CYBER SECURITY.
CYBER SECURITY.
Websec
Preventie
Inzicht
Cyberlab

Wat te doen bij een ransomware-aanval

Ze gaan niet goed samen, maar zijn toch onlosmakelijk aan elkaar verbonden: stress en ransomware. Waar gezond verstand onmisbaar is tijdens een cyberaanval, weet de schrik de besten te verleiden tot onhandige acties. Terwijl die eerste acties na een aanval bepalend zijn voor de grootte van de totale schade.
4 november, 2020

Wat te doen bij een ransomware-aanval? In dit artikel geven we tips om ondanks de blinde paniek, toch met gezond verstand te handelen tijdens een cybernoodsituatie. Zorg dat u ondanks de stress ook de meest elementaire stappen niet overslaat. Zoals eerst rustig in en uit ademen.

Noodnummer

> Bel of app naar 040-2095020 voor directe hulp bij cybercrime.

 

Het gevaar van Ransomware

Allereerst: wat voor gevaar loopt u bij een Ransomware-aanval? Ransomware is een vorm van Malware die gegevens op een computer blokkeert door het te encrypten. Ransomware staat ook wel bekend als “gijzelsoftware”, dit omdat de data gegijzeld wordt en de aanvaller deze pas bij betaling van losgeld terug belooft te geven.

Het grote gevaar van Ransomware is dat het zich razendsnel kan verspreiden. Het is van essentieel belang te voorkomen dat ook andere delen van uw data gegijzeld raken. Dus: wat te doen bij een Ransomware-aanval? Hier onze tips:
 

1. Blijf kalm

Het hoofd koel houden is vanzelfsprekend de eerste stap: het maakt adequaat handelen een stuk haalbaarder. Haal diep adem. Tel desnoods tot 10. Zorg ervoor dat u pragmatisch te werk gaat en niet emotioneel. Ondersteuning hierbij nodig? Bel dan een noodnummer: zij loodsen u er doorheen.
 

2. Stel de back-up veilig

Wanneer ransomware toeslaat, is het voor de continuïteit van uw bedrijf het belangrijkst om direct de back-ups veilig te stellen. Zo voorkomt u dat deze versleuteld worden. Haal de back-up server offline zodat er geen netwerk connectie meer mogelijk is naar deze server of opslag locatie. Maakt u eveneens gebruik van offline back-ups? Bevestig dan dat deze momenteel niet gekoppeld is aan een server.

Over back-ups gesproken: zorg dat logbestanden altijd extern worden opgeslagen.
 

3. Stop (wanneer mogelijk) de internetverbinding

Ransomware beperkt zich niet tot één apparaat. Wanneer er een besmetting plaats heeft gevonden, is het dan ook zaak de apparaten die nog niet zijn geïnfecteerd te beschermen. Door de internetverbinding te stoppen, verkleint u de kans dat andere systemen versleuteld raken. De encryptie sleutel kan dan niet meer uitgewisseld worden. Dat zit zo:

In de meeste gevallen neemt de ransomware bij activatie eerst contact op met de server van de aanvaller. Dit gaat via het internet. Op deze server staat in sommige gevallen de encryptie sleutel. Dit proces kan ook andersom werken: het systeem met de ransomware genereert dan een encryptie sleutel en start de encryptie nadat de sleutel is geüpload naar de server van de aanvaller. Zonder internetverbinding is dit niet mogelijk.

Let op: schakel het geïnfecteerde apparaat niet uit. Dit kan sporen wissen die juist belangrijk zijn om te onderzoeken hoe alles heeft kunnen gebeuren.
 

4. Isoleer het besmette apparaat

Om verdere besmetting te voorkomen, is het stoppen van al het netwerkverkeer van de geïnfecteerde systemen ook verstandig. Zeker wanneer u er op tijd bij bent en weet waar de besmetting zit, kan u gericht actie ondernemen. Ontkoppel ook direct alle apparaten en externe harde schijven als deze aangesloten zijn.
 

5. Zet nog meer processen stil

Het doel is de ransomware zo snel mogelijk zo min mogelijk bewegingsvrijheid te geven. Het stoppen van de internetverbindingen en netwerkverbindingen draagt hier al groots aan bij. Maar om nog een stap verder te gaan, is het verstandig ook belangrijke systemen zoals servers uit te schakelen of – in het geval van virtual machines – te pauzeren.

