Ransomware: wat organisaties moeten weten

ransomware_wat organisaties moeten wetenSla een krant open of ga naar een willekeurige nieuwswebsite en de kans is groot dat u een artikel leest over ransomware. Sinds oktober vorig jaar heeft alleen Trend Micro al meer dan 100 miljoen van dergelijke bedreigingen geblokkeerd en de teller blijft lopen. Ook in de Benelux.

De beste manier om uzelf tegen ransomware te beschermen is het nemen van preventieve maatregelen op basis van meerlaagse bescherming. De eerste stap die we echter moeten nemen is het ransomware-probleem te begrijpen. Daarom zoomen we in deze blog in op ransomware: wat houdt het in en welke implicaties heeft het voor organisaties.

Wat is ransomware?

Ransomware is het eenvoudigst te omschrijven als een online bedreiging die in staat is bestanden en/of systemen van organisaties volledig onbruikbaar te maken. Het slachtoffer wordt vervolgens gedwongen om een bedrag te betalen, in ruil voor toegang. De eerste ransomware-varianten werden ontworpen om het apparaat van het slachtoffer te vergrendelen totdat er werd betaald. Nieuwe varianten, zogenaamde crypto-ransomware, zijn echter gevaarlijker. Deze gaan opzoek naar specifieke (vaak voorkomende) extensies zoals .doc of .pdf en maken dat vervolgens onbruikbaar via sterke encryptie. Dit laat IT-beheerders weinig andere keuze dan te betalen voor een decryptie-sleutel.

Bij ransomware wordt er een verzoek om losgeld getoond. Daarin wordt aangegeven hoeveel u moet betalen om opnieuw toegang te krijgen tot bestanden of systemen. Veelal gaat het om een paar honderd dollar (of euro) dat in Bitcoins of vergelijkbare betaalmethoden kan worden overgemaakt. Veel ransomware-varianten beschikken over een gedetailleerde ‘how to’-gids waarin in eenvoudige taal, speciaal voor niet tech savvy-slachtoffers wordt uitgelegd welke stappen het slachtoffer moet doorlopen. Sommige bieden zelfs een chat-functie. Gaat het om crypto-ransomware, dan ontvangt het slachtoffer veelal een decoderingssleutel.

Ransomware richt zich vaak op gebruikers, meestal met behulp van social engineering en e-mail / web. Bijvoorbeeld met besmette bijlagen in ongevraagde e-mails, via kwaadaardige urls die naar kwaadaardige of gecompromitteerde websites leiden om het slachtoffer te infecteren. Echter, steeds vaker wordt ransomware ontwikkeld om zwakke plekken op netwerk- of serverniveau te misbruiken. Om die reden is meerlaagse bescherming cruciaal.   

Waarom moet ik me zorgen maken?

De implicaties voor organisaties zijn vrij ernstig. U wordt op z’n minst gedwongen tot het betalen van losgeld om daarmee weer toegang te krijgen tot uw bestanden. Dat kan om ‘slechts’ een paar honderd dollar of euro gaan, maar er zijn ook organisaties die voor veel meer dan dat zijn afgeperst. Een van de meest high profile slachtoffers was het Hollywood Presbyterian Medical Center. Zij werden gedwongen tot het betalen van $17.000,- om daarmee de belangrijkste systemen en administratieve functies weer te herstellen.

Naast losgeld worden organisaties ook geconfronteerd met de kosten van verloren productiviteit, schade van een merk of reputatie en mogelijke boetes als gevolg van wetgeving.  Naar verluidt zou de FBI hebben berekend dat ransomware verliezen heeft opgeleverd voor een totaal van $209 miljoen in het eerste kwartaal van 2016, een enorme stijging vergeleken met de naar schatting $24 miljoen voor het hele jaar 2015.

Alsof dat nog niet genoeg reden tot zorg is, beschikken nieuwe ransomware-varianten zoals de beruchte CryptXXX, over extra features zoals de mogelijkheid om bedrijfsgegevens niet alleen te versleutelen maar ook te stelen.  

Hoe bescherm ik mijn organisatie tegen ransomware?

In het geval van ransomware voorzien cybercriminelen hun malware continu van updates om daarmee detectie te voorkomen en elke poging encryptie te kraken te omzeilen. Daarnaast biedt het betalen van het losgeld geen garantie dat de hacker in kwestie u opnieuw toegang geeft tot uw bestanden.

IT-beheerders moeten daarom stevig inzetten op preventie:

  • Back-up uw bedrijfsgegevens. Maak gebruik van een 3-2-1 systeem: drie back-up kopieën op twee media en één daarvan in een beveiligde, offline locatie.
  • Voed uw eindgebruikers op zodat ze niet zomaar klikken op links of bijlagen openen van ongevraagde (of onbekende) e-mails; en dat ze de verzender van een e-mail controleren voor ze iets openen. Ook bladwijzers voorzien voor vaak bezochte sites is een goed idee: zo voorkomt u dat u ongewild drive-by-download sites bezoekt, die vol zitten met malware
  • Patch alle systemen zodra er updates beschikbaar zijn en zorg ervoor dat beveiligingssoftware up-to-date is. Dat minimaliseert de kans dat zwakke plekken in software worden misbruikt.
  • Netwerksegmentatie  draagt bij tot het inperken van de speelruimte voor ransomware, mocht die toch de organisatie zijn binnengedrongen.
  • Meerlaagse bescherming met geavanceerde beveiliging op de web/email gateway, de endpoints, het netwerk, en de fysieke/virtuele/cloud servers.

Wilt u meer weten over ransomware en hoe u uw organisatie hiertegen kunt beschermen? Bekijk dan de video “Say NO to Ransomware” of lees onze reeks blogs over dit onderwerp.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.