Omgaan met een ransomware-aanval

Written By: Tim Black

Date Published: 8 september 2022 12:49:14 EDT

Omgaan met een ransomware-aanval

Een ransomware-aanval is een van de grootste bedreigingen waarmee onlinegebruikers worden geconfronteerd. In dit artikel gaan we na we wat er gebeurt tijdens een ransomware-aanval en welke stappen u moet nemen om uw organisatie te beveiligen in de nasleep ervan.

Hoe om te gaan met een ransomware-aanval

Ransomware-aanvallen vormen een enorme bedreiging voor organisaties omdat de aanvallen grote gevolgen hebben voor de operationele capaciteit.  Het duurt gemiddeld een maand om te herstellen van de aanval (sophos). Ze zijn zeer ontwrichtend voor het bedrijfsleven en het is een toenemende bedreigingsfactor. Verwacht wordt dat bedrijven tegen 2031 om de twee seconden het slachtoffer zullen worden van een ransomware-aanval (Cybersecurity Ventures).

Wat is een ransomware-aanval?

Ransomware is een type malware dat de gegevens van een organisatie versleutelt, zodat deze niet langer toegankelijk zijn. Er wordt losgeld geëist en na betaling moeten de decoderingssleutels worden uitgegeven zodat de organisatie weer toegang krijgt.

Hoewel geen enkele specifieke verticale sector veilig is voor de invloed van ransomware, kiest een kwaadwillende doorgaans op basis van twee factoren een organisatie als doelwit:

  • Gelegenheid: bijvoorbeeld als het bedrijf een klein beveiligingsteam heeft, geen IT-middelen heeft of een organisatie met veel gegevens is.

  • Mogelijk financieel voordeel: bedrijven die onmiddellijke toegang tot hun bestanden nodig hebben en die eerder geneigd zijn snel losgeld te betalen, bijvoorbeeld advocaten of overheidsinstanties.

Kwaadwillenden kunnen via verschillende tactieken toegang krijgen tot organisatiegegevens, waaronder:

  • Phishing: het gebruik van social engineering-technieken om gebruikers ertoe te verleiden iets te doen, zoals het klikken op een kwaadaardige link in een e-mail.

  • Toegang op afstand: het internet scannen op open poorten, bijvoorbeeld "remote desktop protocol", en vastleggen van geldige inloggegevens voor authenticatie door de toegang op afstand-oplossing.

  • Compromitteren van geprivilegieerde accounts: misbruik maken van beheerdersaccounts om toegang te krijgen tot meer systemen en gevoelige gegevens.

  • Bekende kwetsbaarheden in software of applicaties: uitbuitten van bekende kwetsbaarheden waarvoor patches die beschikbaar waren niet zijn toegepast.

Alvorens de gegevens te versleutelen, kan een kwaadwillende ervoor kiezen om kopieën te maken en te dreigen deze te lekken als het losgeld niet tijdig wordt betaald. Dit staat bekend als 'dubbele afpersing'. Zodra de versleuteling begint, is het een snel proces daarom is snelheid van essentieel belang als het gaat om actie ondernemen na een aanval.

Wat te doen bij een ransomware-aanval?

Blijf kalm

In deze eerste momenten zal de adrenaline waarschijnlijk toeslaan, naast gevoelens van shock, woede en angst. Het is belangrijk om niet in paniek te raken en kalm te blijven tijdens het beoordelen van de situatie.

Sluit alle (netwerk) verbindingen af

Zodra u weet dat u getroffen bent door een ransomware-aanval – meestal omdat er een grote melding op het scherm verschijnt – is het essentieel om het geïnfecteerde apparaat te isoleren. Verwijder netwerk- en datakabels, USB's en dongles en schakel wifi en bluetooth uit om te voorkomen dat het apparaat een verbinding maakt waardoor de dreiging zich zou kunnen verspreiden.

Breng het bedrijf/contacten op de hoogte

Het is belangrijk dat alle communicatie wordt gecoördineerd door een centraal punt binnen de organisatie om verkeerde informatie of verwarring te voorkomen. Er moet ook een richtlijn worden gegeven om met niemand in de media te spreken of iets op sociale media te publiceren. PR-aankondigingen moeten zorgvuldig worden voorbereid om te vermijden dat aandeelhouders, belanghebbenden en de markt in het algemeen ongerust worden.

Zodra een aanval bekend is, moet iedereen in het bedrijf op de hoogte worden gebracht van de dreiging. Als iemand vermoedt dat zijn apparaat is geïnfecteerd, moeten er stappen worden gezet om het apparaat onmiddellijk van het netwerk te isoleren. Ervaring leert ook dat gebruikers al hun inloggegevens moeten resetten – vooral voor geprivilegieerde accounts – om te voorkomen dat de kwaadwillende waardevolle gegevens verzamelt die kunnen worden gebruikt om verdere aanvallen uit te voeren.