Disable daarnaast alle vormen van communicatie die geen two-factor authentication vereisen. Loop verdachte IP-adressen na en blokkeer deze allemaal.
 

6. Verander voor de zekerheid alle (belangrijke) wachtwoorden

Dit is een stap die bij geen enkele cyberaanval overgeslagen mag worden: verander alle wachtwoorden. Zo maakt u de kans kleiner dat een aanvaller toegang blijft houden tot uw infrastructuur

 

Zorg dat u de juiste kennis in huis hebt

Bovenstaande stappen zijn technisch van aard. Controleer daarom altijd wat het technisch kennisniveau binnen uw organisatie is. Twijfelt u of uw medewerkers deze stappen adequaat kunnen doorlopen? Schakel dan altijd een expert in. Dit om onnodige schade door verkeerd uitgevoerde acties te voorkomen.

 
Ook kan het opsporen van het initieel besmette apparaat een grote uitdaging zijn voor iemand met (te) weinig kennis van cyber security. Zeker wanneer uw organisatie geen gebruik maakt van een SIEM of SOC.
 
Nog beter is natuurlijk een ransomware-aanval volledig voorkomen: een expert kan u hier ook bij helpen.

 

De schade is beperkt, wat nu?

Laten we allereerst voorop stellen: bovenstaande maatregelen lossen het ransomware-probleem niet volledig op. Ze beperken de schade zoveel mogelijk. Toch mag u er – helaas – van uit gaan dat er altijd schade is na een ransomware-aanval: schade die u zo snel mogelijk wil verhelpen om negatieve invloed op de bedrijfscontinuïteit zoveel mogelijk te voorkomen.
 

1. Documenteer de stappen die u genomen hebt

Welke acties hebt u genomen nadat u de ransomware-aanval had gedetecteerd? Documenteer deze stappen grondig, het liefst aangevuld met een timestamp. Documentatie draagt bij aan een overzichtelijk onderzoek achteraf. Ook helpt het met het inschatten van de schade.
 

2. Draag de casus over aan een gespecialiseerd onderzoeksteam

Bij het herstellen van de schade en het onderzoeken van de aanval moet u secuur te werk gaan. Zo is het bijvoorbeeld niet aan te raden een gecompromitteerd account te gebruiken voor verder onderzoek. Cybersecurity experts weten de risico’s goed in te schatten en adequaat te handelen. Zo gaat een ransomware-aanval vaak gepaard met meerdere aanvallen: misschien lijken bepaalde systemen nog goed te werken, maar blijken ze in de praktijk ook aangevallen.

Experts geven u een helder beeld van de situatie. Daarnaast weten ze welke stappen ze moeten zetten om de schade te verkleinen en een tweede aanval te voorkomen.
 

3. Herzie samen met een cybersecurity expert uw securitybeleid

De cybersecurity expert zal waarschijnlijk aanvullende securitymaatregelen adviseren. Misschien moet er iets veranderen in uw beleid? Wellicht is het verstandig meer inzicht te krijgen in kwetsbaarheden en deze voortaan op tijd te verhelpen? Kijk samen met de expert naar welke maatregelen bij uw organisatie passen en welke ook haalbaar zijn.
 

Voorkom een ransomware-aanval

Vaak wanneer u zelf merkt dat er een ransomware-aanval gaande is, is er al schade gemaakt. Het is daarom beter om een aanval A. Te voorkomen en B. Op tijd te herkennen als het toch gebeurt. Met een SIEM of SOC bent u op de hoogte van wat er gebeurt in uw digitale infrastructuur. Zo bent u in staat veel sneller in actie te komen wanneer er nood aan de man is.

Daarnaast helpen de logs die een SIEM genereert ook bij het onderzoek achteraf. Het is veel eenvoudiger te herkennen waar het mis is gegaan en hoe u een ransomeware-aanval in de toekomst voorkomt. Met een cybersecurity expert in gesprek over het voorkomen van ransomware-aanvallen? Neem vrijblijvend contact met ons op.

Meer kennis over cyber security?

Neem vrijblijvend contact met ons op als u vragen hebt.

Op de hoogte blijven van ontwikkelingen?

Klik hier om u in te schrijven voor onze nieuwsbrief.

Wij werken met veel plezier o.a. voor