Wegwijzer Cybersecurity

Na beveiligingslek gegijzeld door ransomware. Wat nu?

Stel, uit het niets vergrendelt een crimineel je IT-systeem. Je kunt niet meer bij je digitale informatie. Sinds een week blijkt een stukje software dat in veel applicaties zit kwetsbaar. ICT-experts verwachten hierdoor een golf aan ransomware-aanvallen. Het gaat om 'Apache Log4j', waarmee programma’s digitale logboeken bijhouden. Cybercriminelen hebben de kwetsbaarheid ontdekt en kunnen zo schadelijke software in je IT-systeem brengen.

Op 10 december 2021 is de kwetsbaarheid van de 'Apache Log4j' wereldnieuws. ICT-experts scannen nu wereldwijd of systemen kwetsbaar zijn. Want zodra systemen kwetsbaar zijn, kunnen cybercriminelen een groot aantal bedrijven en ondernemers treffen met ransomware. Het Digital Trust Center (DTC) geeft dagelijks een update met uitleg over de kwetsbare software. DTC raadt aan om snel contact op te nemen met je softwareleverancier of IT-dienstverlener.

Risico voor je bedrijf

Met ransomware, ofwel gijzelsoftware, zetten criminelen je computers op slot. Ze eisen losgeld om je uit deze gijzeling te bevrijden. Je staat onder druk, wat nu? Hoe lang kun je verder zonder digitale informatie? Zijn je back-ups ook besmet met malware? Paniek slaat toe, en de verleiding is groot om de afpersers toch te betalen.

De ransomware-aanval op Universiteit Maastricht, trok eind 2019 veel publiciteit. Bij deze gijzeling is losgeld betaald. In oktober 2021 legde industrieconcern VDL, de productie grotendeels stil na een cyberaanval. Dave Maasland, cybersecurity-expert bij ESET, vindt dat het risico op zo’n ‘digitale hartstilstand’ bij bedrijven hoog op de agenda moet staan. Criminelen vallen niet alleen grote bedrijven en organisaties aan. Hackers gijzelen ook kleinere en middelgrote bedrijven.

Betalen of niet?

De anonieme criminelen eisen dat je snel losgeld betaalt in cryptocurrency, zoals bitcoin. Als je betaalt, weet je niet zeker of je je data echt terugkrijgt en of je daarna van de afpersers af bent. Bovendien help je daarmee de criminelen. De kans is groot dat ze zo’n geslaagde gijzeling ook bij anderen uitproberen. Wat kun je doen, als je niet wilt betalen? Met deze 6 stappen kun je snel weer verder met je werk:

1. Schakel je IT-dienst in

Neem direct contact op met je IT-beheerder. Die kent je systeem en software het beste. Cybercrime-experts ontwikkelen steeds nieuwe ‘decryptors’, tools waarmee je ransomware verwijdert. Op NomoreRansom vind je voor welke types ransomware al een decryptor bestaat. Als je geluk hebt, heeft de crimineel software gebruikt die al eerder ‘ontmaskerd’ is, en haalt de decryptor je uit de gijzeling. Heb je geen IT-beheerder? Zoek dan externe hulp van een bedrijf dat meer weet over het digitaal beveiligen en herstellen van netwerken.

2. Meld de aanval

Doe bij de politie aangifte van de cyberaanval. Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken en Klimaat, geeft tips voor het melden van cybercrime bij de politie. Meld de aanval ook bij de Fraudehelpdesk, deze stichting geeft informatie en tips over actuele fraude aan burgers en bedrijven. Zijn er door de aanval ook persoonsgegevens uitgelekt? Dan moet je het datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Volgens Maasland is het lekken van data bij een ransomware-aanval een groeiend probleem. “Moet je alle data wel opslaan, en voor hoe lang? Wat doe je als deze data op straat komt te liggen?” Het dreigen met lekken van gevoelige of kostbare data is een extra drukmiddel van criminelen.

3. Gebruik je back-up

Je hebt extra pech als je te maken hebt met ransomware waar nog geen decryptor voor is. Dan heb je een goede, recente back-up nodig om weer toegang te krijgen tot je gegevens en systemen. Administratiekantoor Bovendean uit Amsterdam werd ook gegijzeld, maar beschikte over recente back-ups. Na 1 dag kon het bedrijf weer bij de gegevens. In een videoverslag van DTC vertelt mede-eigenaar Gerke van de Ven over deze aanval met ransomware. DTC geeft adviezen voor het maken van een back-up.

