Voorkom dat ransomware ‘gehackt’ maakt van jouw organisatie
In de afgelopen 30 jaar heeft ransomware zich ontwikkeld van een relatief onschadelijke verschijning tot een groot risico voor gebruikers van alle platforms. En specifiek voor bedrijven. In de beginjaren klikte je ‘iets’ aan en werd dat versleuteld. Nu is dat wel anders: een aanvaller komt digitaal binnen als een paard van Troje en helpt stapsgewijs je hele IT-omgeving om zeep. Hele organisaties worden platgelegd door bestanden te versleutelen welke pas tegen betaling weer beschikbaar komen. Als de hacker tenminste na betaling de gemaakte herstelafspraak nakomt.
Net zoals de hele IT sector zich heeft ontwikkeld, hebben aanvallers zich natuurlijk ook verder ontwikkeld en opereren ze steeds slimmer en doeltreffender. En de schade door ransomware loopt snel op: Infosecurity Magazine verwacht voor 2021 dat de totale schade meer dan twintig miljard dollar (17,2 miljard euro) zal zijn. Naast financiële schade groeien ook andere consequenties. Sinds 2020 lijkt een nieuwe duale aanpak voor ransomware de trend te zijn geworden. Enerzijds het versleutelen van data en het vragen van losgeld. Anderzijds werden gegevens (voordat ze versleuteld werden) naar de cybercriminelen verzonden. Ook dit laatste maakt een organisatie natuurlijk erg kwetsbaar. Dreigementen om de informatie te lekken naar concurrenten of om deze te publiceren volgden direct. Gegeven de privacy gevoeligheid van persoonsgegevens én bedrijfsgeheimen kan een dergelijk scenario fataal zijn voor een organisatie. Daarnaast adopteerden cryptomalware aanvallers een reeks verschillende tactieken in 2020. Denk aan het veilen van gestolen data of het delen van expertise onder verschillende criminele ‘cartels’.
Naast de financiële buit is er voor de ‘goede’ hacker nog een tweede incentive; je krijgt, als je het écht ‘goed’ doet en een grote vis aan de ‘hack’ slaat, de nodige media aandacht op de koop toe. En een beetje hacker doet het natuurlijk ook voor het opvijzelen van zijn ego. Want, hoe goed moet het voelen als je de macht over een grote organisatie met veel aanzien overneemt en hoe slim moet je zijn om dat voor elkaar gekregen te hebben?
Dat laatste is zeer de vraag. Duidelijk is dat elke organisatie zich moet wapenen tegen ransomware. Maar in hoeverre zijn de meeste organisaties daadwerkelijk goed beschermd tegen hackers? Hoeveel budget wordt er op tafel gelegd voor goede security maatregelen? Hoewel het bewustzijn van de risico’s groeit is er nog steeds de neiging om dit onderwerp te zien als ‘de ver van mijn bed show’ en wordt er nog steeds te veel en te gemakkelijk op beknibbeld. Alleen al als je kijkt naar hoe weinig bedrijven een goed en daadwerkelijk getest, disaster recovery plan hebben, zoals we in het blog omtrent dit onderwerp hebben beschreven. Terwijl je je kunt afvragen wat nu slimmer is: investeren in voorkomen of investeren in genezen?
Voorkomen begint met je te verdiepen in ransomware, want hoe werkt dat nu eigenlijk en hoe kun je je er tegen wapenen? Ransomware heeft vaak dezelfde fases:
- Infectie (middels bijvoorbeeld een bijlage in een phishing mail),
- delivery en executie (na klikken wordt kwaadaardige software geïnstalleerd en verleent de hacker zichzelf toegang tot een machine in het netwerk)
- onderzoek (nadat de hacker zichzelf toegang tot het netwerk heeft verschaft gaat deze onderzoeken hoe herstel door de organisatie als reactie op de versleuteling van data onmogelijk gemaakt kan worden.)
- infecteren back-ups en disaster recovery oplossingen (kenmerkend voor ransomware, om te voorkomen dat de back-up gebruikt wordt om alles te herstellen)
- versleutelen van bestanden en de losgeldeis wordt kenbaar gemaakt.
- na betaling (vaak in bitcoin) wordt, als het goed is, de sleutel voor decryptie ontvangen en kunnen de bestanden in hun oorspronkelijke vorm hersteld worden.
Hoe krijg je nu bij een ransomware besmetting weer toegang tot je bestanden? Vaak is de enige oplossing om de back-up terug te zetten of een (ander) disaster recovery plan uit te voeren. Het is dan ook essentieel altijd een goed én getest disaster recovery plan voorhanden te hebben. Zonder dat is de kans groot dat je enorme bedragen moet betalen om de bestanden terug te krijgen. En los van het bedrag, de potentiële imago schade, de risico’s met betrekking tot schending privacy persoonsgegevens én het wereldkundig maken van bedrijfsgeheimen, is het natuurlijk maar de vraag hoe betrouwbaar je ‘zakenpartner’ is in het nakomen van de afspraken.
Maar er is ook goed nieuws want in het kat-en-muis-spel; 'beter beveiligen en slimmer inbreken' is er nog een middel beschikbaar gekomen. Detectie op aanwezigheid van hackers binnen het netwerk. Natuurlijk wil je hackers al tegenhouden bij de deur. Maar mocht er ééntje zich toegang verschaffen tot een machine, dan wil je dit direct detecteren zodat je het gevaar in de kiem kunt smoren. Tijdens het in kaart brengen van jouw IT-omgeving en voordat disaster recovery mogelijkheden de nek omgedraaid worden.
Om je tegen aanvallen te beschermen is het dus belangrijk om je aan een aantal veiligheidsregels te houden, zoals voorbereiding, detectie, controle, beheersing, verwijdering en herstel. We kunnen het niet vaak genoeg zeggen: bezuinig niet op back-up, disaster recovery, detectie en security! Vraag experts om dat in te richten en werp zoveel mogelijk drempels op voor eventuele hackers. Als de hack onverhoopt alsnog succesvol is, is het belangrijk om hulp te vragen bij experts en niet zomaar mee te gaan in de eisen van de cybercriminelen. De gemiddelde crimineel heeft tenslotte betrouwbaarheid niet tot kernwaarde verheven.
Checken of je eigen organisatie voldoende beschermd is tegen cybercriminaliteit? Stuur mij een DM of bel ons op 088 099 00 00.
In deze blog ‘estafette’ behandelen we de volgende keer het verschil tussen back up en disaster recovery in een snel veranderende wereld, dus stay tuned en volg ACC ICT voor meer!