Ransomware: voorkomen is goedkoper dan overkomen - Strict

We zien in de wereld een sterke toename van cybercriminaliteit. Waar de meeste criminelen zich eerst puur richtten op de particulieren, zie je nu ook dat het bedrijfsleven gericht wordt bestookt met virussen en ransomware. De dreigingen van vandaag de dag komen erg dichtbij en richten in korte tijd flink wat schade aan. Dit blog gaat in op ransomware, een verschijningsvorm van cybercriminaliteit welke we nu in het dagelijks leven tegenkomen, op het werk, thuis en bij familie, vrienden of kennissen.

Cybercriminelen zijn er op uit snel geld te verdienen. De laatste drie jaar zien we een snelle ontwikkeling van ransomware als vorm van cybercriminaliteit. Als het je overkomt weet je niet hoe je moet handelen: ga je de dwangsom betalen of maak je gebruik van een IT helpdesk die je helpt om de werkplek weer beschikbaar te krijgen? De kern van de zaak: kun je beter voorkomen dat je te maken krijgt met ransomware, of laat je het je overkomen?

Wat zijn de gevolgen van ransomware?

Een aantal bekende vormen van ransomware zijn Cryptolocker, CTB-Locker, CryptoWall en Petya ransomware. Met ransomware willen cybercriminelen ‘losgeld’ krijgen omdat zij ervoor hebben gezorgd dat bestanden op je werkplek onleesbaar zijn geworden (versleuteld) en daardoor niet meer geopend kunnen worden. Het gevolg is dat kosten stijgen door het inhuren van IT specialisten om het ontstane probleem op te lossen en imagoschade voor het bedrijf omdat de organisatie niet meer aan leveranciersverplichtingen kan voldoen of leveringen aan klanten niet meer kan uitvoeren.

Bij de eerste vormen van ransomware waren de bestandsversleutelingen nog te voorspellen, het beperkte zich voornamelijk tot de bekende extensies (zoals office files) op de lokale harde schijf. Al snel werden de cyberaanvallen geavanceerder en werden de fileserver shares ook besmet met deze versleuteling. USB verbonden systemen, zoals USB-sticks of harde schijven werden ook door versleuteling getroffen. Back-up folders worden onbruikbaar, de versleutelde bestanden op de lokale schijf worden automatisch gesynchroniseerd naar de cloud en zijn hierdoor waardeloos geworden. Bij een recent ontdekte vorm, Petya ransomware, wordt de index (File Allocation Table) van alle bestanden op je harde schijf versleuteld met als gevolg dat na het herstarten de werkplek niet meer beschikbaar is. We verwachten bij Strict door de snelle opvolging van de verschillende vormen van ransomware dat in de komende periode nog veel nieuwe vormen naar ons toe zullen komen.

Leveranciers van malwarebescherming herkennen de problemen en analyseren mogelijke infecties nu op bestandsgedragingen zodat verdachte handelingen sneller worden herkend op de werkplek. Het blijft echter een kat-en-muis spel. Het is erg moeilijk om alles dicht te timmeren en geen malware infecties te vermijden die tenslotte om een ransom vragen.

Voorkomen is goedkoper dan overkomen, denk vooral aan alle tijd die je verliest als het je overkomt. Tel daarbij op dat het tijdstip van deze ransomware infectie erg ongelegen kan komen en de vele telefoontjes die je moet plegen om de ergernissen te delen en je probleem op te lossen. Om deze reden geven we een aantal adviezen die kunnen helpen bij het buiten de deur houden van ransomware:

1. Herken wat er is gebeurd

Als het je overkomt, stel dan de volgende vragen:

• Wie heeft deze infectie veroorzaakt, is er sprake van één geïsoleerde infectie of is er sprake van een grootschalige cyberaanval tegen mijn organisatie?.
• Wat zijn de omvang en de symptomen van dit incident? Meld dit zo snel mogelijk aan de IT-helpdesk of probeer zo veel mogelijk informatie te verkrijgen van wat er is gebeurd. Is het een lokaal probleem alleen bij jou of is het bij meerdere collega’s gebeurd?
• Wanneer is het je overkomen? Direct na het openen van een bijlage, heb je een ’besmette’ advertentie gezien/bekeken of is het ontstaan door een samenloop van factoren?
• Hoe gaat de infectie te werk? Probeer informatie te krijgen welke stappen de infectie neemt om de bestanden van je werkplek en shares te versleutelen.
• Waarom ben jij een doelwit geworden en welke stappen moeten worden genomen om dit incident op te lossen?

Het is erg belangrijk om een antwoord te vinden op deze vragen voordat je aan de bestrijding begint van deze infectie. Het doel van deze vragen is om een goed inzicht te krijgen van wat je is overkomen (bijv. versleuteling van de lokale harde schijf) en of het je wellicht nog steeds overkomt (netwerk shares die versleuteld worden).

