Bijna elke organisatie is tegenwoordig afhankelijk van een digitale omgeving. Maar wat als criminelen met ransomware jouw systemen of bestanden vergrendelen? Wat is ransomware eigenlijk precies en hoe kan het binnenkomen in jouw organisatie?
Tekst: Jorien Zwanenveld en Sanne Haumersen
Wat is het?
Ransomware is kwaadaardige software, oftewel malware, die ervoor zorgt dat gegevens op een laptop of smartphone vergrendeld worden voor de gebruiker zodat hij er niet meer bij kan; de gegevens worden ‘gegijzeld’. Ransomware is een probleem omdat kwaadwillenden daarmee ten eerste vertrouwelijke bedrijfsgegevens ongemerkt kunnen inzien of stelen. Ten tweede eisen de kwaadwillenden losgeld in ruil voor het opheffen van deze vergrendeling. Dit losgeld wordt vaak geëist in de vorm van cryptocurrencies – zoals bitcoins – en loopt snel op tot soms zelfs miljoenen euro’s. Ransomware hoeft tegenwoordig niet ontwikkeld te worden door de kwaadwillende zelf, diensten als Ransomware-as-a-Service, waarbij de gijzelsoftware als dienst wordt verkocht, zijn veelvoorkomend.
Hoe kom je eraan?
Er zijn verschillende manieren waarop ransomware uw organisatie kan binnendringen. De software wordt vaak onbewust geïnstalleerd en bevindt zich in veel gevallen enkele weken of maanden op het apparaat of bedrijfsnetwerk voordat het geactiveerd wordt. Een vorm waarbij medewerkers een grote rol spelen is als een gebruiker op een geïnfecteerde link klikt, waardoor de malware op een apparaat wordt gedownload. Deze link wordt bijvoorbeeld in een e-mail verzonden die afkomstig is van een schijnbaar betrouwbare (persoon in de) organisatie. Een dergelijke mail heet phishing, dit is een vorm van digitale oplichting. Een andere veelvoorkomende oorzaak van ransomware is dat de hacker voorafgaand aan de infectie onderzoek doet naar de kwetsbaarheden (vulnerabilities) van een server of applicatie. Op het moment dat de kwaadwillende in een entry point van een server of applicatie een kwetsbaarheid heeft gevonden, is het voor de hacker mogelijk om op afstand de ransomware op het apparaat te installeren.
Hoe voorkom je (gevolgen van) ransomware?
Ransomware-infecties hebben een enorme impact op een organisatie, en herstel van een ransomware-aanval kost veel tijd. Daarom is het verstandig om voldoende voorzorgsmaatregelen te nemen om de kans op een aanval en de impact ervan zo klein mogelijk te houden. Enkele voorbeelden zijn:
Updates en patches
Hackers kunnen kwetsbaarheden in software, apps of operating systems gebruiken om binnen te komen in het bedrijfsnetwerk. Op het moment dat de uitgever van de software op de hoogte is van de kwetsbaarheden, worden patches ontwikkeld om de fouten in de software op te lossen en de beveiliging te verbeteren. Het up-to-date houden van alle softwaresystemen is daarom bijzonder belangrijk.
Anti-virussoftware
Anti-virussoftware kan bijzonder nuttig zijn om verborgen malware te herkennen en aan de deur te weren. Schakel de anti-virussoftware daarom niet uit wanneer de software het downloaden van bestanden belemmert of tegenhoudt.
Social engineering
Wanneer alle technische maatregelen in orde zijn, kan social engineering er alsnog voor zorgen dat ransomware binnenkomt op het bedrijfsnetwerk. Een mix van technische maatregelen en awareness kan ervoor zorgen dat de medewerker niet meer als beveiligingsrisico hoeft te worden gezien. Voorbeelden hiervan zijn een spamfilter en internetblokkades, gecombineerd met regelingen over het privégebruik van werkeigendommen en awareness-trainingen. Ook phishing-simulaties kunnen hier onderdeel van zijn.
Informatie vrijgeven
Hackers en andere kwaadwillenden kunnen gebruikmaken van onschuldige informatie die door het bedrijf wordt vrijgegeven. De beschrijving van werkprocessen en de partijen waarmee informatie wordt gedeeld in de privacyverklaring, nieuwsberichten via LinkedIn, maar ook informatie in vacatureteksten kan worden gebruikt om meer informatie te krijgen over de gang van zaken binnen het bedrijf. Zoekt het bedrijf een IT-er, dan blijkt uit de vacaturetekst vaak welke programmeertaal en frameworks worden gebruikt. Bij gerichte aanvallen is dit zeer waardevolle informatie. Omdat het delen van de informatie noodzakelijk is voor een goede werving, of in het geval van de privacyverklaring zelfs wettelijk verplicht is, is het weglaten van deze informatie vaak praktisch onmogelijk. Wees er wel van bewust dat alle informatie die naar buiten wordt gebracht, hoe onschuldig ook, ingezet kan worden door kwaadwillenden.
Geïnfecteerd! En nu?
Ook al zijn de bovenstaande maatregelen genomen, dan nog kun je slachtoffer worden van een ransomware-aanval. Het is belangrijk om in elk geval kalm te blijven en je niet gek te laten maken door de (tijds)druk die de aanvallers gebruiken.
Betalen of niet?
Het betalen van het geëiste losgeld geeft géén garantie dat de criminelen de decryptiesleutels verschaffen en dat u de toegang tot uw bestanden terugkrijgt. Daarnaast blijven de kwetsbaarheden mogelijk bestaan. Bovendien houdt betaling deze vorm van digitale criminaliteit in stand. Over het algemeen wordt daarom afgeraden om het losgeld te betalen.
Code beschikbaar
Hoe krijgt u zonder te betalen toch toegang tot de systemen en bestanden? Aangezien kwaadwillenden niet altijd zelf de ransomware maken, zijn de codes om de bestanden te ontgrendelen vaak online al beschikbaar. Kijk bijvoorbeeld of de ransom op nomoreransom.org staat, een site van onder andere Europol en de politie.
Aangifte
Ongeacht de oorzaak of vorm van de ransomware: doe altijd aangifte bij de politie, ook wanneer u inmiddels weer bij uw bestanden kunt! Door aangifte te doen krijgt de politie inzicht in de soorten ransomware die worden gebruikt en kunnen meer slachtoffers worden voorkomen. Daarnaast is aangifte vaak een verplichting vanuit uw verzekering, indien u daarop aanspraak maakt.
Jorien Zwanenveld is juridisch adviseur & information security consultant bij ICTRecht en Sanne Haumersen is juridisch adviseur bij ICTRecht.
Er is op dit moment 0 keer gereageerd op:
Je geld of je bedrijfsgegevens
Je kunt niet meer reageren op dit artikel.