Wat is ransomware?

Ransomware is een soort schadelijke software die gebruikersgegevens voor losgeld gijzelt, de toegang blokkeert of dreigt de gegevens te publiceren, tenzij aan de eisen wordt voldaan.

Naarmate onze interactie met en afhankelijkheid van digitale systemen toeneemt, neemt ook de waarde van onze gevoelige gegevens toe. En hoewel sommige cybercriminelen meer geïnteresseerd zijn in het op een stille manier stelen van uw gegevens om ze te verkopen of voor zichzelf te gebruiken, hebben anderen er genoegen in ze te gijzelen. Wanneer een externe bedreigingsactor de controle over uw systeem, gegevens, applicaties, etc. neemt en vervolgens probeert u te chanteren om te betalen om de controle te herwinnen, wordt dat een ransomware-aanval genoemd.

Helaas komt dit soort cybercriminaliteit maar al te vaak voor; alleen al in 2020 ontving het Internet Crime Complaint Center van de FBI bijna 2.500 meldingen van ransomwareaanvallen, met gecorrigeerde verliezen van meer dan $ 29,1 miljoen. En het risico neemt alleen maar toe, nu de mondiale ransomware-rapporten tussen 2019 en 2020met meer dan 700% zijn gestegen. In reactie op dit toenemende gevaar voor Amerikaanse burgers, bedrijven en overheidsservices heeft president Biden in mei 2021 een Executive Order uitgevaardigd ( Improving the Nation’s Cybersecurity), met details, federaal beleid, en best practices die zijn ontworpen om een betere bescherming te bieden tegen de gevaren van ransomware.

Helaas is het niet altijd eenvoudig om uw organisatie te beschermen tegen de toenemende dreiging van ransomware. Ransomware-aanvallen worden steeds geavanceerder en gaan verder dan de gegevens aan de oppervlakte. In plaats daarvan is nieuwe ransomware ontworpen om back-upgegevens vast te zetten en vast te houden en zelfs de controle over beheerfuncties op het hoogste niveau te nemen. Deze aanvallen worden vaak als één onderdeel in een grotere strategie geïmplementeerd, met als doel om kritieke systemen volledig in gevaar te brengen.

Op dezelfde manier worden de bedreigingsactoren zelf steeds geavanceerder; in plaats van zich te beperken tot individuele cybercriminelen die met hun eigen beperkte middelen opereren, bestaan de huidige dreigingen uit georganiseerde en goed gefinancierde groepen, door bedrijven gesteunde industriële spionageteams en zelfs vijandige buitenlandse overheidsinstellingen.

Gezien de alomtegenwoordigheid en diversiteit van deze cyberaanvallen lopen bedrijven over de hele wereld het cruciale gevaar ten prooi te vallen aan deze digitale afpersing.

Net als bij alle andere schadelijke software kan ransomware op verschillende manieren in uw netwerk terecht komen, zoals via een bijlage bij ongewenste e-mail, met behulp van gestolen referenties, via een onbeveiligde internetlink, via een gemanipuleerde website of zelfs verborgen als onderdeel van een downloadbare softwarebundel. Sommige vormen van ransomware maken gebruik van ingebouwde social engineering-tools om u te misleiden in het verlenen van administratieve toegang, terwijl andere trachten de toestemming volledig te omzeilen door bestaande zwakke plekken in de beveiliging te misbruiken.

Eenmaal binnen uw netwerk wordt de software geïmplementeerd en voert deze achter de schermen een reeks opdrachten uit. Dit houdt vaak in dat cruciale beheerdersaccounts die systemen beheren, zoals back-up, Active Directory (AD) Domain name System (DNS) en opslagbeheerconsoles, worden ontwricht. De malware valt vervolgens de back-upbeheerconsole aan, waardoor de aanvaller back-uptaken kan uitschakelen of wijzigen, het bewaarbeleid kan wijzigen en gemakkelijker gevoelige gegevens kan vinden die de moeite waard zijn om te worden gegijzeld.

Meestal begint de malware met de versleuteling van sommige of al uw bestanden. Zodra deze bestanden zijn beveiligd tegen toegang, onthult de malware zichzelf door u te informeren dat uw gegevens worden vastgehouden voor losgeld, en aan welke eisen moet worden voldaan om u weer toegang te geven. Bij andere soorten malware (vaak lekkende software genoemd) kan de aanvaller dreigen bepaalde soorten gevoelige gegevens openbaar te maken als het losgeld niet wordt betaald. In veel gevallen worden de gegevens niet alleen versleuteld, maar ook gekopieerd en gestolen om in toekomstige criminele activiteiten te worden gebruikt.