Identificeer het type ransomware

Als u merkt dat u besmet bent door ransomware, moet u uitzoeken wat voor soort ransomware het is. Als u niet voorbij een ransomware-notitie op uw scherm kunt komen, bent u waarschijnlijk geïnfecteerd door ransomware met schermvergrendeling. Als u door uw apps kunt bladeren, maar uw bestanden niet kunt openen, bent u getroffen door versleutelde ransomware - de ergste van de twee. Als u door uw systeem kunt navigeren en al uw bestanden kunt lezen, dan heeft u waarschijnlijk te maken met iemand die u probeert bang te maken om te betalen (geen echte ransomware).

Voer een malwarescan uit met behulp van de malwarescantool op het apparaat of via het Security Operations Center van de organisatie om te helpen identificeren welke ransomware is gebruikt, aangezien dit helpt bij het bepalen van de herstelacties die moeten worden ondernomen.

Maak daarnaast aantekeningen over de aanval, inclusief de datum, tijd, bestandsdetails, eerste tekenen van ransomware, getroffen apparaten, wat u aan het doen was vlak voor de aanval en wanneer uw apparaat aangesloten was. Maak ook foto's en neem verdachte programma's, bestanden en pop-ups op.

Al deze informatie wordt vervolgens ingevoerd in de ransomware-identificatietool om te helpen bepalen waardoor het bedrijf is getroffen en welke herstelacties u nu moet ondernemen.

Pas op met betalen van het losgeld Cyberbeveiligingsprofessionals en overheidsinstanties zijn het er allemaal over eens: betaal het losgeld niet.

Onderzoek wijst uit dat maar 3 op de 5 organisaties weer toegang krijgen tot data/systemen (statista), dus er is geen garantie dat u toegang krijgt tot uw gegevens of computer. En zelfs als u uw gegevens terugkrijgt, is er geen garantie dat het veilig is en dat kwaadwillenden hun gevoelige gegevens alsnog op het dark web publiceerden.

Verwijder de ransomware van uw apparaten

Helaas is het verwijderen van ransomware van apparaten geen kwestie van alleen maar op 'verwijderen' klikken. In veel gevallen is een volledige reset naar fabrieksinstellingen vereist, wat onomkeerbaar is en het risico van gegevensverlies met zich meebrengt. Daarom is het altijd het beste om de hulp in te roepen van een professional die de juiste decoderingstools kan gebruiken en u veilig terug kan brengen naar de normale gang van zaken.

Gegevens herstellen van back-ups

Het bijhouden van een up-to-date back-up is de meest effectieve manier om te herstellen van een ransomware-aanval. Ervaring heeft geleerd dat u het beste de '3-2-1-regel' kunt volgen – 3 kopieën van de gegevens, opgeslagen op 2 verschillende locaties, waarvan 1 offline.

Als het gaat om het herstellen van gegevens, scan dan eerst uw gegevens op malware en zorg ervoor dat back-ups alleen zijn aangesloten op bekende schone apparaten om herinfectie te voorkomen.

Meld de aanval

Zodra uw bedrijf weer online is, moet u de ransomware-aanval melden bij de relevante autoriteiten (overzicht Cyber loketten NCSC) . Deze informatie is van onschatbare waarde om instanties te helpen nagaan hoe ransomware-aanvallen zich ontwikkelen, om de cybercriminelen te stoppen, om te helpen met hersteltools en om verdere verspreiding van de ransomware te voorkomen.

Bescherm uzelf tegen toekomstige ransomware-aanvallen

Het gedrag van eindgebruikers kan een van de beste afschrikmiddelen zijn die u tot uw beschikking hebt als het gaat om het aanpakken van de dreiging van ransomware. Geef training over de basiszaken en benadruk voortdurend het belang van juist gedrag om ervoor te zorgen dat mensen zich er ook werkelijk aan houden:

  • Update uw apparaat schakel automatische updates in.

  • Schakel multi-factorauthenticatie in.

  • Maak regelmatig back-ups.

  • Controleer wie toegang heeft tot wat op uw apparaten.

  • Schakel bescherming tegen ransomware in

Neem contact op met Ontrack voor herstel van ransomware

Elke ransomware-aanval is uniek en varieert in complexiteit, maar gegevensherstel is mogelijk. Bij Ontrack hebben we een gespecialiseerde verzameling eigen tools ontwikkeld om gegevens te herstellen - we hebben momenteel versleutelingscapaciteiten voor 138 types ransomware en volgen continu 271 verschillende varianten.

Met laboratoria over de hele wereld, zijn onze specialisten 24/7 beschikbaar om hulp en ondersteuning te bieden in het geval van een worst-case scenario.

Meer over gegevensherstel na ransomware

Lees ook onze  uitgebreide Ransomware-gids

 

Abonneren

KLDiscovery Ontrack B.V., De Brand 22, 3823 LJ Amersfoort, Nederland (Bekijk alle locaties)