2. Maatregelen die het gevaar van infectie kunnen verlagen

Er kunnen verschillende soorten maatregelen worden ingericht die de kans op besmetting door ransomware kunnen verlagen. Voor het gemak heb ik deze ingedeeld in drie categorieën: preventieve, detectieve en correctieve maatregelen.

Preventieve maatregelen

• Besteed voldoende aandacht aan bewustmaking in alle lagen binnen de organisatie over de gevaren van ransomware. Denk hierbij aan het organiseren van campagnes hoe ransomware binnen kan komen, zoals door het openen van bijlagen van phishing e-mails en het bezoeken van website met bijvoorbeeld schadelijke advertenties. Laat medewerkers niet de zwakste schakel zijn, door bewustmakingstrainingen weten ze hoe bewust te handelen.Start een campagne als een incident zich herhaalt, zodat de kans wordt verkleind dat meerdere incidenten kunnen ontstaan. Gebruik de mogelijkheden die intranet je biedt. Zorg dat je een mogelijkheid hebt om alle medewerkers te bereiken om ze op de hoogte te stellen van wat ze moeten doen of beter wat ze vooral niet moeten doen.

• Houd software en patches up to date. Als er een infectie op je werkplek staat draagt deze maatregel niet meer bij tot voorkoming van ransomware. Maar door up to date te zijn kun je voorkomen dat je kwetsbaar wordt voor besmetting.
• Open geen bijlage van mails of url’s waarvan je de afzender niet kent of niet vertrouwt. In deze bijlage of url’s kunnen geïnfecteerde bestanden bestaan.
• Houd je malware bescherming up-to-date. De malware bescherming kan analyseren op gedrag van een uit te voeren besmetting zodat de operatie voortijdig stopt.
• Zorg dat je geen USB verbonden systemen continu aan je werkplek koppelt. Na het nemen van een lokale back-up ontkoppel het USB systeem direct van je werkplek.
• Plaats een blacklist op je mailserver zodat, als er bijlage van e-mails voorkomen op deze blacklist, de mails direct in quarantaine worden geplaatst.
• Een goedgekeurde software standaard bepalen heeft niet alleen voordelen voor de beheersbaarheid, maar voorkomt ook dat medewerkers allerlei tools downloaden met malafide achtergronden.
• Bestaat er een standaard welke browser plug-ins er mogen worden gebruikt? Bij het ontbreken van een standaard kunnen malafide browser plug-ins geladen zijn die op de achtergrond allerlei ongewenste taken uitvoeren.

Detectieve maatregelen

• Zorg dat servers afdoende worden gemonitord op afwijkend gedrag (bijvoorbeeld toename van CPU gebruik afwijkend ten opzichte van de algemene trend).
• Het bijhouden van logbestanden is zeer verstandig omdat achteraf hiervan altijd gebruikt kan worden ten behoeve van het onderzoek. Hierdoor wordt de oorzaak en de mate van infectie duidelijk zodat gepast kan worden gereageerd.
• Een goede security architectuur kan er voor zorgen dat de schade beperkt blijft. Zorg voor voldoende segmentering en bescherm de informatiestromen van en naar het internet goed. Een web content filter is geen overbodige luxe zodat medewerkers niet zomaar alle internetsites kunnen bezoeken.
• Malwarebescherming kan door diverse redenen achterlopen op de laatste updates. Werk aan een mechanisme om dit te herkennen en er actie op te nemen.

Correctieve maatregelen

Maak regelmatig back-ups van servers. Zorg dat deze regelmatig worden getest door random restores uit te voeren. Maak je gebruik van een cloud provider, check wat er in het contract is opgenomen, wat de SLA’s zijn en maak afspraken over hoe zij geïnfecteerde bestanden kunnen vinden op de netwerkshares. Heb je hier nog geen afspraken over gemaakt, dan is het nu de tijd om hierover afspraken te maken.

Alle bovenstaande maatregelen zijn erg kort belicht. Het is natuurlijk erg belangrijk dat je een informatiebeveiligingsbeleid hebt bepaald dat door de directie wordt ondersteund. Zorg dat dit informatiebeveiligingsbeleid ook bekend is bij alle medewerkers zodat zij begrijpen dat ook zij verantwoordelijk zijn voor het buiten de deur houden van ransomware. Strict kan je daarbij helpen. We kunnen de Weerbaarsheidscan uitvoeren, waarmee je snel een beeld krijgt van of en zo ja in welke mate je bedrijf kwetsbaar is voor aanvallen. Neem hiervoor contact met me op: f.ruijgrok@strict.nl