Het is het nieuws dat geen enkele organisatie wil horen: je bent het slachtoffer geworden van een ransomware aanval, en nu vraag je je af wat je nu moet doen. 

Het eerste dat u in gedachten moet houden, is dat u niet de enige bent. Bij ruim 17 procent van alle cyberaanvallen is ransomware betrokken-een type van malware die de gegevens of het apparaat van een slachtoffer vergrendeld houdt, tenzij het slachtoffer de hacker losgeld betaalt. Van de 1,350 organisaties die in een recent onderzoek zijn onderzocht, 78 procent kreeg te maken met een succesvolle ransomware-aanval (link bevindt zich buiten ibm.com).

Ransomware-aanvallen gebruiken verschillende methoden, of vectoren, om netwerken of apparaten te infecteren, waaronder het misleiden van individuen om op kwaadaardige links te klikken. Phishing e-mails en het misbruiken van kwetsbaarheden in software en besturingssystemen, zoals externe toegang. Cybercriminelen vragen doorgaans om losgeld in Bitcoin en andere moeilijk te traceren cryptocurrencies, waarbij slachtoffers tegen betaling decoderingssleutels krijgen om hun apparaten te ontgrendelen.

Het goede nieuws is dat elke organisatie in het geval van een ransomware-aanval basisstappen kan volgen om de aanval in te dammen, gevoelige informatie te beschermen en de bedrijfscontinuïteit te garanderen door de downtime tot een minimum te beperken.

Eerste reactie

Isoleer getroffen systemen 

Omdat de meest voorkomende varianten van ransomware netwerken scannen op kwetsbaarheden die zich lateraal kunnen verspreiden, is het van cruciaal belang dat getroffen systemen zo snel mogelijk worden geïsoleerd. Koppel ethernet los en schakel WiFi, Bluetooth en andere netwerkmogelijkheden uit voor elk geïnfecteerd of mogelijk geïnfecteerd apparaat.

Twee andere stappen om te overwegen: 

• Onderhoudstaken uitschakelen. Schakel automatische taken (zoals het verwijderen van tijdelijke bestanden of het roteren van logboeken) waarin de getroffen systemen voorkomen, onmiddellijk uit. Deze taken kunnen de bestanden verstoren en het onderzoek en herstel van ransomware belemmeren. 
• Back-ups loskoppelen. Omdat veel nieuwe typen ransomware zich richten op het maken van back-ups om het herstel moeilijker te maken, is het verstandig om gegevensback-ups offline te houden. Beperk de toegang tot back-upsystemen totdat u de infectie heeft verwijderd.

Maak een foto van het losgeldbriefje

Voordat u verdergaat met iets anders, moet u een foto maken van het losgeldbriefje, bij voorkeur door het scherm van het getroffen apparaat te fotograferen met een afzonderlijk apparaat zoals een smartphone of camera. De foto versnelt het herstelproces en helpt bij het indienen van een politierapport of een mogelijke claim bij uw verzekeringsmaatschappij.

Breng het beveiligingsteam op de hoogte

Zodra u de betrokken systemen heeft losgekoppeld, dient u uw contactpersoon op de hoogte te stellen IT beveiliging ploeg van de aanval. In de meeste gevallen kunnen IT-beveiligingsprofessionals adviseren over de vervolgstappen en deze voor uw organisatie activeren incident reactie plan, dat wil zeggen de processen en technologieën van uw organisatie voor het detecteren van en reageren op cyberaanvallen.

Start de getroffen apparaten niet opnieuw op

Als u te maken heeft met ransomware, vermijd dan het opnieuw opstarten van geïnfecteerde apparaten. Hackers weten dat dit uw eerste instinct kan zijn, en sommige soorten ransomware merken herstartpogingen op en veroorzaken extra schade, zoals het beschadigen van Windows of het verwijderen van gecodeerde bestanden. Opnieuw opstarten kan het ook moeilijker maken om ransomware-aanvallen te onderzoeken. Waardevolle aanwijzingen worden opgeslagen in het geheugen van de computer, dat tijdens het opnieuw opstarten wordt gewist. 

Plaats in plaats daarvan de getroffen systemen in de slaapstand. Hierdoor worden alle gegevens in het geheugen opgeslagen in een referentiebestand op de harde schijf van het apparaat, zodat deze worden bewaard voor toekomstige analyse.

uitroeiing 

Nu u de getroffen apparaten heeft geïsoleerd, wilt u waarschijnlijk graag uw apparaten ontgrendelen en uw gegevens herstellen. Hoewel het uitroeien van ransomware-infecties lastig kan zijn om te beheren, vooral bij de meer geavanceerde varianten, kunnen de volgende stappen u op weg helpen naar herstel. 

Bepaal de aanvalsvariant

Verschillende gratis tools kunnen helpen bij het identificeren van het type ransomware dat uw apparaten infecteert. Als u de specifieke soort kent, kunt u verschillende belangrijke factoren begrijpen, waaronder hoe deze zich verspreidt, welke bestanden deze vergrendelt en hoe u deze kunt verwijderen. Upload gewoon een voorbeeld van het gecodeerde bestand en, als u die heeft, een losgeldbriefje en de contactgegevens van de aanvaller. 

De twee meest voorkomende soorten ransomware zijn schermvergrendelingen en encryptors. Schermkluisjes vergrendelen uw systeem, maar houden uw bestanden veilig totdat u betaalt, terwijl encryptors een grotere uitdaging zijn om aan te pakken, omdat ze al uw gevoelige gegevens vinden en coderen en deze pas decoderen nadat u het losgeld heeft betaald. 

