EHBR: Eerste Hulp Bij Ransomware

 In DeltaISIS, Werken Bij, IT Beheer

Misschien ben je nog niet bekend met ransomware, maar waarschijnlijk heb je er al wel eens iets van gehoord of over gelezen. Wellicht heb je (of iemand in jouw omgeving) zelfs al eens te maken gehad met ransomware. In deze blog leggen we je uit wat ransomware is, wat eventuele gevolgen zijn bij infectie, hoe je een infectie kunt voorkomen en hoe je de schade kunt minimaliseren als je toch de klos bent.
Ransomware is een type malware dat criminelen inzetten om organisaties te chanteren. Wanneer  ransomware het netwerk in is gekomen installeert het zichzelf op een computer of server en versleutelt vervolgens de data die erop staat. De eigenaar van de ransomware eist vervolgens een som losgeld van de getroffen organisatie in ruil voor het vrijgeven van de versleutelde data. Wordt de ‘gijzelnemer’ niet op tijd betaalt of bestaat er een vermoeden dat de organisatie de ransomware zelf probeert te verwijderen dan wordt alle data permanent verwijderd dan wel versleuteld. Met als gevolg dat diverse bedrijfsprocessen worden verstoord en medewerkers hun werkzaamheden niet meer kunnen uitvoeren. Betalen van losgeld loont echter niet altijd, omdat criminelen hun beloftes lang niet altijd waar maken. Vooral niet op langere termijn, omdat de kans op herhaling groot is wanneer er geen preventieve maatregelen worden getroffen. Voorkomen is daarom, zeker in dit geval, altijd beter dan genezen. Tevens kun je maatregelen treffen om de impact van ransomware te minimaliseren als je toch wordt getroffen.

Preventie

Met behulp van Unified Threat Management (UTM) zijn we steeds beter in staat om ransomware te  onderscheppen. Maar wat is het nu eigenlijk en wat doet het precies? UTM is een totaaloplossing voor netwerkbeveiliging. Een UTM scant het inkomende en uitgaande dataverkeer op diverse niveaus van de organisatie. Je kunt dit apparaat zien als een firewall waar software als een virusscanner, spamfilter, e-mailscanner, IP-filter en endpoint security in zijn geïntegreerd. Een UTM kan worden uitgebreid met nieuwe security add-ons, welke kunnen worden ontwikkeld  om ad-hoc in te spelen op de veranderende wereld van internetcriminaliteit. Omdat bijlages met bepaalde bestandsextensies zoals .exe en .zip door veel organisaties worden geblokkeerd verspreiden criminelen ransomware tegenwoordig veelal door middel van websitelinks. Gebruikers zijn snel geneigd om op een link te klikken daar het onschuldig lijkt, maar in werkelijkheid gebeurt er vervolgens hetzelfde als het installeren van een .exe bestand. De APT blocker van Watchguard is een goede manier om je hier tegen te beschermen. Verdachte bestanden en links worden alvorens ze binnen het netwerk openen eerst in een sandbox in de cloud geopend waar ze gecontroleerd worden. Pas wanneer blijkt dat ze onschadelijk zijn openen ze ook daadwerkelijk op de computer.

Minimaliseren van impact

Mocht het nu zijn, dat je deze voorzorgsmaatregelen niet hebt getroffen en wel geïnfecteerd bent door ransomware zal er altijd schade zijn en wil je zo snel mogelijk de impact minimaliseren. Ransomware raakt de organisatie met name op de volgende vlakken:

  • Financiële schade
  • Imagoschade
  • Dataverlies
  • Productiviteitsverlies

Financiële schade

Wanneer de ransomware een computer of server heeft gegijzeld zal deze losgeld eisen. De hoeveelheid die wordt geëist verschilt per geval en is afhankelijk van het aantal geïnfecteerde computers en de grootte van het bedrijf, maar bij een MKB-bedrijf zal dit al gauw in de duizenden euro’s zijn. Daarnaast is er vaak externe expertise nodig om alle schade te herstellen, wat vaak dagen duurt. Dit is echter pas het topje van de ijsberg, daar kosten voor het herstel vaak duurder zijn dan het betalen van het losgeld. Ook data- en productiviteitsverlies zijn grote schadeposten.

Imagoschade

Het spreekt voor zich dat imagoschade het beste te beperken is door het treffen van preventiemaatregelen. Maar behalve om ransomware buiten de deur te houden, tonen zulke maatregelen ook aan dat de organisatie er alles aan heeft gedaan om de omgeving optimaal te beschermen. Daarnaast is het ook belangrijk om transparant te zijn richting eventuele stakeholders, vooral als het gevoelige data betreft. Uw klanten horen liever van u dat er een beveiligingsrisico was dat adequaat is opgelost dan dat ze het in de krant teruglezen.

Dataverlies

Wanneer data eenmaal versleuteld is, is er geen garantie dat deze weer vrijgegeven zal worden. Ook als het losgeld wordt betaald kan het zijn dat er alsnog bestanden versleuteld blijven of worden vernietigd. Daarnaast zullen de hackers in veel gevallen alle bestanden vernietigen als zij vermoeden dat gepoogd wordt de ransomware te verwijderen . Dataverlies is nooit helemaal te voorkomen, maar wel degelijk tot een minimum te beperken, bijvoorbeeld door het neerzetten van een goede back-up oplossing.

Productiviteitsverlies

Als bestanden of zelfs werkstations versleuteld zijn gaat dat natuurlijk ten koste van de productiviteit van medewerkers. Totdat de bestanden weer beschikbaar zijn, zijn zij verminderd of zelfs niet productief en dit kan dagen duren. Het redundant uitvoeren van de IT omgeving en een goede disaster recovery tezamen met een goede back-up oplossing zorgen ervoor dat de omgeving snel weer up and running is.

Wilt je meer weten over of je risico loopt en hoe je preventief geholpen kan worden, kun je altijd contact met me opnemen.

Recente Posts