Ga direct naar inhoud

Ransomware

Sinds enkele jaren neemt de dreiging van ransomware wereldwijd toe. Deze kwaadaardige software kan elke organisatie treffen die niet de juiste maatregelen heeft genomen. De laatste jaren is er een nieuwe trend zichtbaar: kwaadwillenden voeren meer gerichte ransomware-aanvallen uit, op doelwitten die een hoger losgeldbedrag kunnen betalen.

Wat is Ransomware?

Ransomware is malware die de databestanden van gebruikers versleutelt, met als doel om deze later te ontsleutelen in ruil voor losgeld. In extreme gevallen blokkeert de ransomware de toegang tot het IT-systeem door ook systeembestanden te versleutelen die essentieel zijn voor de goede werking van het systeem. Gezien het destructieve karakter van ransomware-aanvallen is het vaak moeilijk om de logbestanden te herstellen en te achterhalen wat er daadwerkelijk is gebeurd. Hackers kunnen intellectueel eigendom of persoonsgegegevens hebben gestolen, waarbij zij ransomware inzetten om hun echte bedoelingen te verbergen.

Er zijn twee soorten ransomware: een locker vergrendelt het toegangsscherm van een systeem. Een cryptor versleutelt de bestanden op het geïnfecteerde systeem met behulp van encryptie algoritmes. Geavanceerde soorten ransomware kunnen naast lokale IT-systemen ook harde schijven, databases, back-ups, USB-sticks en gegevens in de cloud versleutelen. Beide soorten ransomware eisen dat het slachtoffer een losgeldbedrag (de ‘ransom’) betaalt, om de computer weer normaal te kunnen gebruiken. Dit losgeld wordt vaak geëist in de vorm van een crypto-currency, zoals Bitcoin.

Ransomware-infecties verschillen nauwelijks van andere malware-infecties. De maatregelen die een organisatie hiertegen kan nemen zijn ook grotendeels hetzelfde. Afhankelijk van de volwassenheid van uw organisatie kan de impact van een ransomware-aanval uiteenlopen van een minieme irritatie tot een grootschalige verstoring van het primaire proces.

Wat is de impact van een ransomware-aanval?

Ransomware beperkt de toegang tot systemen of data totdat er een oplossing is gevonden. Dit kan leiden tot serieuze schade: denk hierbij aan onveilige (werk)situaties, financiële schade en reputatieschade. Ransomware heeft niet alleen impact op jouw eigen organisatie, maar ook op jouw omgeving. Zelfs met zorgvuldig ingerichte back-ups kan het enige tijd duren voor de primaire processen van jouw organisatie weer op orde zijn. Gedurende deze downtime moet een organisatie mogelijk haar bedrijfscontinuïteitsprocessen in werking stellen.

Bij gerichte ransomware-aanvallen heeft een kwaadwillende toegang tot de IT-systemen van jouw organisatie. Dit brengt mogelijk de integriteit en de vertrouwelijkheid van jouw data in gevaar. Verder kan het zo zijn dat het systeem ook met andere types malware is geïnfecteerd naast de ransomware. Een succesvolle ransomware-aanval treft niet alleen de versleutelde data. Het levert potentieel ook indirecte of zelfs blijvende schade op. Hoe je de impact van een aanval beperkt, staat beschreven in de factsheet over ransomware.

Wat moet ik doen om ransomware te voorkomen?

Er bestaat geen wondermiddel tegen ransomware-aanvallen. Ransomware is een van vele varianten van malware. De maatregelen die je kunt nemen tegen ransomware komen daarom grotendeels overeen met maatregelen die uw systemen beschermen tegen andere malware. Het doel van ransomware is vaak financieel gewin. Het is daarom aan te raden om jouw netwerk te beschermen met een in-depth verdedigingssysteem, zodat een kwaadwillende meer moeite moet doen voor het uitvoeren van een succesvolle ransomware-aanval. Criminelen zullen de potentiële winst inschatten, en opgeven als de aanval waarschijnlijk te veel tijd in beslag neemt in verhouding tot het losgeld dat ze kunnen krijgen.

Het NCSC geeft 5 tips om ransomware te voorkomen:

  1. Bescherm tegen phishing
  2. Organiseer vulnerability management, patch management en netwerk segmentering
  3. Beperk de mogelijkheden van code execution
  4. Filter webbrowser verkeer
  5. Beperk USB-gebruik

Deze tips staan verder uitgewerkt in de factsheet over ransomware.

Wat moet ik doen als mijn organisatie geïnfecteerd is?

Ransomware versleutelt jouw bestanden. Het terugzetten van data door middel van een back-up is de meest betrouwbare oplossing om weer over deze bestanden te beschikken. Als het niet mogelijk is om de bestanden door middel van een back-up te herstellen, is het raadzaam om na te gaan of er een decryptor bestaat. Dit kan bijvoorbeeld op de website van het No More Ransom’-project, een initiatief van politiediensten en private partijen.

Bij een beperkte infectie

Bij een netwerkbrede infectie
  1. Verwijder het geïnfecteerde systeem uit het computernetwerk.
  2. Verwijder de ransomware uit het geïnfecteerde computersysteem. Het systeem wordt indien nodig volledig opnieuw geïnstalleerd.
  3. Meld de infectie bij de politie.
  4. Herstel het IT-systeem met behulp van een back-up.
  1. Stel uw calamiteitenplan in werking.
  2. Sluit uw netwerk af van de buitenwereld. Dit kan bijvoorbeeld door het dichtzetten van uw firewall(s).
  3. Roep de hulp in van een cybersecurity expert en/of een cybersecurity samenwerkingsverband.
  4. Meld de infectie bij de politie.
  5. Herstel de IT-systemen met behulp van een back-up.

  6. Ga ook na of u een meldplicht heeft bij het NCSC, een toezichthouder, een opdrachtgever of bij een andere instantie. Kijk onder meer naar geldende privacy wetgeving, bijvoorbeeld als u verwerker bent.

Dit is wat jij kunt doen