Zoek naar decoderingstools

Zodra u de ransomware-variant heeft geïdentificeerd, kunt u overwegen om op zoek te gaan naar decoderingstools. Er zijn ook gratis tools om u bij deze stap te helpen, waaronder sites zoals Geen meer losgeld. Voer eenvoudigweg de naam van de ransomware-variant in en zoek naar de overeenkomende decodering. 

Download de definitieve gids voor ransomware

Herstel 

Als je het geluk hebt gehad om de ransomware-infectie te verwijderen, is het tijd om het herstelproces te starten.

Begin met het bijwerken van uw systeemwachtwoorden en herstel vervolgens uw gegevens via back-ups. U moet er altijd naar streven om drie kopieën van uw gegevens in twee verschillende formaten te hebben, waarbij één kopie extern wordt opgeslagen. Deze aanpak, bekend als de 3-2-1-regel, stelt u in staat uw gegevens snel te herstellen en losgeldbetalingen te voorkomen. 

Na de aanval moet u ook overwegen een beveiligingsaudit uit te voeren en alle systemen bij te werken. Door systemen up-to-date te houden, voorkom je dat hackers misbruik kunnen maken van kwetsbaarheden in oudere software. Regelmatige patches zorgen ervoor dat je machines actueel, stabiel en bestand zijn tegen malwarebedreigingen. Mogelijk wilt u uw incidentresponsplan ook verfijnen met de geleerde lessen en ervoor zorgen dat u het incident voldoende aan alle noodzakelijke belanghebbenden hebt gecommuniceerd. 

Notificerende autoriteiten 

Omdat ransomware afpersing en een misdrijf is, moet u ransomware-aanvallen altijd melden aan wetshandhavingsfunctionarissen of de FBI. 

De autoriteiten kunnen u mogelijk helpen bij het decoderen van uw bestanden als uw herstelpogingen niet werken. Maar zelfs als ze uw gegevens niet kunnen opslaan, is het van cruciaal belang dat ze de activiteiten van cybercriminelen in kaart brengen en hopelijk anderen helpen een soortgelijk lot te vermijden. 

Sommige slachtoffers van ransomware-aanvallen zijn mogelijk ook wettelijk verplicht om ransomware-infecties te melden. De naleving van de HIPAA vereist bijvoorbeeld over het algemeen dat zorginstellingen elk datalek, inclusief ransomware-aanvallen, melden aan het ministerie van Volksgezondheid en Human Services.

Beslissen of er betaald moet worden 

Beslissen of er losgeld moet worden betaald is een complexe beslissing. De meeste experts suggereren dat u alleen moet overwegen om te betalen als u alle andere opties heeft geprobeerd en het gegevensverlies aanzienlijk schadelijker zou zijn dan de betaling.

Ongeacht uw beslissing moet u altijd overleg plegen met wetshandhavingsfunctionarissen en cyberbeveiligingsprofessionals voordat u verder gaat.

Het betalen van losgeld garandeert niet dat u weer toegang krijgt tot uw gegevens of dat de aanvallers hun beloften zullen nakomen; slachtoffers betalen vaak het losgeld, maar ontvangen nooit de decoderingssleutel. Bovendien bestendigt het betalen van losgeld de activiteiten van cybercriminelen en kan het cybercriminaliteit verder financieren.

Het voorkomen van toekomstige ransomware-aanvallen

E-mailbeveiligingstools en anti-malware- en antivirussoftware zijn cruciale eerste verdedigingslinies tegen ransomware-aanvallen.

Organisaties vertrouwen ook op geavanceerde eindpuntbeveiligingstools zoals firewalls, VPN's en multi-factor authenticatie als onderdeel van een bredere strategie voor gegevensbescherming ter verdediging tegen datalekken.

Geen enkel cyberbeveiligingssysteem is echter compleet zonder de modernste mogelijkheden voor dreigingsdetectie en incidentrespons om cybercriminelen in realtime te vangen en de impact van succesvolle cyberaanvallen te beperken.

IBM Security® QRadar® SIEM past machine learning en user behavior analytics (UBA) toe op netwerkverkeer naast traditionele logs voor slimmere detectie van bedreigingen en sneller herstel. In een recent onderzoek van Forrester hielp QRadar SIEM beveiligingsanalisten meer dan 14,000 uur te besparen in drie jaar tijd door valse positieven te identificeren, waardoor de tijd die besteed werd aan het onderzoeken van incidenten met 90% werd verminderd en het risico op een ernstige inbreuk op de beveiliging met 60% werd verminderd.* Met QRadar SIEM, beveiligingsteams met beperkte middelen beschikken over de zichtbaarheid en analyses die ze nodig hebben om bedreigingen snel te detecteren en onmiddellijke, geïnformeerde actie te ondernemen om de effecten van een aanval te minimaliseren.

Meer informatie over IBM QRadar SIEM

*De Total Economic ImpactTM van IBM Security QRadar SIEM is een onderzoek in opdracht uitgevoerd door Forrester Consulting namens IBM, april 2023. Gebaseerd op de verwachte resultaten van een samengestelde organisatie, gemodelleerd op basis van vier geïnterviewde IBM-klanten. De werkelijke resultaten variëren afhankelijk van de clientconfiguraties en -omstandigheden en daarom kunnen algemeen verwachte resultaten niet worden geleverd.