In Duitsland stierf onlangs een patiënte, omdat zij niet kon worden opgenomen in haar ziekenhuis tijdens een cyberaanval. Hackers hebben de Universiteit van Maastricht wekenlang stilgelegd tot er betaald werd, criminelen hebben privé-informatie, waaronder burgerservicenummers, online gezet van een school in Las Vegas; een proef met coronavirus-vaccins liep recentelijk vast toen onderzoekers geen toegang meer hadden tot hun gegevens.
Dit is een kleine greep uit de gevolgen van ransomware aanvallen, waarbij hackers computernetwerken binnendringen en de digitale informatie “gijzelen” tot het slachtoffer grote sommen betaalt voor de vrijgave van de bevroren systemen. Ze hebben maar twee – even slechte- opties: betaal de afpersers in de hoop dat ze niet te veel schade hebben aangericht, of weiger en riskeer een langdurig traject om je systemen en data weer op orde te krijgen. Met het risico dat ze essentiële informatie vrijgeven of verwijderen. Hoe dan ook: een gijzeling wil je voorkomen.
Wat zijn de hoofdoorzaken van ransomware?
Criminele organisaties, die doorgaans betaal- of creditcard gegevens stalen, zijn op een nieuw business model overgestapt dat meer en sneller loont: afpersen van organisaties door hun essentiële gegevens op slot te gooien. En omdat het blijkt te lonen is zo een geheel nieuwe bedrijfstak ontstaan. Omdat slachtoffers vaak betalen, is het een snel groeiende business. Veel organisaties zijn verzekerd tegen cybercriminaliteit, waardoor ze het model in stand houden.
Nu, met de Corona pandemie zijn organisaties nog kwetsbaarder voor ransomware omdat ze meer afhankelijk zijn van digitale systemen en IT security personeel op afstand werkt. In de Verenigde Staten zijn afgelopen maand ongeveer 100 organisaties getroffen door ransomware aanvallen. Een zeer serieus probleem, dat steeds groter wordt.
Wie zit er achter deze aanvallen?
De overgrote meerderheid van de recente ransomware incidenten lijkt gepleegd te worden door georganiseerde cyber-criminelen uit of Oost-Europa of Azië. Puur voor financieel gewin. Handhaving en berechting is heel lastig, omdat het vaak internationale complexe organisaties zijn.
Wat moet je doen om te voorkomen dat je slachtoffer wordt?
Er zijn heel veel maatregelen te nemen om te zorgen dat je niet het volgende slachtoffer wordt. Uitsluiten kan niet, de kans verkleinen kan wel. Alles draait om:
- een goede beveiliging van je ICT, door je te houden aan strakke security richtlijnen en te zorgen dat al je beveiliging up to date is
- een goede awareness van je medewerkers, zodat zij herkennen wanneer iemand probeert ze te compromitteren (phishing, virus of anderszins).
Het begint natuurlijk met een goede bescherming van de werkplekken met anti-virus, up-to-date software en encryptie, maar het loopt door tot je backup-strategie aan de backend.
Met onze ICT scan kunnen wij een meting doen hoever jouw organisatie is in het voorkomen van een gijzeling. Stapsgewijs gaan we door alle “controls” die ons inziens geïmplementeerd moeten zijn.
Het is nuttig voor organisaties die het slachtoffer zijn geworden van ransomware-aanvallen om te delen wat ze hebben geleerd, zowel in preventie als oplossing. Anderen kunnen daar hun voordeel mee doen. Maar uiteindelijk zal ransomware alleen verdwijnen, als gehackte organisaties het losgeld niet meer betalen. Voor veel slachtoffers is dat voorlopig niet realistisch. Een ziekenhuis kan niet 4 maanden sluiten tot de systemen weer beschikbaar zijn uit oude backups … Daarom is voorkomen vele malen belangrijker dan genezen!
Interessante links:
- Checklist voor een goede security inrichting: CIS Security US
- Ervaringen met ransomware Universiteit Maastricht: Rapport Overheid, Rapport Fox IT (PDF)
- Factsheet ransomware van de NCSC: Ransomware Juni 2020
- De horror story van Maersk: Wired
- Ransomware in het nieuws: de aanval op Norsk Hydro
- The untold story of a cyberattack at a German hospital (Wired)