In de greep van ransomware

Bijna dagelijks lezen we in de media verhalen over bedrijven waarvan de medewerkers niet bij systemen of gegevens konden komen en de productie werd lamgelegd.

Volgens Fortinet is het aantal ransomware aanvallen in een jaar tijd vertienvoudigd, van circa 14.000 naar 149.000 aanvallen per maand. De bedragen die cybercriminelen aan hun slachtoffers vragen in de regel 1 tot 2% van de jaaromzet, maar inmiddels zien we dat ransomware-groepen fors hogere bedragen durven te vragen. Helaas is ransomware een zeer winstgevende business geworden en dat heeft ertoe geleid dat er steeds meer ransomware-groepen bijkomen. Er is zelfs een specialisatie ontstaan waarbij een groep zich richt op het verkrijgen van toegang tot het netwerk, een ander op implementatie van de ransomware, een derde op onderhandelingen en afpersing en weer een andere op afhandeling van de betaling. Op hackerfora wordt inmiddels ook ransomware-as-a-service (RaaS) aangeboden. Kwaadwillenden hoeven dus niet zelf technisch onderlegd te zijn.

Afpersingstechnieken bestaan al veel eeuwen. Ransomware wordt beschouwd als de huidige fase in de evolutie van afpersing. Wat begon met het versleutelen van gegevens en het blokkeren van toegang, heeft zich in de laatste jaren ontwikkeld tot een meervoudige dreiging. De daders stelen voor het versleutelen eerst uw intellectueel eigendom, de inloggegevens van medewerkers en zoveel mogelijk klantinformatie om die later te gebruiken in bijvoorbeeld phishing aanvallen op uw klanten. Door ook (een deel van) uw data te kopiëren en dreigen dat te publiek te maken, zetten de daders hun eis voor losgeld kracht bij.

Om zich toegang tot uw netwerk te verschaffen hebben ransomware-groepen diverse mogelijkheden. Systemen die (nog) niet zijn gepatcht is een favoriet doelwit omdat het exploitatie van bekende kwetsbaarheden mogelijk maakt. Ook openbaar toegankelijke RDP-servers zijn geliefd bij de criminelen. Sinds de COVID-19-pandemie uitbraak werken veel mensen thuis en zijn er veel RDP servers in gebruik genomen. Ook VPN-apparaten zonder multi-factor authenticatie kunnen doelwit zijn.

Mitigerende maatregelen die u kunt nemen:

• Patch uw systemen op tijd
• Schakel onnodige externe services uit
• Vergrendel accounts na 3 foute inlogpogingen
• Gebruik tweefactor authenticatie

Uiteraard is ook phishing nog steeds een veel voorkomende methode om bedrijven binnen te dringen. E-mails met een malafide link of bijlage worden veelvuldig ingezet. De e-mails zien er steeds beter uit en lijken vaak afkomstig van vertrouwde partijen. We zien dat geregeld gebruikt wordt gemaakt van kwaadaardige macro’s, versleutelde zip bestanden of links naar online services zoals WeTransfer en Google Drive.

Mitigerende maatregelen die u kunt nemen:

• Houd u antivirusprogramma up-to-date
• Blokkeer gevaarlijke bijlagen zoals uitvoerbare bestanden (.exe) op de mail gateway
• Zorg voor goede endpoint detectie en respons (EDR)
• Train medewerkers in het herkennen en melden van verdachte e-mails

Als de criminelen via een phishing mail toegang hebben gekregen, gebruiken ze vaak PowerShell, Windows Command Shell, Visual Basic of JavaScript in een volgende stap om malware binnen te halen.

Mitigerende maatregelen die u kunt nemen:

• Sta alleen ondertekende PowerShell-scripts toe voor uitvoering
• Blokkeer uitvoering van onbekende PowerShell scripts
• Controleer periodiek of er wijzigingen in PowerShell-uitvoeringsbeleid zijn

Als het criminelen lukt om uw netwerk binnen te dringen, zullen ze het gedurende enige tijd verkennen en op zoek gaan naar gebruikersrechten, processen en systemen waarmee ze de controle kunnen overnemen. Om u onder druk te kunnen zetten zullen ze data kopiëren naar servers buiten uw netwerk kopiëren voordat ze overgaan tot het versleutelen van bestanden. Als dat lukt kunt u uw bestanden niet meer openen en komen systemen en processen stil te vallen. U ontvangt een bericht dat uw systeem is vergrendeld en pas na betaling weer wordt vrijgegeven. Bij geavanceerde aanvallen gaan de criminelen ook op zoek naar eventuele backups in het netwerk en verwijderen of versleutelen die, zodat het niet mogelijk is om de backup terug te zetten. Meestal wordt betaling geëist in Bitcoins. Na het verstrijken van de initiële tijdslimiet wordt het bedrag soms opgehoogd.

