Wanneer je organisatie getroffen wordt door ransomware is het van groot belang dat jij degene bent die nuchter blijft handelen. Blinde paniek helpt niet!! En zeker niet in dit geval.
De juiste aanpak kan het verschil maken tussen een organisatiebrede besmetting en encryptie of een incident op beperkte schaal. Voorkomen is uiteraard beter dan genezen. Het hebben van een Cyber Response Plan helpt bij het voorkomen, maar ook bij het snel weer up and running zijn.
Maar een aanval met ransomware kan elke organisatie overkomen.
Een verkeerde klik zit in een klein hoekje en geen enkel systeem is hack-proof. Hieronder een aantal stappen die je moet volgen om de impact van de ransomware activiteit te beperken.
1. Isoleer de besmette systemen.
Ransomware zal vanaf een besmet systeem bestanden in het netwerk gaan encrypten. Tegelijkertijd gaat het op zoek naar andere systemen in het netwerk om deze ook te besmetten, zodat de ransomware ook vanaf deze systemen het werk kan doen. Om de besmetting beperkt te houden is het dus belangrijk om de getroffen systemen zo snel mogelijk van het netwerk af te halen, door bijvoorbeeld de (virtuele) netwerkkabel uit het systeem te halen of de wifi-verbinding te verbreken. Zet het apparaat liever niet uit, dit om toekomstig onderzoek niet te frustreren. Maar als het niet anders kan, dan kan het niet anders, dan uit met die machine. Voor toekomstig onderzoek is het aan te raden om de malware nog niet te verwijderen van het geinfecteerde systeem, het apparaat is buiten spel gezet en kan geen kwaad meer doen.
2. Stel je backups veilig.
Een goede backup is de meest effectieve remedie tegen een ransomware aanval, dat weten de makers van ransomware echter ook. Sommige moderne ransomware varianten gaan actief op zoek naar backupvoorzieningen in het netwerk en zullen ook deze proberen te versleutelen of te verwijderen. Het komt ook voor dat hackers de backup onklaar maken of verwijderen alvorens de ransomware los te laten op het netwerk. Dus zorg er voor dat je backups niet bereikbaar zijn vanaf het reguliere netwerk en, zo mogelijk, ontkoppel de backup media gedurende de ransomware aanval. Gebruik voor je backup voorzieningen unieke gebruikersnamen en wachtwoorden en hanteer de 3-2-1 regel voor backups.
3. Schakel onderhoudstaken uit op geinfecteerde systemen.
Automatische onderhoudstaken moeten uitgeschakeld worden op geinfecteerde systemen. Het is niet wenselijk om bijvoorbeeld logbestanden op te schonen en tijdelijke bestanden weg te gooien. De logbestanden kunnen waardevolle informatie bevatten om de bron van de aanval te herleiden. Er zijn voorbeelden van ransomware die de encryptiesleutel bewaarden in tijdelijke bestanden.
4. Maak backups van de geinfecteerde systemen.
Het is sterk aan te raden om backups van besmette/geëncrypte systemen te maken om verlies van data te voorkomen, met name als je niet weet of je de data kunt herstellen. Er is een voorbeeld van een decryptie programma dat de te decrypten bestanden beschadigde, in dit geval kon de data helemaal niet teruggehaald worden. Als er iets mis gaat in het decryptieproces dan is het wenselijk om een backup te hebben. Het is ook handig om een kopie van de versleutelde data te hebben als in de toekomst de decryptiesleutel beschikbaar komt. Het komt voor dat ransomwaremakers opgepakt worden en er een decryptiekey beschikbaar komt. Ook stellen sommige ransomwaremakers de key beschikbaar bijvoorbeeld bij het stoppen van hun activiteiten, zoals TeslaCrypt, Crysis en anderen hebben gedaan.
5. Op zoek naar de bron van ellende.
Zoek en vind patiënt nul, het systeem van waaruit de infectie heeft kunnen plaatsvinden. Het is uitermate belangrijk om uit te vinden hoe de malware is binnengekomen, sowieso om toekomstige aanvallen tegen te gaan, maar ook om te achterhalen wat er nog meer is gebeurd op het netwerk. Het kan erg lastig zijn om uit te vinden wat er precies is gebeurd en het is mogelijk dat hackers al weken actief zijn op het systeem alvorens de ransomware los te laten. Schakel hulp in als je hier niet alleen uitkomt.
6. Is er een decryptietool beschikbaar?
Er worden op het internet decryptietools beschikbaar gesteld, maar dan zul je eerst moeten weten welke ransomware variant jou heeft getroffen. Zoek in je favoriete zoekmachine maar eens op 'ransomware id'. Met een beetje geluk wordt de ransomware variant herkend en met nog meer geluk is er een decryptietool beschikbaar. Op het moment van dit schrijven zijn goede sites o.a. ID ransomware en NoMoreRansom.
