Hoe overwin je een aanval van ransomware?

Stelt u zich eens voor dat u met één muisklik de toegang tot uw bedrijfsdata zou verliezen? Het overkomt dagelijks diverse bedrijven in Nederland. Zij zijn het slachtoffer van ransomware. Een vorm van cybercriminaiteit die in relatief korte tijd een van de grootste cyberrisico’s voor het bedrijfsleven is geworden. Het aantal slachtoffers stijgt nog steeds razendsnel. De slachtoffers dachten met hun rewall en antivirussoftware volledig beschermd te zijn, de praktijk bleek anders.

De totale directe nanciële schade, reputatieschade en verlies van cruciale data kunnen catastrofale gevolgen hebben.
In deze whitepaper van SLTN Inter Access wordt uitgelegd wat ransomware is, waarom het gevaarlijk is voor uw bedrijf en hoe u zich ertegen kunt beschermen.

Wat is het en hoe werkt het?

Ransomware, soms ook wel aangeduid met cryptoware, is eigenlijk niet meer dan het gijzelen van je bestanden. Ransomware komt vaak binnen als bijlage bij een e-mail of als link in een e-mail die verwijst naar een kwaadaar- dige website. Als iemand binnen een organisatie op de bijlage of de link klikt, activeert hij/zij een script dat er op de achtergrond voor zorgt dat de data op de pc van het slachtoffer wordt versleuteld. Enkele bekende namen van ranswomware zijn CryptoWall, TeslaCrypt, TorrentLocker en Locky.

Vaak is het resultaat van ransomware dat de gebrui-
ker de toegang alle bestanden op de pc verliest. Soms worden slechts een aantal belangrijke Windows-mappen, zoals Mijn documenten, versleuteld. Het versleutelen van bestanden kan in enkele minuten gebeurd zijn. Vervol- gens krijgt het slachtoffer een scherm met de mededeling dat zijn bestanden versleuteld zijn en dat hij pas weer toegang krijgt als hij een bepaald bedrag betaalt. Dit loopt vaak in de honderden euro’s.
Vaak krijgt het slachtoffer een bepaalde tijd, bijvoorbeeld 2 of 3 dagen, om het losgeld te betalen. Wordt hieraan niet voldaan, dan is de kans groot dat de gekaapte com- puterbestanden nooit meer toegankelijk zullen worden. Wie met een pc of server het slachtoffer wordt van rans- omware, zit doorgaans dus met nare gevolgen. Als de bestanden belangrijke informatie bevatten en niet her- steld kunnen worden ontstaat een serieus probleem. In de praktijk blijkt dat hoe belangrijker de informatie is die versleuteld is, hoe groter de bereidheid van het slacht- offer om het losgeld te betalen. Vanwege de anonimiteit van de daders worden alleen betalingen in Bitcoins geaccepteerd.

Wat zijn de risico’s?
Het probleem van ransomware neemt in alarmerend tempo toe. Volgens onderzoek van Kaspersky Lab steeg het aantal door cryptoware aangevallen gebruikers met 550%, van 131.000 in 2014 tot 718.000 in 2015. In Ne- derland ging dit zelfs van 814 naar 9967, een stijging van maar liefst 1224%.
De risico’s van ransomware lijken overduidelijk: reputa- tieschade, dataverlies, herstelkosten en productiviteits- verlies. Bovendien zijn organisaties verplicht om verlies van persoonsgebonden data te melden bij de Autoriteit Persoonsgegevens.

Het gevaar om het slachtoffer van ransomware te wor- den beperkt zich niet tot Windows-pc’s. Ook smartpho- nes, servers, Mac computers en een virtuele desktopom- geving (VDI) kunnen gekaapt worden door ransomware. Bovendien kan de nanciële schade ink oplopen. Con- sumenten worden vaak opgezadeld met sommen van een paar honderd euro. Als een bedrijf het slachtoffer wordt van ransomware, kan de losgeldsom veel hoger worden.

