Omgaan met een ransomware-aanval
Een ransomware-aanval is een van de grootste bedreigingen waarmee onlinegebruikers worden geconfronteerd. In dit artikel gaan we na we wat er gebeurt tijdens een ransomware-aanval en welke stappen u moet nemen om uw organisatie te beveiligen in de nasleep ervan.
Hoe om te gaan met een ransomware-aanval
Ransomware-aanvallen vormen een enorme bedreiging voor organisaties omdat 90% van de aanvallen gevolgen hebben voor de operationele capaciteit en het gemiddeld een maand duurt om te herstellen van de aanval. Ze zijn zeer ontwrichtend voor het bedrijfsleven en het is een toenemende
bedreigingsfactor. Verwacht wordt dat bedrijven tegen 2031 om de twee seconden het slachtoffer zullen worden van een ransomware-aanval
(vergeleken met om de 11 seconden in 2021).
Wat is een ransomware-aanval?
Ransomware is een type malware dat de gegevens van een organisatie versleutelt, zodat deze niet langer toegankelijk zijn. Er wordt losgeld geëist – gemiddeld $570,000 – en na betaling moeten de decoderingssleutels worden uitgegeven zodat de organisatie weer toegang krijgt.
Hoewel geen enkele specifieke verticale sector veilig is voor de invloed van ransomware, kiest een kwaadwillende doorgaans op basis van twee factoren een organisatie als doelwit:
Gelegenheid: bijvoorbeeld als het bedrijf een klein beveiligingsteam heeft, geen IT-middelen heeft of een organisatie met veel gegevens is.
Mogelijk financieel voordeel: bedrijven die onmiddellijke toegang tot hun bestanden nodig hebben en die eerder geneigd zijn snel losgeld te betalen, bijvoorbeeld advocaten of overheidsinstanties.
Kwaadwillenden kunnen via verschillende tactieken toegang krijgen tot organisatiegegevens, waaronder:
Phishing: het gebruik van social engineering-technieken om gebruikers ertoe te verleiden iets te doen, zoals het klikken op een kwaadaardige link in een e-mail.
Toegang op afstand: het internet scannen op open poorten, bijvoorbeeld "remote desktop protocol", en vastleggen van geldige inloggegevens voor authenticatie door de toegang op afstand-oplossing.
Compromitteren van geprivilegieerde accounts: misbruik maken van beheerdersaccounts om toegang te krijgen tot meer systemen en gevoelige gegevens.
Bekende kwetsbaarheden in software of applicaties: uitbuitten van bekende kwetsbaarheden waarvoor patches die beschikbaar waren niet zijn toegepast.
Alvorens de gegevens te versleutelen, kan een kwaadwillende ervoor kiezen om kopieën te maken en te dreigen deze te lekken als het losgeld niet tijdig wordt betaald. Dit staat bekend als 'dubbele afpersing'. Zodra de versleuteling begint, is het een snel proces - de gemiddelde ransomware-variant kan bijna 100.000 bestanden van in totaal 54,93 GB versleutelen in maar 42 minuten en 52 seconden – daarom is snelheid van essentieel belang als het gaat om actie ondernemen na een aanval.
Wat te doen bij een ransomware-aanval?
Blijf kalm
In deze eerste momenten zal de adrenaline waarschijnlijk toeslaan, naast gevoelens van shock, woede en angst. Het is belangrijk om niet in paniek te raken en kalm te blijven tijdens het beoordelen van de situatie.
Sluit alle (netwerk) verbindingen af
Zodra u weet dat u getroffen bent door een ransomware-aanval – meestal omdat er een grote melding op het scherm verschijnt – is het essentieel om het geïnfecteerde apparaat te isoleren. Verwijder netwerk- en datakabels, USB's en dongles en schakel wifi en bluetooth uit om te voorkomen dat het apparaat een verbinding maakt waardoor de dreiging zich zou kunnen verspreiden.
Breng het bedrijf/contacten op de hoogte
Het is belangrijk dat alle communicatie wordt gecoördineerd door een centraal punt binnen de organisatie om verkeerde informatie of verwarring te voorkomen. Er moet ook een richtlijn worden gegeven om met niemand in de media te spreken of iets op sociale media te publiceren. PR-aankondigingen moeten zorgvuldig worden voorbereid om te vermijden dat aandeelhouders, belanghebbenden en de markt in het algemeen ongerust worden.
Zodra een aanval bekend is, moet iedereen in het bedrijf op de hoogte worden gebracht van de dreiging. Als iemand vermoedt dat zijn apparaat is geïnfecteerd, moeten er stappen worden gezet om het apparaat onmiddellijk van het netwerk te isoleren. Ervaring leert ook dat gebruikers al hun inloggegevens moeten resetten – vooral voor geprivilegieerde accounts – om te voorkomen dat de kwaadwillende waardevolle gegevens verzamelt die kunnen worden gebruikt om verdere aanvallen uit te voeren.