Zoals eerder vermeld, neemt het gebruik van ransomware in cyberaanvallen toe. Deze explosieve escalatie kan worden toegeschreven aan een aantal verschillende factoren:

Grotere beschikbaarheid

De dagen dat cybercriminelen het technische inzicht moesten hebben om hun eigen malwareprogramma's te bouwen zijn verleden tijd. Vandaag de dag worden op online ransomware-marktplaatsen malware-kits, -programma's en strains verhandeld, zodat potentiële criminelen gemakkelijk toegang hebben tot de resources die ze nodig hebben om aan de slag te gaan.

Platformoverschrijdende toegankelijkheid

De auteurs van ransomware waren ooit beperkt in termen van welk platform zij in het vizier hadden, omdat voor elk extra platform specifieke ransomwareversies moesten worden gebouwd. Generieke vertalers (programma's die snel code van de ene programmeertaal naar de andere kunnen vertalen) maken het nu mogelijk dat ransomware op vrijwel elk willekeurig aantal verschillende platforms betrouwbaar is.

Betere technieken

Nieuwe technieken maken het voor bedreigingsactoren niet alleen makkelijker om malware in uw systemen binnen te smokkelen, maar zijn ook in staat om eenmaal binnen meer schade te berokkenen. Moderne ransomware-programma's kunnen bijvoorbeeld uw hele schijf in plaats van alleen afzonderlijke bestanden versleutelen, waardoor u effectief volledig uit uw systeem wordt buitengesloten.

Helaas bestaat er geen enkele aanpak van netwerkbeveiliging die uw organisatie volledig beschermt tegen elke vorm van ransomwareaanval. In plaats daarvan houden effectieve antiransomwarestrategieën in dat er volledig rekening wordt gehouden met de bestaande IT-infrastructuur en eventuele inherente zwakheden, dat er goede back-up- en verificatieprocedures worden ingesteld, en dat er binnen uw organisatie een culturele verschuiving wordt bevorderd naar een groter veiligheidsbewustzijn.

Overweeg om te beginnen de volgende stappen:

Afbeelding van hoe bedrijven zich kunnen verdedigen tegen ransomware

Gebruik effectieve methoden voor de back-up van gegevens

Elimineer eenvoudige protocollen voor het delen van netwerken bij de back-up van gegevens en implementeer levensvatbare beveiligingsfuncties om back-upgegevens en beheerconsoles tegen aanvallen te beschermen. Dit helpt ervoor te zorgen dat er onbeschadigde gegevenskopieën beschikbaar zijn wanneer u ze nodig hebt.

Gebruik up-to-date beveiligingssoftware

Naarmate nieuwe malware wordt geïdentificeerd, updaten leveranciers van beveiligingssoftware en andere leveranciers hun producten en systemen om deze nieuwe dreigingen het hoofd te bieden. Helaas verwaarlozen organisaties soms om de nieuwste beveiligingspatches bij te houden, waardoor ze kwetsbaar zijn voor bekende dreigingen. Controleer regelmatig op nieuwe updates en installeer deze zodra ze beschikbaar zijn.

Beoefen veilig surfen

Stel internetbeleid op en distribueer dit in uw hele organisatie, waarin best practices en veiligheidsmaatregelen worden beschreven die werknemers online moeten volgen. Geef werknemers bijvoorbeeld nooit toestemming om bedrijfszaken te doen of toegang te krijgen tot gevoelige systemen terwijl ze via openbare WiFi werken. Train al het relevante personeel in dit beleid en stel actieplannen op die ze kunnen volgen in het geval van blootstelling aan schadelijke software.

Installeer meervoudige verificatie

Bescherm administratieve accounts tegen ongeoorloofde toegang en controle door gebruik te maken van verificatie op basis van twee (of meer) factoren. Configureer accounts zodanig dat ze standaard alleen de minimaal vereiste systeembevoegdheden bieden.

Creëer een geïsoleerde herstelomgeving

Bouw het herstel van ransomware in uw algehele strategie voor noodherstel in. Stel een geïsoleerde herstelomgeving (IRE) op: een apart, afgesloten datacenter waarin gegevenskopieën van buitenaf kunnen worden beveiligd. Neem de IRE op in alle tests voor noodherstel.

