Na beveiligingslek gegijzeld door ransomware. Wat nu?

Stel, uit het niets vergrendelt een crimineel je IT-systeem. Je kunt niet meer bij je digitale informatie. Met ransomware, ofwel gijzelsoftware, zetten criminelen je computers op slot. Ze eisen losgeld om je uit deze gijzeling te bevrijden. Je staat onder druk, wat nu? Securityexperts Henk Schippers en Dave Maasland vertellen wat je kunt doen tegen ransomware.

In oktober 2021 legde industrieconcern VDL, de productie grotendeels stil na een cyberaanval met gijzelsoftware. De ransomware-aanval op Universiteit Maastricht trok eind 2019 veel publiciteit. Bij deze gijzeling is losgeld betaald. In juli 2022 kwam het spectaculaire bericht dat het losgeld in Oekraïne is teruggevonden en met ‘flinke koerswinst’ is terugbetaald. Dave Maasland, cybersecurityexpert bij ESET, vindt dat het risico op ransomware en datalekken bij bedrijven hoog op de agenda moet staan. Criminelen vallen met gijzelsoftware niet alleen grote bedrijven en organisaties aan. Ook kleinere en middelgrote bedrijven lopen risico.

Betalen of niet?

Bij ransomware eisen anonieme criminelen dat je snel losgeld betaalt in cryptocurrency, zoals bitcoin. Als je betaalt, weet je niet zeker of je je data echt terugkrijgt en of je daarna van de afpersers af bent. Bovendien help je daarmee de criminelen. De kans is groot dat ze zo’n geslaagde cyberaanval ook bij anderen uitproberen. Wat kun je doen, als je niet wilt betalen? Met deze zes stappen kun je snel weer verder met je werk:

1. Schakel je IT-dienst in

Neem direct contact op met je IT-beheerder. Die kent je systeem en software het beste. Cybercrimeexperts ontwikkelen steeds nieuwe ‘decryptors’, tools waarmee je ransomware verwijdert. Op NomoreRansom vind je voor welke types ransomware al een decryptor bestaat. Als je geluk hebt, heeft de crimineel ransomware gebruikt die al eerder ‘ontmaskerd’ is, en haalt de decryptor je uit de gijzeling. Heb je geen IT-beheerder? Zoek dan externe hulp van een bedrijf dat meer weet over het digitaal beveiligen en herstellen van netwerken.

2. Meld de cyberaanval

Doe bij de politie aangifte van de cyberaanval. Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken en Klimaat, geeft tips voor het melden van cybercrime bij de politie. Meld de cyberaanval ook bij de Fraudehelpdesk, deze stichting geeft informatie en tips over actuele fraude aan burgers en bedrijven. Zijn er door de aanval ook persoonsgegevens uitgelekt? Dan moet je het datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Volgens Maasland is het lekken van data bij een ransomware-aanval een groeiend probleem. “Moet je alle data wel opslaan, en voor hoe lang? Wat doe je als deze data op straat komt te liggen?” Het dreigen met lekken van gevoelige of kostbare data is een extra drukmiddel van criminelen.

3. Gebruik je back-up

Je hebt extra pech als je te maken hebt met ransomware waar nog geen decryptor voor is. Dan heb je een goede, recente back-up nodig om weer toegang te krijgen tot je gegevens en systemen. Cybercriminelen vielen aministratiekantoor Bovendean uit Amsterdam aan met gijzelsoftware. Maar dit bedrijf beschikte over recente back-ups. Na een dag kon het bedrijf weer bij de gegevens. In een videoverslag van DTC vertelt mede-eigenaar Gerke van de Ven over deze aanval met ransomware. DTC geeft adviezen voor het maken van een back-up.

