworden. Bij een recent ontdekte vorm, Petya ransomware, wordt de index (File Allocation Table) van alle bestanden op je harde schijf versleuteld met als gevolg dat na het herstarten de werkplek niet meer beschikbaar is. We verwachten bij Strict door de snelle opvolging van de verschillende vormen van ransomware dat in de komende periode nog veel nieuwe vormen naar ons toe zullen komen.
Leveranciers van malwarebescherming herkennen de problemen en analyseren mogelijke infecties nu op bestandsgedragingen zodat verdachte handelingen sneller worden herkend op de werkplek. Het blijft echter een kat-en-muis spel. Het is erg moeilijk om alles dicht te timmeren en geen malware infecties te vermijden die tenslotte om een ransom vragen.
Voorkomen is goedkoper dan overkomen, denk vooral aan alle tijd die je verliest als het je overkomt. Tel daarbij op dat het tijdstip van deze ransomware infectie erg ongelegen kan komen en de vele telefoontjes die je moet plegen om de ergernissen te delen en je probleem op te lossen. Om deze reden geven we een aantal adviezen die kunnen helpen bij het buiten de deur houden van ransomware:
1. Herken wat er is gebeurd
Als het je overkomt, stel dan de volgende vragen:
- Wie heeft deze infectie veroorzaakt, is er sprake van één geïsoleerde infectie of is er sprake van een grootschalige cyberaanval tegen mijn organisatie?.
- Wat zijn de omvang en de symptomen van dit incident? Meld dit zo snel mogelijk aan de IT-helpdesk of probeer zo veel mogelijk informatie te verkrijgen van wat er is gebeurd. Is het een lokaal probleem alleen bij jou of is het bij meerdere collega’s gebeurd?
- Wanneer is het je overkomen? Direct na het openen van een bijlage, heb je een ’besmette’ advertentie gezien/bekeken of is het ontstaan door een samenloop van factoren?
- Hoe gaat de infectie te werk? Probeer informatie te krijgen welke stappen de infectie neemt om de bestanden van je werkplek en shares te versleutelen.
- Waarom ben jij een doelwit geworden en welke stappen moeten worden genomen om dit incident op te lossen?
Het is erg belangrijk om een antwoord te vinden op deze vragen voordat je aan de bestrijding begint van deze infectie. Het doel van deze vragen is om een goed inzicht te krijgen van wat je is overkomen (bijv. versleuteling van de lokale harde schijf) en of het je wellicht nog steeds overkomt (netwerk shares die versleuteld worden).
2. Maatregelen die het gevaar van infectie kunnen verlagen
Er kunnen verschillende soorten maatregelen worden ingericht die de kans op besmetting door ransomware kunnen verlagen. Voor het gemak heb ik deze ingedeeld in drie categorieën: preventieve, detectieve en correctieve maatregelen.
Preventieve maatregelen
- Besteed voldoende aandacht aan bewustmaking in alle lagen binnen de organisatie over de gevaren van ransomware. Denk hierbij aan het organiseren van campagnes hoe ransomware binnen kan komen, zoals door het openen van bijlagen van phishing e-mails en het bezoeken van website met bijvoorbeeld schadelijke advertenties. Laat medewerkers niet de zwakste schakel zijn, door bewustmakingstrainingen weten ze hoe bewust te handelen.Start een campagne als een incident zich herhaalt, zodat de kans wordt verkleind dat meerdere incidenten kunnen ontstaan. Gebruik de mogelijkheden die intranet je biedt. Zorg dat je een mogelijkheid hebt om alle medewerkers te bereiken om ze op de hoogte te stellen van wat ze moeten doen of beter wat ze vooral niet moeten doen.
- Houd software en patches up to date. Als er een infectie op je werkplek staat draagt deze maatregel niet meer bij tot voorkoming van ransomware. Maar door up to date te zijn kun je voorkomen dat je kwetsbaar wordt voor besmetting.
- Open geen bijlage van mails of url’s waarvan je de afzender niet kent of niet vertrouwt. In deze bijlage of url’s kunnen geïnfecteerde bestanden bestaan.
- Houd je malware bescherming up-to-date. De malware bescherming kan analyseren op gedrag van een uit te voeren besmetting zodat de operatie voortijdig stopt.
- Zorg dat je geen USB verbonden systemen continu aan je werkplek koppelt. Na het nemen van een lokale back-up ontkoppel het USB systeem direct van je werkplek.
- Plaats een blacklist op je mailserver zodat, als er bijlage van e-mails voorkomen op deze blacklist, de mails direct in quarantaine worden geplaatst.
- Een goedgekeurde software standaard bepalen heeft niet alleen voordelen voor de beheersbaarheid, maar voorkomt ook dat medewerkers allerlei tools downloaden met malafide achtergronden.
- Bestaat er een standaard welke browser plug-ins er mogen worden gebruikt? Bij het ontbreken van een standaard kunnen malafide browser plug-ins geladen zijn die op de achtergrond allerlei ongewenste taken uitvoeren.
Detectieve maatregelen
- Zorg dat servers afdoende worden gemonitord op afwijkend gedrag (bijvoorbeeld toename van CPU gebruik afwijkend ten opzichte van de algemene trend).
- Het bijhouden van logbestanden is zeer verstandig omdat achteraf hiervan altijd gebruikt kan worden ten behoeve van het onderzoek. Hierdoor wordt de oorzaak en de mate van infectie duidelijk zodat gepast kan worden gereageerd.
- Een goede security architectuur kan er voor zorgen dat de schade beperkt blijft. Zorg voor voldoende segmentering en bescherm de informatiestromen van en naar het internet goed. Een web content filter is geen overbodige luxe zodat medewerkers niet zomaar alle internetsites kunnen bezoeken.
- Malwarebescherming kan door diverse redenen achterlopen op de laatste updates. Werk aan een mechanisme om dit te herkennen en er actie op te nemen.
Correctieve maatregelen
Maak regelmatig back-ups van servers. Zorg dat deze regelmatig worden getest door random restores uit te voeren. Maak je gebruik van een cloud provider, check wat er in het contract is opgenomen, wat de SLA’s zijn en maak afspraken over hoe zij geïnfecteerde bestanden kunnen vinden op de netwerkshares. Heb je hier nog geen afspraken over gemaakt, dan is het nu de tijd om hierover afspraken te maken.
Alle bovenstaande maatregelen zijn erg kort belicht. Het is natuurlijk erg belangrijk dat je een informatiebeveiligingsbeleid hebt bepaald dat door de directie wordt ondersteund. Zorg dat dit informatiebeveiligingsbeleid ook bekend is bij alle medewerkers zodat zij begrijpen dat ook zij verantwoordelijk zijn voor het buiten de deur houden van ransomware. Strict kan je daarbij helpen. We kunnen de Weerbaarsheidscan uitvoeren, waarmee je snel een beeld krijgt van of en zo ja in welke mate je bedrijf kwetsbaar is voor aanvallen. Neem hiervoor contact met me op: f.ruijgrok@strict.nl
- Technologie (129)
- Nieuws (66)
- 5G (64)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Webinar (18)
- Klantcase (17)
- Blog (15)
- Mission Critical (13)
- Healthcare (12)
- Innovatie (12)
- Overheid (12)
- AI (10)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- november 2024 (2)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (5)
- augustus 2018 (6)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)