Ransomware-aanval? Dit moet je doen
Vooral mkb’ers de dupe van ransomware
Het klinkt misschien surrealistisch: een hacker ‘gijzelt’ belangrijke bestanden en vervolgens moet je noodgedwongen losgeld betalen om weer toegang te krijgen. Toch komt een ransomware-aanval steeds vaker voor. Hoe wapen je jezelf tegen ransomware? En wat kun je doen als je toch slachtoffer wordt van deze vorm van cybercriminaliteit?
Cybersecurity mkb vaak slecht geregeld
Ransomware is naast phishing, identiteitsfraude en malware een reële online bedreiging voor bedrijven, overheden en individuen over de hele wereld.
Het nieuws bericht regelmatig over ransomware attacks bij grote organisaties, zoals universiteiten en ziekenhuizen. Toch zijn het vooral kleine en middelgrote bedrijven die het grootste risico lopen. De reden hiervoor is simpel: cybersecurity in het mkb is vaak slecht geregeld. En dat opent de deur voor cybercriminelen. Eenmaal binnen is het gebruik van ransomware een populaire methode om je voor het blok te zetten en losgeld te eisen.
Ransomware betekenis: zo werkt een ransomware-aanval
Ransomware is een verzamelnaam voor alle virussen die servers of computers ‘gijzelen’. Vervolgens vraagt een hacker losgeld om de gijzeling te beëindigen.
Het werkt als volgt: een kwaadwillende verspreidt ransomware via diverse kanalen: e-mailbijlagen, drive-by-downloads, USB-sticks, etc.) Wanneer je de ransomware als eindgebruiker per ongeluk activeert, begint de software je pc en netwerk shares te scannen op data. Alles wat in het bereik van de ransomware ligt, wordt vervolgens versleuteld.
Je data is plots onbruikbaar, totdat je over de brug komt met losgeld. Betaal je niet binnen een bepaalde periode? Dan gaat je data voorgoed door de digitale versnipperaar.
Losgeld betalen met crypto
Belangrijke bestanden worden dusdanig versleuteld dat (meestal) alleen de hacker ze weer kan vrijgeven. Vaak wordt losgeld in de vorm van een cryptocurrency geëist, voordat de bestanden weer worden vrijgegeven. Betalingen met cryptocurrencies zijn namelijk lastig traceerbaar en anoniem. Daarmee is de kans groot dat een cybercrimineel niet gepakt wordt.
Soorten ransomware
Ransomware kent grofweg 4 categorieën:
Cryptoware Bepaalde bestanden op je computer of server worden versleuteld met cryptoware. Om weer toegang te krijgen, moet je losgeld betalen.
Lockers Lockers versleutelen niet je bestanden, maar blokkeren toegang tot je complete systeem. Vaak verschijnt er alleen nog een schermvullende boodschap dat je geen toegang meer hebt tot je systemen, totdat je betaalt. Soms telt er ook een klok af richting 0 om je extra onder druk te zetten.
Scareware Doet zich voor alsof je bestanden of systemen zijn gegijzeld, maar is in werkelijkheid ordinaire bluf. Met bijvoorbeeld een dreigende e-mail probeert een hacker je ervan te overtuigen dat bepaalde bestanden zijn gegijzeld, terwijl dit niet het geval is.
Leakware Met leakware dreigt een hacker gevoelige persoonlijke of bedrijfsinformatie te verspreiden.
Ransomware-as-a-Service
Een groot probleem met ransomware is dat hackers het gewoon kunnen afnemen als Ransomware as a Service (RaaS), vergelijkbaar met Software as a Service (SaaS). Een cybercrimineel kan de ransomware dus gewoon ‘huren’. En dat maakt het zeer aantrekkelijk voor hackers; die hoeven niet zelf ingewikkelde software te schrijven.
Zo verklein je de kans op een ransomware-aanval
Een ransomware-aanval kun je het beste voorkomen met een aantal simpele beveiligingsmaatregelen:
Gebruik sterke wachtwoorden Maak niet de fout door zwakke wachtwoorden voor belangrijke systemen en applicaties te gebruiken. Verzin of genereer altijd unieke wachtwoorden; gebruik dus nooit dezelfde wachtwoorden voor meerdere systemen.
Tip: je kunt je wachtwoorden opslaan in een wachtwoordkluis. Wel zo makkelijk, dan hoef je alleen je ‘hoofdwachtwoord’ te onthouden. Ook hiervoor geldt: kies een sterk wachtwoord.