Advies: niet betalen
Ransomware is lucratief. Als er waardevolle informatie wordt gegijzeld door malware, is het slachtoffer eerder bereid het losgeld te betalen. En zolang er betaald blijft worden, blijft het interessant voor de crimineel om de praktijken voort te zetten. En dus is het advies om niet te betalen. Bij betaling is er nooit garantie dat de bestan- den weer beschikbaar komen. Wie gelooft immers de belofte van een crimineel? Een ransomware slachtoffer die tot betaling overgaat is klant van cybercriminelen geworden en aan bestaande klanten is het nu eenmaal makkelijker verkopen dan aan nieuwe klanten.

Wat is er tegen te doen?
Door zeer goede beveiligingssoftware te gebruiken kan de blootstelling van de medewerkers aan ransomware
tot een zo laag mogelijk niveau worden teruggebracht. Er blijft echter altijd een aantal bedreigingen over die door de beveiliging heen kunnen komen, dan komt het op menselijk handelen aan. Een belangrijk punt bij het voor- komen van besmetting door ransomware, is bewustwor- ding. Medewerkers moeten zich bewust zijn van waar ze op klikken en welke mails ze openen en vertrouwen. Met regelmatige trainingen moeten medewerkers de risico’s van hun digitale acties leren begrijpen zodat beveiliging een integraal onderdeel van hun werk wordt. Ook mede- werkers zonder IT-kennis kunnen bijvoorbeeld voordat ze een e-mailbijlage openen, de extensie van het bestand controleren.

Als u besmet raakt, is de kans groot dat de gegevens voor eeuwig verloren zijn gegaan. Maar een besmet- ting kan echter ook al plaatsvinden door een website te bezoeken waarin kwaadaardige code is verborgen die stiekem op de achtergrond een bestand naar de com- puter van de bezoeker uploadt. Er is dus niet altijd echt een actie van het slachtoffer nodig om in de val te lopen. Bewust gebruik maken van internet door een aantal eenvoudige cyberbeveiligingstips te volgen, kan infectie helpen voorkomen.

Ook goede beveiligingssoftware helpt om besmetting te voorkomen. Om optimale bescherming te bieden, moet de software zoveel mogelijk worden ingeschakeld en up-to-date worden gehouden. Dat klinkt wellicht als een open deur, maar dit gaat in de praktijk nog geregeld mis. Goede beveiligingssoftware werkt op basis van herken- ning van gedragingen en juist opvallende afwijkingen van wat normaal is. De software controleert real-time gedra- gingen van applicaties binnen het netwerk. Als er iets verdachts wordt geconstateerd, wordt het gevaar direct en automatisch door de software gestopt.

No More Ransom
Maar sinds de zomer van 2016 is er nog een hulpmiddel. Vanwege de snelle groei van ransomware heeft Europol, onder meer in samenwerking met de Nederlandse politie en beveiligingsbedrijf Kaspersky Labs, een campagne ontwikkeld waarbij slachtoffers gratis de versleuteling van hun bestanden kunnen doorbreken. Dit is de ac-

tie genaamd No More Ransom die in juli werd gestart. No More Ransom is een portal [www.nomoreransom. org] gericht op het informeren van het publiek over de gevaren van ransomware. Bovendien helpt het slacht- offers om hun gegevens te herstellen zonder losgeld te betalen aan de cybercriminelen. Echter No More Rans- om zal niet in alle gevallen helpen en altijd pas na enige tijd oplossing kunnen bieden voor nieuwe ransomware besmettingen. Beter is om uw gegevens pro-actief te beschermen tegen ransomware.

TIPS! – Hoe een ransomware besmetting te voorkomen? – besteed aandacht aan alle medewerkers om hen be- wust te maken van de cyberbedreigingen
– zorg voor de beste beveiligingssoftware op ALLE ap- paraten binnen het bedrijfsnetwerk (pc’s, Macs, tablets, smartphones, servers etc.)

– automatiseer het updaten van de beveiligingssoftware en controleer dat centraal
– maak regelmatig back-ups van belangrijke data
– test of de bestanden in de back-up ook daadwerkelijk hersteld kunnen worden
– beperk de digitale toegangsrechten tot bedrijfsdata tot dat wat werkelijk noodzakelijk is (leesrechten zijn geen probleem, schrijfrechten wel)