Wat te doen als uw bedrijf wordt geraakt door Ransomware
Ransomware is zo'n winstgevende vorm van cybercriminaliteit dat het een hele zelfvoorzienende industrie is geworden met zijn eigen verschuivingen en trends. Een paar jaar geleden waren bijvoorbeeld ransomware-ontwikkelaars en -operators vooral geïnteresseerd in thuisgebruikers. Het aanvallen van personal computers was goedkoop, en enkele slimme social engineering-technieken zorgden ervoor dat het slagingspercentage niet slecht was. Ondertussen was de back-upcultuur van mensen niet bepaald geweldig, wat betekende dat voor velen de enige optie om hun gegevens te herstellen het losgeld was. Maar toen begonnen de dingen te veranderen.
Table of Contents
Ransomware-operators zijn verhuisd van thuisgebruikers naar bedrijven en grote organisaties
In 2017 waren er een paar enorme ransomware-uitbraken, WannaCry en NotPetya, die veel publiciteit kregen. Ze waren niet specifiek gericht op thuisgebruikers, maar de thuisgebruikers zagen ze op het nieuws en ze werden geleidelijk meer vertrouwd met de dreiging. Ze realiseerden zich hoe belangrijk back-ups zijn en werden beter voorbereid op ransomware-aanvallen.
In alle eerlijkheid, cybercriminelen zijn niet bijzonder geïnteresseerd in het delen van hun winst-en-verliesrekening, maar het feit dat ransomware-infecties op thuis-pc's de laatste paar jaar zijn afgenomen, suggereert dat minder eindgebruikers geneigd zijn om toe te geven aan de hackers ' vraagt. Dit betekent echter niet dat de ransomware-activiteiten krimpen.
Op een gegeven moment realiseerden ransomware-operators zich dat de extra inspanning van het aanvallen van organisaties in plaats van individuele gebruikers de moeite waard zou kunnen zijn, en sindsdien hebben grote ransomware-incidenten voornamelijk betrekking gehad op bedrijven, zorgorganisaties en overheidsinstellingen. Een ransomware-uitbraak bij een particulier bedrijf kan bijzonder schadelijk zijn, daarom moeten mensen leren hoe ze op de dreiging kunnen reageren, niet alleen wanneer ze thuis zijn, maar ook op kantoor.
Hoe kan een ransomware-infectie uw bedrijf beïnvloeden?
Vanuit een puur technisch perspectief presenteert een ransomware-aanval een bedrijf met twee belangrijke problemen: gegevensverlies en downtime.
Uw gegevens vergrendelen is het meest voor de hand liggende probleem. Een succesvolle ransomware-infectie kan handelsgeheimen, productspecifieke informatie en klantgegevens coderen. Het verliezen van dit soort gegevens kan leiden tot het overlijden van uw bedrijf, wat betekent dat u misschien in de verleiding komt te overwegen om aan de eisen van de hackers te voldoen en het losgeld te betalen. Zelfs als u dat doet, kunt u echter niet garanderen dat alle informatie wordt teruggezet naar de toestand vóór de infectie. Dit is echter niet het enige probleem.
Van nature zijn ransomware-infecties behoorlijk luidruchtig. Als u ooit merkt dat u aan het verkeerde eind van een aanval bent, wordt u op de hoogte gebracht van wat er aan de hand is en zullen uw klanten leren dat er ook vrij snel iets mis is. Een ransomware-infectie kan de werking van een bedrijf volledig verstoren en ervoor zorgen dat het zijn gebruikers niet meer kan bedienen. Onvermijdelijk zal de oorzaak van het probleem openbaar worden gemaakt, en het zal het zaad van onzekerheid zaaien bij uw gebruikers die ervan uitgaan dat uw bedrijf niet bijzonder goed zorgt voor de beveiliging van hun gegevens. Dit alles betekent dat het zo belangrijk en zo snel en efficiënt mogelijk omgaan met de situatie is.
Hoe moet uw bedrijf reageren op een succesvolle ransomware-aanval?
Zoals u ziet, zijn de twee belangrijkste dingen waar u aan moet denken het voorkomen van gegevensverlies en het minimaliseren van downtime. Als je werkt voor een bedrijf dat is getroffen door ransomware, moet je ervoor zorgen dat het herstellen van de aanval zo snel mogelijk duurt, maar je moet ook goed controleren of elk bestand is waar het moet zijn voordat je het plaatst het bedrijf terug in operationele modus. Het is een stressvol proces dat veel concentratie en een gecoördineerde inspanning van alle verantwoordelijken vereist.
Als malware erin is geslaagd om uw systemen te infiltreren, moet de verspreiding ervan de hoogste prioriteit hebben. Onderschat nooit meldingen van vreemd gedrag van werknemers, en als u ontdekt dat slechts één computer is getroffen met ransomware, zorg er dan voor dat de netwerkkabels van alle delen van de IT-infrastructuur van uw bedrijf zijn aangesloten. Moderne ransomwarefamilies worden geleverd met wormachtige componenten waarmee de aanval zich snel kan verspreiden en de hackers willen zoveel mogelijk eindpunten vergrendelen met het idee een hoger losgeld te eisen. Hoe groter het aantal gecodeerde pc's, hoe meer tijd je nodig hebt om alles ook weer online te brengen.