Als uw bedrijf wordt besmet met ransomware kunt u de toegang verliezen tot uw complete administratie, klantenbestand, werkinstructies en andere informatie die digitaal is opgeslagen. U kunt zelfs uw back-ups verliezen. Ransomware kan namelijk niet alleen de gegevens op uw computers en servers in uw netwerk versleutelen, maar ook die op externe opslaglocaties als die via uw netwerk zijn te benaderen.

De kosten voor de duur dat uw bedrijfsprocessen stil liggen kunnen flink oplopen. Het inschakelen van externe hulp kan het prijskaartje opdrijven.

U kunt de kans dat uw bedrijf wordt getroffen door ransomware beperken, maar niet tot nul reduceren. Belangrijke maatregelen om het risico te verminderen zijn:

1. Patches & updates. Houd alle software (inclusief besturingssysteem, antivirus, firewall en browsers) up-to-date. Wacht niet met het installeren van beveiligingsupdates.
2. Back-up. Richt een dagelijkse back-up procedure in en koppel uw back-up los uw netwerk.
3. Segregatie. Segregeer het netwerk want gescheiden compartimenten kunnen voorkomen dat uw hele netwerk wordt geïnfecteerd.
4. Awareness. Train uw medewerkers in het herkennen van verdachte e-mails. Zorg dat ze geen verdachte bijlagen openen en niet klikken op verdachte links in e-mails.
5. Macro’s. Schakel geen macro’s in bij Office-documenten van derden. Via macro’s in een document kunnen taken geautomatiseerd worden, maar is het ook mogelijk om ongemerkt malware te downloaden en te installeren.
6. Cyber Respons plan. Maak een cyber respons plan dat rekening houdt met de mogelijkheid van dataverlies. Ontwikkel diverse scenario's en leer om te gaan met bijvoorbeeld verlies van klantdata of orderhistorie om uw incident respons te trainen en te evalueren.

Hoe beter u bent voorbereid, hoe meer schade u weet te beperken. Maatregelen die hun vruchten kunnen afwerpen bij het beperken van de impact zijn:

• Zet uw cyber response plan in werking;
• Schakel direct IT security experts in;
• De website www.nomoreransom.org biedt hulp als uw computer en mobiele apparaat is besmet met ransomware. De website bevat informatie over ontsleutelcodes (Engels: ransomware-decryptors) waarmee u wellicht uw bestanden kunt redden. Voor nieuwere typen ransomware is er helaas geen oplossing.
• Losgeld betalen geeft geen enkele garantie dat u de toegang tot uw bestanden daadwerkelijk terugkrijgt van de cybercriminelen. Zelfs als u wel een ontsleutelingscode krijgt, blijft na betaling de kwaadaardige software op de computer staan en kunnen bestanden later opnieuw versleuteld worden waarna nogmaals om losgeld wordt gevraagd.
• De beste oplossing is om de ransomware te laten verwijderen en de back-up van uw gegevens terug te plaatsen. Dit laatste werkt alleen als het externe opslagmedium was losgekoppeld van uw netwerk.

De politie raadt het betalen van losgeld af omdat dat het business model van de cybercriminelen in stand houdt. Tegelijk realiseren we ons dat het een laatste redmiddel voor uw bedrijf kan zijn als de schade niet is gedekt door een cybercrime verzekering.

Zelf cybermaatregelen treffen of fraude melden?

Ongeveer 1 op de 5 ondernemers krijgt te maken met cybercriminaliteit. Zo’n cyberincident kan grote gevolgen hebben voor de bedrijfsvoering, klanten, leveranciers of reputatie. Het treffen van passende maatregelen is daarom van belang voor elke onderneming.

• Leer meer over de 4-in-1-cyberoplossing Cyber Veilig & Zeker en verlaag jouw cyberrisico's.
• Bekijk slimme tools, handige artikelen en cyberwebinars op onze Veilig ondernemen-pagina.
• Meld fraude bij ons, ook bij twijfel, waarna onze helpdesk je direct verder helpt.