4. Maak een forensische kopie

Heb je geen geschikte back-up? En is je IT-dienstverlener niet gespecialiseerd in het ontmantelen van ransomware? Dan kun je terecht bij een forensisch IT-bedrijf dat gespecialiseerd is in onderzoek en analyse van computernetwerken. Zo’n expert zal eerst een zogeheten ‘forensische kopie’ maken van alle bestaande opslag, inclusief de gijzelsoftware. Schippers IT is een bedrijf dat zulke forensische kopieën maakt. Eigenaar Henk Schippers legt uit waarom zo’n kopie belangrijk is. “Iedere aanval met ransomware is anders, het is dus onzeker welke informatie de expert kan redden en hoe lang dit duurt. Met zo’n forensische kopie onderzoek je gedetailleerd hoe de gijzelnemer toegang kreeg, en hoe de ransomware het netwerk kon blokkeren. De forensische kopie is een ‘foto van het systeem’ op het moment van de gijzeling. Het is het beginpunt van de zoektocht naar oorzaken die in het systeem zijn opgeslagen. Zodra je oorzaken ontdekt, weet je ook hoe je de kans op een volgende aanval kunt verkleinen.”

5. Zet een nieuw systeem op

Je wilt natuurlijk zo snel mogelijk weer een werkend systeem. Ook daarbij helpt de forensisch expert. Naast het onderzoek naar de gijzeling met ransomware, kan die een nieuw systeem voor je opzetten. Hiervoor is wel een back-up nodig. ”Automatisch online gemaakte back-ups kunnen ook geïnfecteerd zijn met schadelijke malware. En dan moet je verder terug in de tijd zoeken naar een fysieke back-up of andere losse data. Als je regelmatig offline een back-up maakt, kunnen criminelen deze niet blokkeren”, legt Schippers uit.

6. Zoek naar de oorzaak

Om te voorkomen dat gijzelsoftware je opnieuw raakt, is het belangrijk om direct te zoeken naar de oorzaak, zegt Schippers. ”Heeft een medewerker onbewust op een link geklikt die vertrouwelijke informatie of wachtwoorden lekt aan criminelen? Of heeft een medewerker per ongeluk informatie met derden gedeeld? Veel cyberaanvallen starten bij een menselijke fout of fraude binnen het bedrijf.” De ransomware-aanval op Universiteit Maastricht had meerdere oorzaken. Enkele phishingmails zijn niet tijdig herkend. De universiteit maakte vooral gebruik van online back-ups. En een deel van de duizenden computers kreeg niet op tijd een update. De reactie van de universiteit op het forensisch advies van FOX-IT vind je in dit rapport.

Verbeter je preventie

Verbeter je preventieve maatregelen zodra het systeem weer werkt. Voor een goede test van je systeem laat je een onafhankelijke expert een nulmeting uitvoeren. Er zijn vele aanbieders van ‘pentests’ ofwel penetratietesten. “Een onafhankelijke expert vindt zwakke plekken die de bouwer van het netwerk misschien over het hoofd ziet. Na de test kan de eigen IT-dienstverlener met de aandachtspunten en kwetsbaarheden aan de slag. Zo’n pentest moet je regelmatig herhalen”, vertelt Schippers.

Extra bescherming met SOC

Verschillende internetproviders bieden Security Operation Center (SOC)-diensten aan, die je bedrijf extra beschermen tegen digitale dreigingen. Schippers legt uit: “De SOC-functie van providers biedt je bedrijf 24/7 monitoring van het digitale ‘verkeer’ rond je bedrijfsnetwerk. Dit biedt extra veiligheid tegen cyberaanvallen. Wel blijft altijd eigen bescherming van je wifi-punten nodig, met antivirus, firewall en alarmeringssystemen. Bij de strijd tegen cybercriminaliteit moet je steeds op ieder onderdeeltje alert blijven.”

DTC Community geeft dreigingsinformatie

In september 2021 heeft het Digital Trust Center de DTC Community opgezet. Via de DTC Community ontvangen ondernemers actuele informatie over ernstige cyberdreigingen en kwetsbaarheden in ICT-systemen. Als je je aansluit bij de DTC Community informeert DTC je over maatregelen die je kunt treffen om schade te voorkomen of beperken.