Digitaal dreigingslandschap

Hoe kun je jouw bedrijf beschermen tegen ransomware?

8 minuten leestijd

Ransomware is een type cyberaanval waarbij de aanvallers proberen om de toegang tot gegevens, apparaten of volledige systemen te versleutelen en vervolgens losgeld eisen. Hoe kun je hiertegen beschermen?

Ransomware is een type cyberaanval waarbij wordt geprobeerd toegang tot de gegevens, het apparaat of hele systemen van een slachtoffer te versleutelen, te blokkeren of ernstig te beperken. De mensen achter de ransomware eisen vervolgens losgeld, in ruil voor het verstrekken van de mogelijkheid om de versleutelde bestanden te ontgrendelen. De bestanden blijven ontoegankelijk tot er aan de losgeldeisen is voldaan. Het betalen van het losgeld biedt echter geen garantie dat de aanvallers de bestanden zullen vrijgeven of dat de versleutelde bestanden volledig hersteld kunnen worden. De veroorzaakte schade kan ernstig en wijdverspreid zijn. De grootste ransomware-aanval tot nu toe - WannaCry - trof in 2017 meer dan 230.000 computers in 150 verschillende landen.

Ransomware is tegenwoordig verergerd door de huidige trend van het hybride werken. Tussen januari 2020 en juni 2021 zijn er wereldwijd maar liefst 71 miljard ransomware-aanvallen geweest. Hoewel iedereen een potentieel doelwit kan zijn, zijn MKB-bedrijven een steeds aantrekkelijker doelwit voor aanvallen geworden. Dit komt doordat ze, hoewel ze veel waardevolle klant- en financiële gegevens bezitten, vaak niet over de robuuste beveiligingsmaatregelen beschikken, die grote bedrijven wel hebben. Wat de situatie ook verergert is dat ze zichzelf vaak niet als potentieel doelwit zien. Hierdoor nemen ze minder snel passende maatregelen, zoals een gegevensback-up, om zichzelf te beschermen.

Uit een rapport van Chainalysis blijkt dat het aantal betalingen aan ransomware-aanvallers in de eerste helft van 2023 is gestegen. Zij geven aan dat hoewel er over het algemeen minder criminele activiteiten met cryptocurrency zijn, het aantal ransomware-aanvallen blijft toenemen. In de eerste zes maanden van dit jaar werd er wereldwijd $2,8 miljard aan cryptocurrency naar illegale diensten gestuurd. Dit omvat onder andere duistere online marktplaatsen, malware, oplichting en kindermisbruik. Dit bedrag is een daling van 65% ten opzichte van vorig jaar, maar toch blijft het aantal slachtoffers van oplichting toenemen, met daders die zich vaak voordoen als politieagenten of andere autoriteiten, om geld af te persen. De betalingen aan ransomware-aanvallers bedroegen $449,1 miljoen, waardoor 2023 op weg is naar een van de hoogste totalen ooit. Ransomware-aanvallers richten zich zowel op grote organisaties als individuele slachtoffers.

Voorbeelden van ransomware

Hoewel we verschillende varianten van ransomware hebben gezien sinds de opkomst ervan in 1989, zijn er twee overkoepelende soorten: Lockers en Cryptors. Daarnaast is er een derde variant genaamd Wiper.

Lockers versleutelen bestanden, denk hierbij bijvoorbeeld aan een screenlocker ransomware. Het neemt het volledige scherm over met een melding of waarschuwing die beweert dat je bijvoorbeeld een illegale activiteit hebt uitgevoerd of dat je geïnfecteerd bent met een virus. Je kunt het normale gebruik van je apparaat niet hervatten totdat je losgeld betaalt of andere eisen van de aanvaller vervult.

Een Cryptor versleutelt de bestanden, een voorbeeld hiervan in crypto-ransomware. Het kan documenten, afbeeldingen, video's, audio en andere bestanden versleutelen met behulp van sterke encryptie-algoritmen. Zodra de bestanden zijn versleuteld, krijg je een losgeldbericht met instructies over hoe je het losgeld kunt betalen om de decryptiesleutel te ontvangen.

De derde variant, Wiper, is een bijzondere vorm van malware die zich kan voordoen als ransomware. Het belangrijkste verschil is dat Wiper geen daadwerkelijke betalingsmogelijkheden biedt, wat betekent dat zelfs als het slachtoffer bereid is losgeld te betalen, er geen manier is om de bestanden te herstellen. In plaats daarvan is het doel van Wiper om schade aan te richten en gegevens permanent te wissen. Het kan bijvoorbeeld systemen aantasten, bestanden vernietigen of het besturingssysteem onbruikbaar maken. Dit type malware kan aanzienlijke verstoringen en verlies van gegevens veroorzaken, zonder enige mogelijkheid tot herstel.

 

Wat kan ransomware voor jouw organisatie betekenen?

De toenemende dreiging van ransomware-aanvallen en de potentiële verwoestende gevolgen ervan kunnen aanzienlijke gevolgen hebben voor organisaties. Dit zijn een aantal mogelijke gevolgen van ransomware voor jouw organisatie:

1. Verlies van bedrijfsgegevens:
Ransomware kan leiden tot het verlies of de versleuteling van gevoelige bedrijfsgegevens, zoals klantinformatie, financiële gegevens, intellectueel eigendom en andere vertrouwelijke informatie.