We hebben al gezegd dat het minimaliseren van downtime hoog op je prioriteitenlijst moet staan. Dat gezegd hebbende, je moet het proces niet haasten. Voordat u alles inschakelt, moet u ervoor zorgen dat alle sporen van de ransomware zijn verwijderd en moet u controleren of alles operationeel is. Verdere vertragingen zullen uw klanten niet erg gelukkig maken, maar als u hen vertelt dat u weer actief bent en hen meer problemen bezorgt, kunnen ze nog meer overstuur raken dan ze al zijn.
Daarover gesproken, als je je gebruikers echt minder slecht wilt laten voelen over wat er is gebeurd, probeer dan zo transparant mogelijk te zijn over de aanval. Vertel hen hoe de hackers zijn binnengekomen, wat u hebt gedaan om ze te stoppen en wat u van plan bent te doen om toekomstige aanvallen te voorkomen. Vertel uw gebruikers hoe de aanval hen zal beïnvloeden en de services waarvoor ze hebben betaald, en houd niets achter. Hoewel sommige bedrijven denken dat dit een goede strategie is, werkt het bagatelliseren van het probleem meestal averechts en brengt het zelfs meer reputatieschade aan dan de aanval zelf.
Er is veel om over na te denken, en zelfs als je alles volgens het boek doet, kunnen de gevolgen nog steeds behoorlijk gruwelijk zijn. In juli 2018 werd LabCorp, een van 's werelds grootste netwerken van laboratoria, getroffen door de SamSam-ransomware. Hoewel het IT-team snel bewoog om de malware te beheersen, slaagde SamSam er toch in om ongeveer 7.000 eindpunten en bijna 2.000 servers te infecteren.
Meer recentelijk werd de valutawissel Travelex aangevallen door de Sodinokibi (aka REvil) ransomware, en gedurende meer dan twee weken werden haar werknemers gedwongen pennen en stukjes papier te gebruiken om hun werk te doen.
Een ransomware-aanval zal ongetwijfeld allerlei problemen veroorzaken, vooral als het op een grotere organisatie is gericht. Met het risico in de clichéval te vallen, moeten we zeggen dat het nemen van actieve preventiemaatregelen de beste strategie is in de strijd tegen dit soort bedreigingen.
Wat kunt u doen om een succesvolle ransomware-aanval te voorkomen?
Het installeren van een antivirusprogramma op de computers van uw werknemers en het maken van back-ups van hun harde schijven is niet voldoende. Nogmaals, we hebben het over een complex proces met veel valkuilen, en de gezonde staat van de ransomware-business laat duidelijk zien dat bedrijven altijd fouten maken.
Een eenvoudig beveiligingsproduct kan de dag niet redden als uw hele IT-systeem is gebaseerd op oude software die geen beveiligingspatches heeft ontvangen. Niemand anders dan de Verenigde Naties heeft op de harde manier geleerd hoe belangrijk beveiligingsupdates zijn en als u verantwoordelijk bent voor het onderhoud van het netwerk van een heel bedrijf, hebt u geen excuses voor het uitvoeren van software met bekende beveiligingsproblemen.
Er is ook geen excuus voor slecht geconfigureerde netwerken. Veel van de ransomware-families die zich momenteel op organisaties richten, verspreiden zich via onbeveiligde netwerkprotocollen die zijn opengelaten door zorgeloze sysadmins. Standaardwachtwoorden zijn ook een veel voorkomend hoogtepunt van een aantal rapporten over ransomware-incidenten, waaruit blijkt dat de social engineering in de spam-e-mails verre van het enige wapen in het arsenaal van hackers is. Dat gezegd hebbende, het is altijd een goed idee om uw werknemers te trainen om niet op willekeurige links en bijlagen in onverwachte berichten te klikken.
Zoals u ziet, zijn er al tal van taken die moeten worden uitgevoerd, en we hebben niet eens de kwestie van back-up van gegevens aan de orde gesteld.
Elk bedrijf moet een solide back-upstrategie hebben en het maken van een strategie is niet zo eenvoudig als het klinkt. Afhankelijk van hoe u uw gegevens gebruikt, moet u nadenken over hoe vaak er een back-up van moet worden gemaakt, maar misschien nog belangrijker, moet u nadenken over het feitelijke mechanisme voor het maken van back-ups.
In het ideale geval volgt u de 3-2-1-regel, die stelt dat u 3 kopieën van uw gegevens op 2 verschillende plaatsen moet bewaren, waarvan 1 offsite. Als u zich niet aan deze strategie kunt houden, moet u uw back-ups regelmatig testen om te controleren of ze functioneel zijn en moet u ze ook losgekoppeld houden van de rest van uw IT-systemen. Op die manier kan een mogelijke ransomware-aanval geen invloed hebben op de kopieën van uw gegevens.
Dit zijn slechts enkele zaken waarmee u rekening moet houden. Afhankelijk van de onderneming van het bedrijf waarvoor u werkt, kunnen er nog tal van andere factoren zijn waarmee u rekening moet houden. Al met al is het proberen om een bedrijf te beschermen tegen een ransomware-aanval aantoonbaar nog moeilijker dan de rommel op te ruimen nadat deze al is getroffen. Gezien hoe verwoestend de schade zou kunnen zijn, is de inspanning echter de moeite waard.
