Ransomware-aanvallen worden steeds sluwer en complexer. Ze komen ook steeds meer voor. Hoe bescherm jij als IT-manager jouw organisatie tegen deze dreiging?
Het eerste wat je merkt: het ene na het andere bestand wordt ontoegankelijk. Al snel komt de gevreesde boodschap. Je moet losgeld betalen in bitcoin om weer bij jouw bedrijfsbestanden te kunnen. Dan weet je het zeker: jouw bedrijf is het nieuwste slachtoffer van ransomware.
Maar daar blijft het niet bij. Tegenwoordig voeren de criminelen de druk nog verder op met double extortion: ze dreigen om jouw gegevens openbaar te maken. Jouw bedrijfsgeheimen en klantgegevens komen dan op hun website. Of ze verkopen jouw data aan de meestbiedende.
En er is nu zelfs triple extortion: de aanvallers nemen zelf contact op met de media, met klanten en leveranciers. Ze vertellen hen dat ze jou geraakt hebben – en dus hun gegevens hebben. En ondertussen blijven ze jouw bedrijfsnetwerk aanvallen, bijvoorbeeld met DDoS, zodat je jouw systemen niet kunt herstellen.
Slecht idee
Zo kun je dus geen kant meer op. Het bedrijf is lamgelegd en de reputatie zwaar beschadigd. Dan maar losgeld betalen?
Dat is geen eind van de ellende. Allereerst natuurlijk omdat je zo de daders en hun collega’s aanmoedigt. Van de bedrijven die betaalden, kreeg 80% een nieuwe aanval te verduren*. Logisch: als je bereid blijkt ‘zaken te doen’ met cybercriminelen ben je een aantrekkelijk slachtoffer.
Maar losgeld is ook een slecht idee omdat de sleutels van de criminelen vaak slecht werken: 46% van de bedrijven kreeg wel data terug, maar geheel of gedeeltelijk gecorrumpeerd.
En zelfs als de sleutel wèl goed werkt, duurt het decrypten vaak dagen of zelfs weken. Al die tijd kan er geen productie worden gedraaid of is de dienstverlening niet optimaal. Gemiddeld zijn aangevallen organisaties 16 dagen buiten bedrijf.
Niemand is veilig
Dit soort aanvallen komt steeds meer voor. Sinds het begin van de coronacrisis is cybercrime met 600% gegroeid! Dat komt mede doordat de inzet van ransomware is toegenomen. Geen wonder: het is tegenwoordig ruim verkrijgbaar op het dark web en eenvoudig te gebruiken, ook tegen organisaties met honderden of duizenden medewerkers.
Het gemak is dus groot en de opbrengst ook. Bij organisaties zit immers meer geld dan bij particulieren. Ze zijn ook gevoeliger voor reputatieschade; vandaar de triple extortion.
De criminelen hebben geen last van scrupules, want ook tijdens de coronacrisis worden ziekenhuizen en zorgverleners niet gespaard. Daarnaast zijn er natuurlijk allerlei andere organisaties die worden geraakt: telecommunicatiecentra, financiële instellingen, overheidsorganisaties zoals rechtbanken en alle andere soorten bedrijven, van groot tot klein.
Vijf vragen
Het is duidelijk: dit gevaar kan elke organisatie treffen. En elke aanval met ransomware moet in de kiem worden gesmoord.
Maar wat is daarvoor nodig? Is jouw organisatie klaar om een ransomware-aanval af te slaan? De onderstaande vijf vragen kunnen je helpen om het antwoord te vinden.
1. Is jouw endpoint security niet verouderd?
Nu thuiswerken toeneemt, worden laptops vaker een toegangspoort voor malware. Traditionele antivirusproducten herkennen bestaande malware wel, maar de ontwikkelingen gaan tegenwoordig snel. Soms heeft een stuk ransomware in een paar maanden wel drie upgrades. Bovendien kan ransomware zijn eigen code herschrijven terwijl het zich verspreidt over jouw netwerk.
Wat je dus nodig hebt is Next Generation Antivirus (NGAV): die kijkt niet naar de usual suspects, maar naar verdachte gedragingen op de computers. Met machine learning worden het gedrag en de kenmerken van ransomware in beeld gebracht, zodat ook nieuwe malware meteen wordt opgemerkt. Dan is jouw endpoint security klaar voor de aanvallen van morgen, niet alleen die van gisteren.
2. Is jouw endpoint security volledig?
Waarschijnlijk heb je wel security-software draaien op jouw desktops en laptops. Maar zijn de smartphones en tablets ook beveiligd? En endpoint security moet niet alleen kijken naar executables. Ook documenten zoals PDF’s kunnen malware bevatten in de vorm van macro’s. Moderne security-software voorziet in deze behoeften.
3. Wie is sneller: jij of de aanvallers?
Ransomware bevat vaak enorm snelle encryptie-algoritmes. Dus op het moment dat de eerste server wordt versleuteld, is er een race gaande tussen jou en de criminelen. Heb je met jouw huidige beveiliging meteen een goed overzicht van wat er precies gaande is? Waar de dreiging vandaan komt, wat het verband is tussen gebeurtenissen op het netwerk en hoe je de aanval het beste kunt stoppen?
4. Hoeveel menskracht vraagt jouw verdediging?
Een moderne verdediging tegen ransomware werkt met één lichte client per computer. Tegelijk wordt het hele systeem gemonitord vanaf één enkele console, met intuïtieve software. Dat bespaart niet alleen geld, maar voorkomt ook coördinatieproblemen en tijdverlies.
5. Ben jij 24/7/365 paraat?
Cybercriminelen gebruiken elke zwakte in jouw systeem, maar ook in de bemensing. Niet elke organisatie kan dag en nacht, week in week uit, klaar staan om een ransomware-aanval te beantwoorden.
Het kan dus verstandig zijn om de bewaking van jouw bedrijfsnetwerk uit te besteden. Bij een extern Security Operations Center (SOC) zitten experts die voortdurend jouw netwerk monitoren op verdachte activiteiten. Zij kunnen de eerste tekenen van een ransomware-aanval detecteren en meteen ingrijpen. In overleg met hen kun je vooraf bepalen wat voor jouw organisatie belangrijk is. En hoe zij moeten optreden als op een dag de alarmbellen afgaan.
*cijfers zijn gebaseerd op rapportages Cybereason.
