Wat voor impact heeft een ransomware-aanval op mijn organisatie?
Het aantal ransomware-aanvallen in Nederland is groot en neemt zelfs toe. In een recent onderzoek gaf bijna driekwart van de ondervraagde Nederlandse bedrijven aan in 2021 door een ransomware aanval zijn getroffen. Slechts iets meer dan een derde gaf aan dat zij een cybersecurity strategie hadden klaarliggen. Dat terwijl de impact van een aanval met ransomware op uw bedrijf of organisatie enorm is. Uw bedrijfsvoering wordt ernstig gehinderd of zelfs onmogelijk gemaakt. Bedrijfsgeheimen (kunnen) worden doorverkocht en data wordt gelekt. Uw externe partners vertrouwen uw organisatie niet meer en nemen een afwachtende houding aan. En denkt u maar niet ‘dat gebeurt ons niet’, want het kan iedereen overkomen. Van grote bedrijven en organisaties tot mkb-ondernemingen met 20 mensen in dienst.
Hoe komt ransomware binnen?
De systemen van uw organisatie kunnen op verschillende manieren besmet raken met ransomware. Vaak wordt de ransomware verspreid door een (gerichte) e-mail, ook wel bekend als spear-phishing. Cybercriminelen doen zich voor als een collega of iemand van een bevriende organisatie. In de bijlage van de e-mail zit het virus. Wanneer iemand de bijlage opent, krijgt een aanvaller toegang tot systemen. Vanuit daar gaat een aanvaller te werk om de organisatie in kaart te brengen. Al snel krijgt uw organisatie de melding dat systemen en/of bestanden niet meer toegankelijk zijn. Deze zijn namelijk versleuteld. De gijzelnemer belooft de boel weer te ontsleutelen na betaling van losgeld. Als u echter niet betaald, belooft dezelfde aanvaller om al uw gestolen gegevens openbaar te maken. Er zijn echter ook gevallen bekend van binnenkomen via een openstaande RDP (Remote Desktop Poort, om op een andere locatie zoals thuis in te loggen op de werkcomputer) of die gebruikmaken van bekende, maar nog niet opgeloste kwetsbaarheden in systemen. Dan is het bezoeken van een geinfecteerde website al voldoende om besmet te raken.
Wat gebeurt er nadat aanvallers zich toegang hebben schaft?
Nadat toegang tot uw systeem is verkregen, kijkt de aanvaller op zijn gemak rond en vormt zich een oordeel. Waar is hij eigenlijk binnen uw systemen? Maar ook: wat voor type organisatie is uw bedrijf of instelling en hoeveel losgeld zou u kunnen betalen? Men zoekt bijvoorbeeld naar de jaarrekening om een goede inschatting te kunnen maken. Vervolgens komt de fase van in grote volumes informatie stelen. Dit kunnen allerlei gegevens zijn. Van privédata van uw medewerkers en klanten tot en met facturen/rekeningen, klachten, juridische stukken en interne documenten over uw bedrijfsvoering. Dit betreft in het algemeen gevoelige informatie. Deze fase kan tot enkele maanden duren. De laatste stap is het uitvoeren van de ransomware aanval zelf, door het gijzelen van uw computersystemen en bestanden.
Een ransomware aanval heeft een grote impact op uw organisatie
Wanneer uw organisatie getroffen is door een ransomware aanval, wordt dat meestal vrij snel bekend bij uw klanten, partners en relaties. Het is op zichzelf al een fundamentele hindernis voor uw dagelijkse bedrijfsvoering, die in elk geval enige tijd tot een totale stilstand komt of op zijn minst ernstig wordt verstoord. Ook kunnen bedrijfsgegevens, bedrijfsgeheimen en/of gegevens van uw klanten, medewerkers en of partners worden gelekt. Daar komt bij dat al uw relaties, van partners tot en met klanten een afwachtende houding zullen aannemen, totdat u hen ervan hebt overtuigd dat de situatie weer is genormaliseerd en uw systemen weer vertrouwt kunnen worden. Bent u service level agreements (SLA’s) overeengekomen met uw klanten, dan komt er ook een juridisch aspect in het spel.
Wat kunt u zelf doen om een ransomware aanval te voorkomen of de impact te beperken?
- Incident Response Readiness: zorg ervoor dat uw bedrijf een Incident Response plan heeft, eventueel aangevuld met een Incident Response Retainer (IRR) zodat uw zeker weet dat wanneer de situatie zich voordoet, u verzekerd bent van adequate en professionele dienstverlening om de impact en schade te beperken en de bedrijfsvoering zo snel mogelijk weer te normaliseren.
- Managed Detection and Response (MDR): zorg dat u een goed werkend systeem op zijn plaats heeft om de activiteit op uw netwerk te monitoren en actief een aanval te detecteren. Op die manier kunt u snel overgaan tot actie, teneinde de impact van de aanval te beperken.
- Zorg voor een gecompartimenteerd computernetwerk, waarbij delen automatisch op slot gaan zodra een aanval is gedetecteerd. Vergelijk het met een fysiek gebouw waar branddeuren en brandwerende schotten de brand met succes vertragen.
- Maak gebruik van het 3-2-1 backup-principe. Zorg voor 3 kopieën van de belangrijkste data. Bewaar die backups op minstens 2 verschillende media (bijvoorbeeld een harde schijf en tapes). Sla 1 kopie buiten de deur op.
Hoe kan NFIR helpen als u te maken krijgt met een ransomware aanval?
Uw eigen IT-afdeling telt ongetwijfeld zeer goed opgeleide en competente medewerkers. Het is echter verstandig deskundige assistentie in te roepen. Ons Computer Emergency Response Team (CERT) komt desgewenst snel naar u toe. De experts in dit team hebben jarenlange ervaring met cybersecurity in al haar facetten, zoals ransomware. Na een intake richten wij ons allereerst op mogelijke beperkende maatregelen om de impact van de ransomware aanval te minimaliseren. Tegelijkertijd starten wij ons diepgaande onderzoek voor een complete analyse van uw situatie. Hieruit vloeit een aantal concrete adviezen voort. Ook kunnen wij assisteren met uw communicatie over de ontstane situatie.
Bron: https://www.nfir.nl/wat-voor-impact-heeft-een-ransomware-aanval-op-mijn-organisatie/
Giliam Budel is bij InternetBlabla.nl betrokken sinds 2020. Giliam is opgegroeid in een klein dorp nabij Utrecht. Ze verhuisde naar Breda om te studeren. Voordat ze betrokken raakte bij InternetBlaBla.nl heeft Giliam even als freelance journalist gewerkt bij een aantal radio stations. Daar versloeg ze politieke en economische verhalen met een digitale component.
