Door snel te handelen kunnen we cybercriminelen soms voorblijven

Abonneer je gratis op Techzine!

Het afgelopen jaar lijkt ransomware een nog grotere spurt te hebben genomen dan voorafgaande jaren. Een infectie kan vergaande gevolgen hebben voor slachtoffers. Doordat bestanden worden versleuteld, kan de bedrijfsvoering ernstig verstoord raken en voor individuen kan het verlies van persoonlijke data een grote emotionele impact hebben. Volgens de Politie is het afgelopen jaar 4.690 keer aangifte gedaan van cybercrime en was er met name een stijging te zien in de hoeveelheid ransomware aanvallen. Dat is een stijging van 64 procent vergeleken met 2018.

Ook wij merken dat het aantal ransomware aanvallen is toegenomen. Iedere week krijgen we verzoeken binnen van organisaties en individuen die getroffen zijn en hun data willen laten ontgrendelen. Dit is niet altijd even eenvoudig, cybercriminelen ontwikkelen voortdurend nieuwe aanvalstechnieken en soorten ransomware om systemen te infecteren. Als slachtoffers niet op tijd betalen zetten cybercriminelen vaak extra druk achter de gijzelactie door het losgeld telkens te verhogen. Daarnaast zien we ook gerichte cyberaanvallen op specifieke systemen of databases, om er vervolgens ransomware op te installeren. Hierbij worden bijvoorbeeld beheerdersrechten gestolen en misbruikt om online back-ups (met name SAN’s) uit te schakelen. Verder worden er vaak back-up bestanden gewist of versleuteld en er zijn ook meldingen van aanvallen op back-up toepassingen van virtuele systemen zoals Veeam.

Soms is niet alle data versleuteld

Echter hoeft het niet per se zo te zijn dat je alle data kwijt bent, ook al lijkt het soms dat alles versleuteld is. Het kan bijvoorbeeld voorkomen dat bepaalde gebieden op de harde schijf niet zichtbaar zijn voor het operating systeem. In dit geval kunnen deze delen nog worden herstelt. Soms biedt het besturing en bestandssysteem van de in gebruik zijnde storage systemen uitkomst. Ook deze data is terug te halen. Een incident waaraan we recent hebben aan meegewerkt, was een laptop die geïnfecteerd was met CryptoLocker ransomware. CryptoLocker versleutelde een reeks gebruikersbestanden op een laptop, die was verbonden met een bedrijfsnetwerk. Doordat het CIFS (Common Internet Files System) volume was ingesteld om bestanden te delen op een NetApp FAS, kon de schadelijke software infiltreren en andere bestanden versleutelen. Zodra het IT team was ingelicht, was ook de back-up al overschreven met versleutelde data. Het gevolg was dat het bedrijf geen toegang meer had tot de data. Om het herstel te laten doorgaan, hebben onze ingenieurs het aggregate offline gehaald en naar het lab gebracht. Doordat onze zelf ontwikkelde technologie gebruik kan maken van het besturingssysteem van NetApp (OnTap) en het bestandssysteem (WAFL), waren wij in staat om ‘terug te gaan in de tijd’ en niet-gecodeerde kopieën van de data te vinden, samen te voegen en te herstellen.

Het belang van snelheid

Echter is snelheid nog altijd de beste manier om data alsnog terug te krijgen. Als je snel handelt kun je het apparaat direct loskoppelen van het internet, waardoor de ransomware zich niet verder via het netwerk kan verspreiden naar andere apparaten. Vervolgens kan een specialist snel images maken en een 0 situatie vastleggen. Indien je niet in staat bent om een professioneel bedrijf in te schakelen, dan kun je natuurlijk ook zelf images maken en proberen om data te ontgrendelen. Mocht je slachtoffer worden zoek dan altijd eerst uit om welke soort ransomware het gaat. Vaak staat de naam van de ransomware in het bericht van de daders. Indien dit niet het geval is, kun je proberen om de tekst van het bericht te Googelen of te zoeken naar de bestandextensie van de versleutelde bestanden. Zodra duidelijk is met welke ransomware de aanval is uitgevoerd, kan er gezocht worden naar tools om de data te ontgrendelen. Op bijvoorbeeld de website NoMoreRansom.org staan verschillende tools waarmee slachtoffers hun bestanden terug kunnen krijgen. Natuurlijk is het ook nog altijd mogelijk om het losgeld te betalen. Dit is alleen niet verstandig omdat op deze manier cybercriminelen geholpen worden. Bovendien zal het betalen van losgeld cybercriminelen motiveren om door te gaan met hun criminele activiteiten. Het is daarnaast belangrijk om altijd aangifte te doen, gezien ransomware ook een datalek is. Het niet melden van een datalek vormt een overtreding van de AVG. De toezichthouder kan in dat geval een boete opleggen. Bovendien zorgt een aangifte ervoor dat de politie strafbare feiten kan opsporen en verdere slachtoffers kan voorkomen.

Voorkomen is beter dan genezen

Toch is voorkomen nog altijd beter dan genezen. Daarom is het cruciaal dat iedere medewerker bewust moet zijn van de risico’s en zijn gedrag aanpast ten behoeve van de cyberveiligheid. De tijd van krakkemikkige spammailtjes is immers al lang voorbij. Zorg voor de juiste mix van beveiligingsoplossingen en dat al je apparaten volledig geüpdatet zijn. Maak daarnaast regelmatig offline back-ups, want gekoppelde back-ups kunnen ook ten prooi vallen. Het is daarom verstandig om altijd drie kopieën (3-2-1 strategie) te maken: twee lokale kopieën op twee verschillende media (meestal op schijf en tape) en isoleer één kritische back-up van het netwerk (air gap) op een externe locatie. Vergeet niet om de back-ups regelmatig te testen op volledigheid en functionaliteit. Dit zal de impact bij een data inbreuk verminderen en het recovery proces versnellen. Verder is een voortdurend bijgewerkt incident respons plan belangrijk. Op deze manier weet iedereen wat er moet gebeuren bij een aanval. Niemand is immuun voor ransomware aanvallen en iedere organisatie en ieder individu kan slachtoffer worden. Of het ooit gaat verdwijnen weten we niet, maar door snel te handelen kunnen we cybercriminelen soms voorblijven.

Dit is een ingezonden bijdrage van Jaap Jan Visser, Country Manager Benelux bij Ontrack. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.