2. Financiële verliezen:
Ransomware-aanvallers eisen vaak aanzienlijke losgeldbedragen in ruil voor het vrijgeven van versleutelde gegevens. Het betalen van losgeld is echter geen garantie dat de gegevens worden hersteld. Zelfs als het losgeld wordt betaald, kan het bedrijf nog steeds grote financiële verliezen lijden door onderbrekingen van de bedrijfsactiviteiten, verlies van klantvertrouwen en herstelkosten.

3. Verstoring van bedrijf scontinuïteit:
Een ransomware-aanval kan leiden tot langdurige downtime en verstoring van de bedrijfscontinuïteit. Wanneer systemen, netwerken en applicaties versleuteld zijn of niet toegankelijk zijn, kunnen medewerkers niet normaal werken, klantenservice wordt belemmerd en essentiële bedrijfsprocessen komen tot stilstand.

4. Reputatieschade:
Ransomware kan ernstige reputatieschade veroorzaken voor een organisatie. Klanten verliezen mogelijk het vertrouwen in de organisatie en kunnen kiezen voor concurrenten die beter bekendstaan om hun beveiligingsmaatregelen. Dit kan leiden tot een verlies van klanten, partnerschappen en zakelijke kansen op lange termijn.

 

Tot slot kan het herstellen van systemen en het heropbouwen van gegevens na een ransomware-aanval een langdurig en complex proces zijn. Het vergt tijd, middelen en expertise om de geïnfecteerde systemen te herstellen, back-ups terug te zetten en beveiligingsmaatregelen te versterken om toekomstige aanvallen te voorkomen. Het is dus belangrijk om de risico’s op een ransomware-aanval zo veel mogelijk te beperken.

Wat kun je doen om de risico’s op een ransomware-aanval te beperken?

    • Houd aanvallers buiten de deur
      Preventie is het beste medicijn, veel ransomware-aanvallen vinden geautomatiseerd plaats, daarom is het sluiten van digitale ramen en deuren het allerbelangrijkste wat je kunt doen. Zorg dat alle apparaten en systemen die op het internet zijn aangesloten up-to-date zijn. Zorg daarnaast voor tweefactorauthenticatie (MFA) op alle portalen waarop je kunt inloggen.
    • Beperk de impact – scheid je netwerk
      Door middel van netwerksegmentatie (digitale branddeuren die je netwerk scheiden) maak je het aanvallers veel lastiger om van de ene computer, naar de andere te verbinden, als men eenmaal binnen is. Bespreek deze aanpak met je IT-dienstverlener.
    • Opstellen van een responseplan
      Het is verstandig om van tevoren een plan op te stellen voor je bedrijf tegen, maar ook na een ransomware-aanval. Zo zijn je werknemers op de hoogte en kan de IT-omgeving waar nodig aangepast worden.
    • Back-ups
      Om na een ransomware-aanval je data terug te krijgen is een back-up vaak de enige oplossing. Het is dus handig om regelmatig een back-up te maken op een ander platform, zodat de verloren data altijd vindbaar is.
    • Tot slot: het trainen van werknemers
      Regelmatige deelname aan Cybersecurity Awareness Training om werknemers bewust te maken van phishing, online oplichting en andere technieken die cybercriminelen hanteren. Nog beter is om regelmatig trainingselementen terug te laten komen in de dagelijkse manier van werken

Door het nemen van deze concrete maatregelen kunnen bedrijven het risico op een ransomware-aanval beperken en hun gegevens en systemen effectief beschermen tegen deze groeiende cyberdreiging.

Wat kun je doen als jouw organisatie is geïnfecteerd met ransomware?

1. Laat het de betrokkenen weten:
Neem altijd direct contact op met de ICT-helpdesk en breng al je IT-leveranciers binnen en buiten jouw organisatie op de hoogte.

2. De getroffen apparaten isoleren:
Wanneer een apparaat binnen jouw organisatie getroffen is door een ransomware-aanval is het verstandig om het apparaat te isoleren van de andere apparaten binnen jouw bedrijf door bijvoorbeeld de netwerkverbinding te verbreken.

3. Probeer de versleutelde bestanden te ontsleutelen:
Dit is mogelijk met gebruik van herstelprogramma’s, deze worden ook wel decryptors genoemd. Een aantal herstelprogramma’s kun je hier vinden. Er is helaas geen zekerheid dat de beschikbare decryptors werken tegen de specifieke ransomware op jouw apparaat.

4. Haal de gegevens terug met back-ups:
Wanneer er geen geschikte decryptor beschikbaar is, dan kun je de gegevens terug halen met de gemaakte back-ups op een ander platform.

5. Doe aangifte:
Het is altijd van toegevoegde waarde om aangifte te doen bij de politie, via 0900-8844.

6. Begin!
Begin met het gezonder maken van je digitale omgeving, raadpleeg hiervoor ook de basisprincipe beveiliging voor het MKB welke je hier kan vinden.

 

Ben je benieuwd naar aanvullende tips? Bekijk dan de website van Fraudehelpdesk.