Identificeer het type ransomware
Als u merkt dat u besmet bent door ransomware, moet u uitzoeken wat voor soort ransomware het is. Als u niet voorbij een ransomware-notitie op uw scherm kunt komen, bent u waarschijnlijk geïnfecteerd door ransomware met schermvergrendeling. Als u door uw apps kunt bladeren, maar uw bestanden niet kunt openen, bent u getroffen door versleutelde ransomware - de ergste van de twee. Als u door uw systeem kunt navigeren en al uw bestanden kunt lezen, dan heeft u waarschijnlijk te maken met iemand die u probeert bang te maken om te betalen (geen echte ransomware).
Voer een malwarescan uit met behulp van de malwarescantool op het apparaat of via het Security Operations Center van de organisatie om te helpen identificeren welke ransomware is gebruikt, aangezien dit helpt bij het bepalen van de herstelacties die moeten worden ondernomen.
Maak daarnaast aantekeningen over de aanval, inclusief de datum, tijd, bestandsdetails, eerste tekenen van ransomware, getroffen apparaten, wat u aan het doen was vlak voor de aanval en wanneer uw apparaat aangesloten was. Maak ook foto's en neem verdachte programma's, bestanden en pop-ups op.
Al deze informatie wordt vervolgens ingevoerd in de ransomware-identificatietool om te helpen bepalen waardoor het bedrijf is getroffen en welke herstelacties u nu moet ondernemen.
Pas op met betalen van het losgeld Cyberbeveiligingsprofessionals en overheidsinstanties zijn het er allemaal over eens: betaal het losgeld niet.
Onderzoek wijst uit dat maar 3 op de 5 organisaties weer toegang krijgen tot data/systemen, dus er is geen garantie dat u toegang krijgt tot uw gegevens of computer. En zelfs als u uw gegevens terugkrijgt, is er geen garantie dat het veilig is - 18% van de ransomware-slachtoffers die het losgeld betaalden, konden niet voorkomen dat kwaadwillenden hun gevoelige gegevens alsnog op het dark web publiceerden.
Verwijder de ransomware van uw apparaten
Helaas is het verwijderen van ransomware van apparaten geen kwestie van alleen maar op 'verwijderen' klikken. In veel gevallen is een volledige reset naar fabrieksinstellingen vereist, wat onomkeerbaar is en het risico van gegevensverlies met zich meebrengt. Daarom is het altijd het beste om de hulp in te roepen van een professional die de juiste decoderingstools kan gebruiken en u veilig terug kan brengen naar de normale gang van zaken.
Gegevens herstellen van back-ups
Het bijhouden van een up-to-date back-up is de meest effectieve manier om te herstellen van een ransomware-aanval. Ervaring heeft geleerd dat u het beste de '3-2-1-regel' kunt volgen – 3 kopieën van de gegevens, opgeslagen op 2 verschillende locaties, waarvan 1 offline.
Als het gaat om het herstellen van gegevens, scan dan eerst uw gegevens op malware en zorg ervoor dat back-ups alleen zijn aangesloten op bekende schone apparaten om herinfectie te voorkomen.
Meld de aanval
Zodra uw bedrijf weer online is, moet u de ransomware-aanval melden bij de relevante autoriteiten, bijvoorbeeld de CISA in de VS of de NCSC in het Verenigd Koninkrijk. Deze informatie is van onschatbare waarde om instanties te helpen nagaan hoe ransomware-aanvallen zich ontwikkelen, om de cybercriminelen te stoppen, om te helpen met hersteltools en om verdere verspreiding van de ransomware
te voorkomen.
Neem contact op met Ontrack voor herstel van ransomware
Elke ransomware-aanval is uniek en varieert in complexiteit, maar gegevensherstel is mogelijk. Bij Ontrack hebben we een gespecialiseerde verzameling eigen tools ontwikkeld om gegevens te herstellen - we hebben momenteel versleutelingscapaciteiten voor 138 types ransomware en volgen continu 271 verschillende varianten.
Met laboratoria over de hele wereld, zijn onze specialisten 24/7 beschikbaar om hulp en ondersteuning te bieden in het geval van een worst-case scenario.
Lees onze uitgebreide Ransomware-gids
Ontrack voor herstel van ransomware
Lees waarom meer dan 600.000 mensen en bedrijven op Ontrack vertrouwen om hun gegevens te herstellen.
Bescherm uzelf tegen toekomstige ransomware-aanvallen
Het gedrag van eindgebruikers kan een van de beste afschrikmiddelen zijn die u tot uw beschikking hebt als het gaat om het aanpakken van de dreiging van ransomware. Geef training over de basiszaken en benadruk voortdurend het belang van juist gedrag om ervoor te zorgen dat mensen zich er ook werkelijk aan houden:
- Update uw apparaat schakel automatische updates in.
- Schakel multi-factorauthenticatie in.
- Maak regelmatig back-ups.
- Controleer wie toegang heeft tot wat op uw apparaten.
- Schakel bescherming tegen ransomware in