Kies voor betrouwbare antivirussoftware Beveilig je systemen met goede antivirussoftware. Maak back-ups Maak reservekopieën van cruciale bestanden. Zorg voor minimaal 3 kopieën op 2 of meer locaties, waarvan minstens 1 offline versie.
Let op updates & patches Zijn er updates beschikbaar? Installeer deze dan direct. Hiermee voorkom je dat je onnodig risico loopt. Updates bevatten vaak security patches om zwakke plekken dicht te timmeren. In dat geval gaat het om een beveiligingsupdate. Zorg voor segmentatie Zorg voor een scheiding van netwerken en databases. Hiermee verklein je de impact van een ransomware-aanval.
Werk aan awareness Heb je personeel in dienst? Overweeg dan trainingen om je medewerkers bewust te maken van de gevaren van ransomware. De meeste ransomware-aanvallen komen namelijk tot stand doordat een medewerker per ongeluk iets opent of installeert. Met een stukje bewustwording weten je medewerkers beter waar mogelijk gevaar loert.
Overweeg verzekeringen Overweeg of een cybersecurityverzekering een optie is voor je bedrijf. Laat je voorlichten door een verzekeringsadviseur en check goed de polisvoorwaarden voordat je een dergelijke verzekering afsluit.
Systemen geïnfecteerd met ransomware, wat nu?
Ben je ondanks alle inspanningen toch slachtoffer geworden van een ransomwareaanval? Dan is het van groot belang hoe je vervolgens handelt. Probeer het hoofd koel te houden en doorloop het ransomware-stappenplan:
1. Breng iedereen op de hoogte Roep direct alle betrokkenen (stakeholders) bijeen en breng iedereen op de hoogte van de ransomewareaanval. Onderzoek welke systemen zijn geraakt en probeer te achterhalen waar het precies misging.
2. Doe aangifte bij de politie Doe aangifte van het misdrijf bij de politie. Hoewel het zeer de vraag is of de politie je uit de brand kan helpen, is het altijd raadzaam aangifte te doen. Zo wil een verzekeraar bij een schadeclaim een kopie van het aangiftebewijs willen zien.
3. Meld het datalek bij Autoriteit Persoonsgegevens Heeft de ransomware bestanden gegijzeld die persoonsgegevens bevatten? Dan is er sprake van een datalek. Een hacker heeft immers toegang gehad tot deze bestanden om ze te versleutelen.
Een datalek moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Dit is een verplichting vanuit de AVG (Algemene verordening gegevensbescherming).
4. Ontsleutel met herstelprogramma’s Probeer de versleutelde programma’s te ontsleutelen met speciale herstelprogramma's, ook wel ‘decryptors’ genoemd. Deze programma’s vind je bijvoorbeeld op No More Ransom, een initiatief van Europol en de politie. Je hebt geen garantie dat een decryptor werkt voor de specifieke ransomware die jouw systemen gijzelt, maar niet geschoten is altijd mis.
5. Check back-ups en verwijder ransomware Controleer de integriteit en beschikbaarheid van back-ups. Voer vervolgens hersteloperaties uit en test of alle systemen weer naar behoren werken. Is alles weer operationeel? Dan is het gevaar afgewend en kan een hacker je niet dwingen tot het betalen van losgeld.
6. Schakel externe experts in Kom je er zelf niet uit? Schakel de hulp van een ransomware- of cybersecurity-expert in. Een adviseur zal stapsgewijs bekijken wat de mogelijkheden zijn. Ook als er niets anders opzit dan in gesprek gaan met de gijzelnemer, kan de know-how van een expert een waardevolle toevoeging zijn.
7. Vraag hulp bij betalen met cryptovaluta Sta je met je rug tegen de muur en is het betalen van losgeld de enige manier om je bestanden te redden? Een bittere pil om te slikken, maar blijf gefocust. Er kan namelijk nog een heleboel misgaan, zeker als je met een cryptovaluta betaalt. Heb je hier geen of weinig ervaring mee? Ook hier kan een ransomware- of cybersecurity-expert je mee helpen. Wel zo veilig. Je wilt immers niet het risico lopen dat de betaling niet goed aankomt en je de crypto’s nog een keer moet versturen.
Tip: vraagt een hacker een exorbitant bedrag om je bestanden weer vrij te geven? Probeer dan - het liefst met hulp van een expert - te onderhandelen over het bedrag. Vaak is er wel wat speelruimte. Betaal je namelijk niets, dan staat de hacker met lege handen. Die zal dus in meer of mindere mate wel water bij de wijn doen.
