Ransomware-aanvallen worden steeds sluwer en complexer. Ze komen ook steeds meer voor. Hoe beschermt u als IT-manager uw bedrijf tegen deze dreiging?
Het eerste wat u merkt: het ene na het andere bestand wordt ontoegankelijk. Al snel komt de gevreesde boodschap. U moet losgeld betalen in bitcoin om weer bij uw bedrijfsbestanden te kunnen. Dan weet u het zeker: uw bedrijf is het nieuwste slachtoffer van ransomware.
Maar daar blijft het niet bij. Tegenwoordig voeren de criminelen de druk nog verder op met double extortion: ze dreigen om uw gegevens openbaar te maken. Uw bedrijfsgeheimen en klantgegevens komen dan op hun website. Of ze verkopen uw data aan de meestbiedende.
En er is nu zelfs triple extortion: de aanvallers nemen zelf contact op met de media, met klanten en leveranciers. Ze vertellen hen dat ze uw geraakt hebben – en dus hun gegevens hebben. En ondertussen blijven ze uw bedrijfsnetwerk aanvallen, bijvoorbeeld met DDoS, zodat u uw systemen niet kunt herstellen.
Slecht idee
Zo kunt u dus geen kant meer op. Het bedrijf is lamgelegd en de reputatie zwaar beschadigd. Dan maar losgeld betalen?
Dat is geen eind van de ellende. Allereerst natuurlijk omdat u zo de daders en hun collega’s aanmoedigt. Van de bedrijven die betaalden, kreeg 80% een nieuwe aanval te verduren*. Logisch: als u bereid blijkt ‘zaken te doen’ met cybercriminelen bent u een aantrekkelijk slachtoffer.
Maar losgeld is ook een slecht idee omdat de sleutels van de criminelen vaak slecht werken: 46% van de bedrijven kreeg wel data terug, maar geheel of gedeeltelijk gecorrumpeerd.
En zelfs als de sleutel wèl goed werkt, duurt het decrypten vaak dagen of zelfs weken. Al die tijd kan er geen productie worden gedraaid of is de dienstverlening niet optimaal. Gemiddeld zijn aangevallen organisaties 16 dagen buiten bedrijf.
Niemand is veilig
Dit soort aanvallen komt steeds meer voor. Sinds het begin van de coronacrisis is cybercrime met 600% gegroeid! Dat komt mede doordat de inzet van ransomware is toegenomen. Geen wonder: het is tegenwoordig ruim verkrijgbaar op het dark web en eenvoudig te gebruiken, ook tegen organisaties met honderden of duizenden medewerkers.
Het gemak is dus groot en de opbrengst ook. Bij organisaties zit immers meer geld dan bij particulieren. Ze zijn ook gevoeliger voor reputatieschade; vandaar de triple extortion.
De criminelen hebben geen last van scrupules, want ook tijdens de coronacrisis worden ziekenhuizen en zorgverleners niet gespaard. Daarnaast zijn er natuurlijk allerlei andere organisaties die worden geraakt: telecommunicatiecentra, financiële instellingen, overheidsorganisaties zoals rechtbanken en alle andere soorten bedrijven, van groot tot klein.
Vijf vragen
Het is duidelijk: dit gevaar kan elke organisatie treffen. En elke aanval met ransomware moet in de kiem worden gesmoord.
Maar wat is daarvoor nodig? Is uw organisatie klaar om een ransomware-aanval af te slaan? De onderstaande vijf vragen kunnen u helpen om het antwoord te vinden.
1. Is uw endpoint security niet verouderd?
Nu thuiswerken toeneemt, worden laptops vaker een toegangspoort voor malware. Traditionele antivirusproducten herkennen bestaande malware wel, maar de ontwikkelingen gaan tegenwoordig snel. Soms heeft een stuk ransomware in een paar maanden wel drie upgrades. Bovendien kan ransomware zijn eigen code herschrijven terwijl het zich verspreidt over uw netwerk.
Wat u dus nodig hebt is Next Generation Antivirus (NGAV): die kijkt niet naar de usual suspects, maar naar verdachte gedragingen op de computers. Met machine learning worden het gedrag en de kenmerken van ransomware in beeld gebracht, zodat ook nieuwe malware meteen wordt opgemerkt. Dan is uw endpoint security klaar voor de aanvallen van morgen, niet alleen die van gisteren.
2. Is uw endpoint security volledig?
Waarschijnlijk heeft u wel security-software draaien op uw desktops en laptops. Maar zijn de smartphones en tablets ook beveiligd? En endpoint security moet niet alleen kijken naar executables. Ook documenten zoals PDF’s kunnen malware bevatten in de vorm van macro’s. Moderne security-software voorziet in deze behoeften.
3. Wie is sneller: u of de aanvallers?
Ransomware bevat vaak enorm snelle encryptie-algoritmes. Dus op het moment dat de eerste server wordt versleuteld, is er een race gaande tussen u en de criminelen. Heeft u met uw huidige beveiliging meteen een goed overzicht van wat er precies gaande is? Waar de dreiging vandaan komt, wat het verband is tussen gebeurtenissen op het netwerk en hoe u de aanval het beste kunt stoppen?
4. Hoeveel menskracht vraagt uw verdediging?
Een moderne verdediging tegen ransomware werkt met één lichte client per computer. Tegelijk wordt het hele systeem gemonitord vanaf één enkele console, met intuïtieve software. Dat bespaart niet alleen geld, maar voorkomt ook coördinatieproblemen en tijdverlies.
5. Bent u 24/7/365 paraat?
Cybercriminelen gebruiken elke zwakte in uw systeem, maar ook in de bemensing. Niet elke organisatie kan dag en nacht, week in week uit, klaar staan om een ransomware-aanval te beantwoorden.
Het kan dus verstandig zijn om de bewaking van uw bedrijfsnetwerk uit te besteden. Bij een extern Security Operations Center zitten experts die voortdurend uw netwerk monitoren op verdachte activiteiten. Zij kunnen de eerste tekenen van een ransomware-aanval detecteren en meteen ingrijpen. In overleg met hen kunt u vooraf bepalen wat voor uw organisatie belangrijk is. En hoe zij moeten optreden als op een dag de alarmbellen afgaan.
*cijfers zijn gebaseerd op rapportages Cybereason.
Hoe houdt u ransomware buiten de deur?
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.