Cybersecurity

Gegijzeld door ransomware. Wat nu?

Stel: uit het niets vergrendelt een crimineel jouw IT-systeem, jij en je medewerkers kunnen niet meer bij je digitale informatie. Ransomware ofwel gijzelsoftware heeft je systeem op slot gezet. De crimineel eist losgeld om je uit deze gijzeling te bevrijden. Je staat onder druk, het bedrijf moet verder. Paniek slaat toe, en de verleiding is groot om toch maar te betalen. Welke stappen kun je nemen?

De anonieme crimineel wil dat je snel in cryptocurrency, zoals bitcoins, betaalt. De ransomware-aanval op Universiteit Maastricht, trok eind 2019 veel publiciteit. Bij deze gijzeling is losgeld betaald. Criminelen vallen niet alleen grote bedrijven en organisaties aan met ransomware. Hackers gijzelen ook kleinere en middelgrote bedrijven.

Betalen of niet?

Als je voor betalen kiest, heb je hopelijk wel je data terug, maar help je ook de criminelen. Je weet bovendien niet zeker of je daarna van ze af bent. En de kans is groot dat deze criminelen zo’n geslaagde gijzeling ook bij anderen zullen uitproberen. Wat kun je doen, als je niet wil betalen? Volg deze 6 stappen:

1. Meld de aanval

Allereerst meld je de aanval bij je IT-dienstverlener en doe je aangifte bij de politie. Welke vragen kun je verwachten? Digital Trust Center (DTC), onderdeel van Ministerie van Economische Zaken en Klimaat, geeft tips voor het melden van cybercrime bij de politie. Meld de aanval ook bij Fraudehelpdesk, deze stichting geeft informatie en tips over actuele fraude aan burgers en bedrijven. Zijn er door de aanval ook persoonsgegevens uitgelekt? Dan moet je het datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens.

2. Schakel je IT-dienst in

Nadat je de gijzeling gemeld hebt, schakel je jouw eigen IT-dienstverlener in. Die kent jouw systeem en software het beste. Deskundigen ontwikkelen steeds nieuwe ‘decryptors’, tools waarmee je ransomware kunt verwijderen. Op NomoreRansom vind je voor welke types ransomware al een decryptor bestaat. Als je geluk hebt, heeft de crimineel software gebruikt die al eerder ‘ontmaskerd’ is, en komt de bevrijding uit de gijzeling in zicht. Je IT-dienstverlener helpt je hierbij.

3. Gebruik je back-up

Je hebt extra pech als je te maken hebt met ransomware waar nog geen decryptor voor is. Dan is een goede, recente back-up nodig om weer toegang te krijgen tot jouw gegevens en systemen. Administratiekantoor Bovendean uit Amsterdam werd ook gegijzeld, maar beschikte over recente back-ups. Na 1 dag kon het bedrijf weer bij de gegevens. In een videoverslag van DTC vertelt mede-eigenaar Gerke van de Ven over deze aanval met ransomware. DTC geeft adviezen voor het maken van een back-up.

4. Maak een forensische kopie

Heb je geen geschikte back-up? En is jouw IT-dienstverlener niet gespecialiseerd in het ontmantelen van ransomware? Dan kun je nog terecht bij een forensisch IT-bedrijf, dat gespecialiseerd is in onderzoek en analyse van computernetwerken. Zo’n expert zal eerst een zogeheten ‘forensische kopie’ maken van alle bestaande opslag, inclusief de criminele software. Schippers IT is een bedrijf dat zulke forensische kopieën maakt. Eigenaar Henk Schippers legt uit waarom dit belangrijk is: “Iedere aanval met ransomware is anders, het is dus onzeker welke informatie de expert kan redden en hoe lang dit duurt. Met zo’n forensische kopie onderzoek je gedetailleerd hoe de gijzelnemer toegang kreeg, en hoe de ransomware het netwerk kon blokkeren. De forensische kopie is een ‘foto van het systeem’ op het moment van de gijzeling. Het beginpunt van de zoektocht naar oorzaken die in het systeem zijn opgeslagen.”

5. Zet een nieuw systeem op

Je wilt natuurlijk zo snel mogelijk weer een werkend systeem. Ook daarbij helpt de forensisch expert. Naast het onderzoek naar de gijzeling met ransomware, kan hij een nieuw systeem voor je opzetten. Hiervoor is wel een back-up nodig. Schippers: ”Automatisch online gemaakte back-ups kunnen ook geïnfecteerd zijn met ransomware. En dan moet je verder terug in de tijd zoeken naar een fysieke back-up of andere losse data. Als je regelmatig offline een back-up maakt, kan deze niet door criminelen worden geblokkeerd.”

6. Zoek naar de oorzaak

Om te voorkomen dat zo’n gijzeling weer kan plaatsvinden, is het belangrijk om direct te zoeken naar de oorzaak. Schippers: ”Heeft een medewerker onbewust op een link geklikt die vertrouwelijke informatie of wachtwoorden lekt aan criminelen? Of heeft een medewerker per ongeluk informatie met derden gedeeld? Veel cyberaanvallen starten bij een menselijke fout of fraude binnen het bedrijf.” De ransomware-aanval op Universiteit Maastricht had meerdere oorzaken. Enkele phishing-mails zijn niet tijdig herkend. De universiteit maakte vooral gebruik van online back-ups, en een deel van de duizenden computers kreeg niet op tijd een update. De reactie van de universiteit op het forensisch advies van FOX-IT vind je in dit rapport.

Verbeter je preventie

Verbeter je preventieve maatregelen zodra het systeem weer werkt. Voor een goede test van je systeem laat je een onafhankelijke expert een nulmeting uitvoeren. Er zijn vele aanbieders van ‘pentests’ ofwel penetratietesten. Schippers: “Een onafhankelijke expert vindt zwakke plekken die de bouwer van het netwerk misschien over het hoofd ziet. Na de test kan de eigen IT-dienstverlener met de aandachtspunten en kwetsbaarheden aan de slag. Zo’n pentest moet je regelmatig herhalen.”

Extra bescherming met SOC

Verschillende internetproviders bieden Security Operation Center (SOC)-diensten aan, die je bedrijf extra beschermen tegen digitale dreigingen. Schippers: “De SOC-functie van providers biedt jouw bedrijf 24/7 monitoring van het digitale ‘verkeer’ rond jouw bedrijfsnetwerk. Dit biedt extra veiligheid tegen cyberaanvallen. Wel blijft altijd eigen bescherming van je wifi-punten nodig, met antivirus, firewall en alarmeringssystemen. Bij de strijd tegen cybercriminaliteit moet je steeds op ieder onderdeeltje alert blijven.”

Meer leren over de digitale beveiliging van jouw bedrijf? Bekijk de videoserie Veilig & online ondernemen van KVK Beyond Business.
Paul Geertman

KVK-adviseur die ondernemers helpt bij keuzes. Van het starten van een bedrijf tot internationaal zakendoen. Schrijft artikelen over veilig zakendoen. Deelt informatie over ondernemen, regelgeving en over kansen in een regio of branche.

InspiratiePage