7. Betalen of niet betalen?
Als je geen goede backups hebt en er geen decryptietool beschikbaar is, dan wordt voor het gevoel het betalen van de aanvaller een aantrekkelijke optie. Ieder moet natuurlijk voor zich bepalen of er geen andere uitwegen zijn, maar denk goed na voordat je betaalt. Het is namelijk niet gegarandeerd dat je ook ook werkelijk een decryptietool krijgt, één op de twintig ontvangt geen sleutel na betaling van het losgeld. Het kan ook zomaar zijn dat de decryptietool niet goed werkt en je alsnog je data kwijt bent. Met het betalen van de aanvaller houd je een business model in stand en spoor je aan tot meer aanvallen. Het volgende doe je in ieder geval NIET na een ransomware aanval:
- Voer geen herstart uit op de geinfecteerde apparaten; Een herstart van een apparaat kan verder onderzoek naar het apparaat in de weg staan. Het kan ook zijn dat het apparaat dusdanig geinfecteerd is dat het niet meer opkomt na een herstart. De Jigsaw ransomware verwijderde zelfs 1000 willekeurige bestanden bij elke herstart van geïnfecteerd apparaat.
- Pas op met het aansluiten van externe media; Sluit niet zomaar een USB-stick of -schijf aan op een geinfecteerd apparaat. De data op de USB-media kan ook versleuteld worden als de ransomware nog actief is en het medium zou gebruikt kunnen worden voor verspreiding van de ransomware.
- Betaal niet direct het losgeld; Betaal niet direct het losgeld, maar onderzoek de opties die je hebt in de tijd die je hebt.
- Verwijder geen bestanden; Verwijder geen bestanden van de getroffen systemen, tenzij dit expliciet geadviseerd wordt door een deskundige. De systemen kunnen bestanden bevatten die onmisbaar zijn voor de decryptie.
- Communiceer niet over het getroffen netwerk; De kans is aanwezig dat hackers ook meeluisteren en meelezen op het getroffen netwerk. Communiceer via alternatieve communicatievoorzieningen tijdens en direct na de aanval, totdat zeker is dat het netwerk vrij van hackers is.
- Vertrouw de aanvallers niet; De aanvallers handelen ter kwader wil, je kunt ze niet vertrouwen. Wie garandeert dat je de decryptietools ontvangt na betaling van het losgeld?
Wat doe je om een ransomware aanval te voorkomen?
Voorkomen is beter dan genezen, maar let wel een ransomware aanval kan bijna iedereen overkomen. Het hebben van een Cyber Response Plan helpt bij het voorkomen, maar ook bij het snel weer up and running zijn. We assisteren bedrijven bij het opstellen van zo'n Cyber Response Plan.
De volgende tips helpen je sowieso al bij het beperken van het risico. Dus doe er je voordeel mee!
- Gebruik Multi Factor Authenticatie om je digitale omgeving beter te beveiligen.
- Gebruikersnamen en wachtwoorden; Zorg er voor dat gebruikers met regelmaat hun wachtwoord moeten wijzen en gebruik lange wachtwoorden of wachtzinnen. Het systeem moet beveiligd worden tegen brute force aanvallen door bijvoorbeeld account lockout na 10 keer een verkeerd wachtwoord ingevoerd te hebben.
- Beperk de rechten van gebruikers (least privilege); Geef gebruikers precies genoeg rechten om hun werk te kunnen doen, niet meer en niet minder. Als encryptie plaatsvindt via een gebruikersaccount, dan kan er niet meer versleuteld worden dan datgene waar de gebruiker rechten heeft.
- Training; Train de gebruikers om alert te zijn op 'ongewoon' gedrag. Als de directeur nooit vraagt om direct geld over te maken, wat is er dan deze keer aan de hand? Train de gebruikers om niet zomaar op linkjes te klikken. Leer de gebruikers dat Microsoft Word niet voor niets documenten in 'alleen lezen' modus opent en dus niet zomaar op 'bewerken' moeten klikken. Er zijn genoeg mogelijkheden om je gebruikers te trainen, ITPG kan hierbij ook helpen.
- Kijk met regelmaat je Active Directory na op oude of ongewenste accounts. Bekijk dan ook of er afwijkende accounts zijn met administratieve rechten.
- Segmenteer je netwerk; ransomware kan niet een netwerksegment scannen waarvan het niet weet dat het segment er is.
- RDP wordt veel gebruikt voor aanvallen. Sluit rechtstreekse RDP poorten af (ook als ze een ander poortnummer hebben), maak liever gebruik van een gateway met MFA, of een VPN met MFA.
- Zorg voor een goede en een goed ingerichte backupvoorziening, denk na over wat je wilt beveiligen en op welke manier je wilt beveiligen. Test je backups.
- Controleer of je anti-malware software nog voldoet, wellicht past een next-gen anti-malware product beter.
- Sluit een Cybersecurity verzekering af.
Het risico en de gevolgen van een ransomware aanval kunnen beperkt worden door de juiste procedures klaar te hebben liggen. Denk op voorhand goed na over de procedures en volg de procedures op het moment dat je ze nodig hebt.
Bovenstaande stappen helpen om de procdures op te stellen, maar het zijn algemene stappen en wellicht beperkt navolgbaar in jouw situatie, wellicht zijn er in jouw situatie andere zaken van belang die aandacht vereisen.