Blijf op de hoogte

Kennis en bewustzijn zijn enkele van de meest effectieve wapens in uw antiransomware-arsenaal; houd ze klaar door beveiligingsprofessionals en experts op het gebied van sociale media te volgen, regelmatig de feeds en adviessites met risicoadvies te controleren en op de hoogte te blijven van relevant nieuws.

Als u het doelwit bent van een ransomwareaanval, geef dan niet toe aan de eisen van de criminelen. Als u dit doet, worden u en uw organisatie alleen maar geïdentificeerd als een welwillend slachtoffer, en worden de criminelen aangemoedigd om u te blijven aanvallen. In de meeste gevallen ontvangen bedrijven die betalen om hun gegevens of bestanden terug te krijgen nooit een werkende versleutelingssleutel. In plaats daarvan blijven de aanvallers gewoon hun eisen verhogen totdat het aangevallen bedrijf stopt met betalen. Bovendien zou u door de losgeldeisers te betalen hun criminele activiteiten financieren en andere organisaties of individuen voor hetzelfde risico openstellen.

Als u merkt dat u bent aangevallen door ransomware, kunt u snel handelen door de volgende stappen te volgen:

Isoleer de geïnfecteerde apparaten of systemen

Ransomware komt in een netwerk terecht door één apparaat of systeem te infecteren, maar dat betekent niet noodzakelijkerwijs dat het daar bij blijft. Ransomware kan zich gemakkelijk via uw netwerk verspreiden. Als zodanig moet u in de eerste plaats als u ransomware ontdekt het geïnfecteerde systeem loskoppelen en het isoleren van de rest van het netwerk. Als u dit snel genoeg kunt doen, is er een kleine kans dat u de malware op één locatie kunt tegengaan, waardoor de rest van uw werk veel gemakkelijker wordt.

Haal verdachte apparaten of systemen uit het netwerk

Net zoals hoe brandweerlieden de struiken en bomen uit het pad van een woedende brand zullen verwijderen, moet u vervolgens maatregelen treffen om een mogelijke verspreiding van losgeld tegen te gaan door andere systemen die mogelijk zijn blootgesteld los te koppelen en te isoleren. Hiertoe behoren alle apparaten die zich abnormaal lijken te gedragen, inclusief apparaten die mogelijk niet op locatie werken. Belemmer de verspreiding verder door alle draadloze connectiviteitsopties af te sluiten.

Voer een schadebeoordeling uit

Nu verdachte bestanden buiten het netwerk zijn geïsoleerd, moet u nu de omvang van de schade beoordelen. Bepaal welke systemen daadwerkelijk zijn getroffen door op onlangs versleutelde bestanden te zoeken (vaak met vreemde extensienamen). Bekijk de versleutelde shares in elk apparaat goed; als u meer shares hebt dan de andere, kan dit het oorspronkelijke toegangspunt zijn voor de ransomware in uw netwerk. Schakel deze systemen en apparaten uit en maak een volledige lijst van alles wat mogelijk is getroffen (inclusief externe harde schijven, netwerkopslagapparaten, cloudgebaseerde systemen, desktops, laptops, mobiele apparaten, en alles wat in staat is om de ransomware te laten lopen of passeren).

Zoek de bron

Zoals in het vorige punt gezegd, kan het controleren van de betrokken apparaten op grote aantallen versleutelde shares u helpen om ‘patiënt nul’ te vinden Andere methoden om de bron van de ransomware te vinden zijn onder meer het controleren op eventuele antiviruswaarschuwingen die direct aan de infectie voorafgaan, en het bekijken van eventuele verdachte gebruikersacties (zoals het klikken op een onbekende koppeling of het openen van een ongewenst e-mailbericht). Als u de bron hebt ontdekt, wordt het oplossen van problemen veel eenvoudiger.

