Wat is ransomware?
Ransomware is een vorm van malware waarbij hackers computernetwerken binnendringen en de digitale informatie "gijzelen" totdat het slachtoffer grote sommen betaalt voor de vrijgave van de bevroren systemen. Slachtoffers hebben maar twee — even slechte — opties:
- Betalen — in de hoop dat de aanvallers niet te veel schade hebben aangericht en de sleutels daadwerkelijk afgeven.
- Weigeren — en een langdurig traject doorlopen om systemen en data weer op orde te krijgen, met het risico dat de criminelen essentiële informatie vrijgeven of permanent verwijderen.
Hoe dan ook: een gijzeling wil je voorkomen.
Wat zijn de hoofdoorzaken?
Criminele organisaties die doorgaans betaal- of creditcardgegevens stalen, zijn op een nieuw businessmodel overgestapt dat meer en sneller loont: afpersen van organisaties door hun essentiële gegevens op slot te gooien. Omdat het blijkt te lonen, is er een geheel nieuwe bedrijfstak ontstaan. Veel organisaties zijn verzekerd tegen cybercriminaliteit, waardoor ze het model in stand houden — slachtoffers betalen, criminelen verdienen.
Met de coronapandemie zijn organisaties nog kwetsbaarder geworden: meer afhankelijkheid van digitale systemen, IT-securitypersoneel dat op afstand werkt en minder zicht op wat er op het netwerk gebeurt. In de Verenigde Staten werden er in één maand tijd circa 100 organisaties getroffen. Een ernstig en snel groeiend probleem.
Wie zit er achter?
De overgrote meerderheid van recente ransomware-incidenten wordt gepleegd door georganiseerde cybercriminelen uit Oost-Europa of Azië — puur voor financieel gewin. Handhaving en berechting zijn uiterst lastig omdat het vaak internationale, complexe organisaties zijn die opereren vanuit landen zonder uitleveringsverdragen.
Hoe voorkom je slachtoffer te worden?
Er zijn veel maatregelen te nemen om te zorgen dat u niet het volgende slachtoffer wordt. Uitsluiten kan niet — de kans verkleinen kan wel. Alles draait om twee pijlers:
- Goede beveiliging van uw ICT — strikte security-richtlijnen volgen en zorgen dat alle beveiliging up-to-date is.
- Awareness bij medewerkers — zodat zij herkennen wanneer iemand probeert hen te compromitteren via phishing, een virus of andere technieken.
Concreet begint het met bescherming van werkplekken met anti-virus, up-to-date software en encryptie — maar het loopt door tot de backup-strategie aan de backend. Denk aan:
- Regelmatige, geautomatiseerde backups — inclusief offline en offsite kopieën
- Gesegmenteerde netwerken zodat een aanval zich niet ongehinderd kan verspreiden
- Multi-factor authenticatie op alle kritieke systemen en toegangspunten
- Patch management: systemen en software consistent up-to-date houden
- Incident response plan — weten wat te doen als het toch misgaat
De ICT scan als startpunt
Met onze ICT scan kunnen wij meten hoever uw organisatie is in het voorkomen van een gijzeling. Stapsgewijs gaan we door alle beveiligingscontroles die naar ons inzicht geïmplementeerd moeten zijn.
Het is nuttig voor organisaties die slachtoffer zijn geworden van ransomware-aanvallen om te delen wat ze hebben geleerd — zowel in preventie als oplossing. Anderen kunnen daar hun voordeel mee doen. Maar uiteindelijk zal ransomware alleen verdwijnen als gehackte organisaties het losgeld niet meer betalen. Voor veel slachtoffers is dat voorlopig niet realistisch: een ziekenhuis kan niet vier maanden sluiten tot de systemen weer beschikbaar zijn vanuit oude backups. Daarom is voorkomen vele malen belangrijker dan genezen.
Met de Horae ICT scan brengen we uw beveiligingsniveau in kaart — inclusief concrete aanbevelingen.
Nuttige bronnen
- CIS Security Controls — checklist voor een goede security-inrichting
- Rapport overheid — cyberaanval Universiteit Maastricht
- Fox-IT rapport Universiteit Maastricht (PDF)
- NCSC Factsheet Ransomware — juni 2020
- The untold story of NotPetya — de aanval op Maersk (Wired)
- Ransomware-aanval op Norsk Hydro (BBC)
- Cyberaanval Duits ziekenhuis — de menselijke tol (Wired)