4. Maak een forensische kopie

Heb je geen geschikte back-up? En is je IT-dienstverlener niet gespecialiseerd in het ontmantelen van ransomware? Dan kun je terecht bij een forensisch IT-bedrijf dat gespecialiseerd is in onderzoek en analyse van computernetwerken. Zo’n expert zal eerst een zogeheten ‘forensische kopie’ maken van alle bestaande opslag, inclusief de criminele software. Schippers IT is een bedrijf dat zulke forensische kopieën maakt. Eigenaar Henk Schippers legt uit waarom zo’n kopie belangrijk is. “Iedere aanval met ransomware is anders, het is dus onzeker welke informatie de expert kan redden en hoe lang dit duurt. Met zo’n forensische kopie onderzoek je gedetailleerd hoe de gijzelnemer toegang kreeg, en hoe de ransomware het netwerk kon blokkeren. De forensische kopie is een ‘foto van het systeem’ op het moment van de gijzeling. Het is het beginpunt van de zoektocht naar oorzaken die in het systeem zijn opgeslagen. Zodra je oorzaken ontdekt, weet je ook hoe je de kans op een volgende aanval kunt verkleinen.”

5. Zet een nieuw systeem op

Je wilt natuurlijk zo snel mogelijk weer een werkend systeem. Ook daarbij helpt de forensisch expert. Naast het onderzoek naar de gijzeling met ransomware, kan hij een nieuw systeem voor je opzetten. Hiervoor is wel een back-up nodig. ”Automatisch online gemaakte back-ups kunnen ook geïnfecteerd zijn met schadelijke malware. En dan moet je verder terug in de tijd zoeken naar een fysieke back-up of andere losse data. Als je regelmatig offline een back-up maakt, kunnen criminelen deze niet blokkeren”, legt Schippers uit.

6. Zoek naar de oorzaak

Om te voorkomen dat zo’n gijzeling opnieuw plaatsvindt, is het belangrijk om direct te zoeken naar de oorzaak, zegt Schippers. ”Heeft een medewerker onbewust op een link geklikt die vertrouwelijke informatie of wachtwoorden lekt aan criminelen? Of heeft een medewerker per ongeluk informatie met derden gedeeld? Veel cyberaanvallen starten bij een menselijke fout of fraude binnen het bedrijf.” De ransomware-aanval op Universiteit Maastricht had meerdere oorzaken. Enkele phishingmails zijn niet tijdig herkend. De universiteit maakte vooral gebruik van online back-ups. En een deel van de duizenden computers kreeg niet op tijd een update. De reactie van de universiteit op het forensisch advies van FOX-IT vind je in dit rapport.

Verbeter je preventie

Verbeter je preventieve maatregelen zodra het systeem weer werkt. Voor een goede test van je systeem laat je een onafhankelijke expert een nulmeting uitvoeren. Er zijn vele aanbieders van ‘pentests’ ofwel penetratietesten. “Een onafhankelijke expert vindt zwakke plekken die de bouwer van het netwerk misschien over het hoofd ziet. Na de test kan de eigen IT-dienstverlener met de aandachtspunten en kwetsbaarheden aan de slag. Zo’n pentest moet je regelmatig herhalen”, vertelt Schippers.

Extra bescherming met SOC

Verschillende internetproviders bieden Security Operation Center (SOC)-diensten aan, die je bedrijf extra beschermen tegen digitale dreigingen. Schippers legt uit: “De SOC-functie van providers biedt je bedrijf 24/7 monitoring van het digitale ‘verkeer’ rond je bedrijfsnetwerk. Dit biedt extra veiligheid tegen cyberaanvallen. Wel blijft altijd eigen bescherming van je wifi-punten nodig, met antivirus, firewall en alarmeringssystemen. Bij de strijd tegen cybercriminaliteit moet je steeds op ieder onderdeeltje alert blijven.”

DTC Community geeft dreigingsinformatie

In september 2021 heeft het Digital Trust Center de DTC Community opgezet. Via de DTC Community ontvangen ondernemers actuele informatie over ernstige cyberdreigingen en kwetsbaarheden in ICT-systemen. Als je je aansluit bij de DTC Community informeert DTC je over maatregelen die je kunt treffen om schade te voorkomen of beperken.

Is jouw bedrijf getroffen door ransomware? We komen graag met je in contact. Deel je ervaring via kvk.cyber@kvk.nl.
Paul Geertman

KVK-adviseur die ondernemers helpt bij keuzes. Van het starten van een bedrijf tot internationaal zakendoen. Schrijft artikelen over veilig zakendoen. Deelt informatie over ondernemen, regelgeving en over kansen in een regio of branche.

InspiratiePage
Veilig zakendoen