Identificeer de ransomware

Het effectief tegengaan van een ransomwareaanval is vaak afhankelijk van uw vermogen om precies te bepalen met welke variëteit aan ransomware u te maken hebt. Er zijn een paar verschillende manieren om de ransomware te identificeren. De opmerking in de aanval (die u vertelt geld over te maken om uw bestanden te ontgrendelen) kan de ransomware rechtstreeks identificeren. Mogelijk kunt u ook zoeken in het e-mailadres dat bij de opmerking hoort om te ontdekken welke ransomware deze specifieke bedreigingsactor gebruikt en welke volgende stappen andere organisaties hebben gezet nadat ze zijn geïnfecteerd. Tot slot zijn er online sites en tools beschikbaar die zijn ontworpen om het type ransomware te helpen identificeren. Vergeet alleen niet om uw opties volledig te onderzoeken voordat u zich aan een dergelijk programma verbindt; u wilt geen onbetrouwbaar programma downloaden om meer malware in uw systeem te laten komen dan uw manke systeem al heeft.

Neem contact op met de politie

Als u de ransomware eenmaal in de hand hebt, is het nu uw verantwoordelijkheid om contact op te nemen met de politie. In veel gevallen gaat dit verder dan het eenvoudige protocol; onder de voorwaarden van bepaalde wetten op het gebied van gegevensprivacy kan het zijn dat u binnen een vooraf bepaalde tijd een rapport moet indienen voor elke inbreuk op gegevens in uw bedrijf, waarbij het niet doen hiervan mogelijk kan leiden tot boetes of andere straffen. Maar zelfs als u geen wettelijke verplichting hebt om contact op te nemen met de politie, moet dit een topprioriteit zijn. Om te beginnen zullen instanties tegen cybercriminaliteit waarschijnlijk toegang hebben tot betere autoriteit, middelen en ervaring in het oplossen van dit soort problemen, en kunnen ze uw bedrijf helpen sneller weer terug naar normaal te gaan.

Controleer back-upgegevens

Nu de brand effectief is geblust, is het tijd om te beginnen met het repareren van uw systemen. Idealiter zou u, als u onbeschadigde back-upgegevens hebt, uw systemen zonder al te veel problemen moeten kunnen herstellen. Controleer of al uw apparaten vrij zijn van ransomware en andere vormen van malware en herstel vervolgens uw gegevens. Houd er rekening mee dat moderne ransomware-aanvallen vaak gericht zijn op gegevensback-ups, dus u moet er zeker van zijn dat uw gegevens in orde zijn voordat u ze herstelt.

Zoek naar decryptieopties

Als u geen back-up van gegevens beschikbaar hebt, of als de gegevens zelf ook beschadigd zijn, kunt u het beste proberen een decryptieoplossing te vinden. Zoals eerder vermeld, kunt u met enig onderzoek mogelijk online een decryptiesleutel vinden om u te helpen de toegang en controle te herstellen.

Opnieuw opbouwen

Of u nu uw apparaten herstelt, een decryptieoplossing zoekt of gewoon accepteert dat uw gevoelige gegevens voorgoed verdwenen zijn, uw laatste stap zal altijd dezelfde zijn: opnieuw opbouwen en verdergaan. Zelfs in de beste scenario's kan het terugbrengen naar de productiviteitsniveaus van vóór de aanval een duur en tijdrovend proces zijn. Zorg er alleen voor dat u van de ervaring die u hebt opgedaan hebt geleerd en een beter inzicht hebt van de bedreigingen waarmee uw organisatie te maken heeft, en een duidelijker idee hebt van hoe u zich hiertegen kunt verdedigen.

Wanneer u zich verdedigt tegen en reageert op ransomwareaanvallen, kan tijd uw meest waardevolle middel zijn. ServiceNow, de leider op het gebied van IT-beheer en automatisering van workflows, biedt u de tijd die u nodig hebt, met de duidelijke, gecentraliseerde controle- en bewakingsmogelijkheden. Elimineer zwakke plekken in de beveiliging voordat ze kunnen worden misbruikt, identificeer verdachte netwerkactiviteiten en reageer in een mum van tijd op schendingen, en herstel sneller van ransomware- en andere aanvallen met geautomatiseerde oplossingen voor beveiligingsreacties. ServiceNow maakt het allemaal mogelijk.

Bescherm uw organisatie tegen ransomware en andere aanvalselementen met doorlopende bewaking en geautomatiseerde respons. Lees meer over ransomware, en ontdek hoe ServiceNow uw bedrijf kan helpen tegen alles wat de wereld uw kant kan opgooien.

Ga aan de slag met ServiceNow Governance, Risk, and Compliance

Beheer risico en veerkracht in real time met ServiceNow.

Contact
Demo