Veel bedrijven worden getroffen door ransomware. Het onlangs opgerichte platform No More Ransom (www.nomoreransom.org) is een volgende stap in het internationale initiatief van politie, justitie en de private sector om gezamenlijk wereldwijd ransomware te bestrijden.
In het project werken Europol, Kaspersky Lab, Intel Security en de Nationale Politie van Nederland samen. Het betreft een nieuwe online portal dat organisaties, die het slachtoffers zijn geworden van ransomware, helpt bij het herstellen van hun data zonder dat zij cybercriminelen hoeven te betalen. Hoe kun je als ict-manager zelf je bedrijf nog sterker maken in de strijd tegen ransomware? Computable sprak erover met de organisaties achter het No More Ransom-platform en met senior technologist Dharminder Debisarun van Palo Alto Networks en Erwin Friethoff, security solution architect bij IBM Security.
1. Doe altijd aangifte
Wilbert Paulissen, hoofd van de Nationale Recherche, is duidelijk: doe altijd aangifte wanneer je bedrijf het slachtoffer wordt van ransomware. ‘Niet alleen kan de politie dan de cybercriminelen aanpakken, je geeft als organisatie gelijk ook informatie door voor andere instanties. Bedenk dat ransomware een globaal probleem is dat over landsgrenzen heengaat. Over hoe meer informatie internationale organisaties als Europol beschikt, hoe sterker we staan in de strijd tegen deze criminelen en hoe beter we de criminele infrastructuur kunnen onderbreken.’
2. Maak medewerkers bewust van de gevaren
Bewustwording is essentieel, vertelt Dharminder Debisarun van Palo Alto Networks. ‘Geef alle medewerkers van je bedrijf daarom ‘bewustzijnstrainingen’, zodat ze het gevaar en de omvang van ransomware leren kennen. Doe dit gedurende het jaar, zodat een bewust it-gebruik een tweede natuur wordt in je organisatie.’
Ook Erwin Friethoff van IBM Security stelt dat bewustzijnstrainingen belangrijk zijn. ‘Deze trainingen moeten inderdaad vaak worden herhaald, het is namelijk belangrijk dat werknemers leren om mogelijke gevallen van ransomware te herkennen. Daarnaast is het belangrijk om dit bewustzijn te controleren door het sturen van testmailtjes, waarbij gevaarlijke software wordt nagebootst. Dit geeft inzicht in hoeverre het bewustzijn is doorgedrongen en waar er nog noodzaak is voor betere training.’
Ten slotte stelt Friethoff dat het belangrijk is dat medewerkers weten wat ze moeten doen als ze door ransomware getroffen zijn. ‘Maak een stappenplan waarbij werknemers precies weten wie ze intern moeten benaderen, zodat de impact bepaald en geminimaliseerd kan worden.’
3. Maak voldoende back-ups
Het advies vanuit het No More Ransom-project voor bedrijven is om een back-up van een back-up van een back-up te maken. Debisarun voegt hieraan toe dat het vooral belangrijk is om niet een back-up binnen hetzelfde netwerk te maken (netwerkshare), maar de back-up te bewaren op een locatie waar ransomware geen toegang heeft. ‘Anders wordt je back-up ook ge-encrypt en ben je nog geen stap verder. Verder moet je altijd controleren of je back-ups kunt lezen en een gap-analyse maken van wat voor data er eventueel kan verdwijnen bij een aanval. Deze procestest, waarbij gecontroleerd wordt of bestanden via een back-up teruggehaald kunnen worden, is bijna net zo belangrijk als de back-up zelf. Als je het nooit test, kan blijken dat de back-up minder veilig is dan gedacht. Ten slotte moet het in een organisatie vanzelfsprekend worden om back-ups te maken; zorg ervoor dat het onderdeel wordt van het werkproces.’
4. Bescherm je netwerk
Om de verspreiding van ransomware tegen te gaan, is het belangrijk om het aantal ‘netwerkshares’ te controleren en alleen die medewerkers toegang te geven voor wie toegang tot bepaalde systemen noodzakelijk is. Hoe minder gebruikers toegang hebben tot zo min mogelijk systemen, hoe beter. Immers, als één gebruiker geïnfecteerd is en diegene heeft toegang tot het netwerk, dan transformeert een enkele infectie tot een netwerkbrede storing. Ook het gebruik van internet of het lezen van e-mail kan het beste gelimiteerd worden. Ransomware-aanvallen vinden namelijk het vaakst plaats bij deze activiteiten.
5. Bescherm het e-mailverkeer
Ransomware begint vaak met een e-mailbericht met een bestand dat met één klik de ransomware op een pc installeert (.exe). Next-generation firewalls kunnen deze bestanden identificeren en blokkeren of in quarantaine plaatsen. Gebruik vooral ook unknown malware prevention; detectiesystemen die ‘signature-based’ zijn traceren enkel bekende malware en zijn onbetrouwbaar bij het tegenhouden van nieuwe malware. Friethoff stelt dat bedrijven kunnen overwegen om uitvoerbare bestanden te verwijderen uit e-mails. ‘Door uitvoerbare bestanden uit de email te verwijderen, komen deze niet meer aan bij de medewerkers en wordt de kans op per ongeluk uitvoeren verkleind. Daarnaast is het belangrijk om software te installeren die reageert op het gedrag van een applicatie. Dit noemen we ‘behavioural analysis’; als een Word-bestand bijvoorbeeld opeens vreemd gedrag vertoont, komt deze software in actie.’
6. Betaal nooit
‘Met het betalen van cybercriminelen houd je het businessmodel in stand’, vindt Paulissen. Uit eerder onderzoek van Kaspersky Lab bleek dat het aantal door cryptoware aangevallen gebruikers met 550 procent is gestegen: van 131.000 in 2014-2015 tot 718.000 in 2015-2016. In Nederland was er een stijging van 814 naar 9967 (+1224 procent). Niet betalen is volgens het hoofd van de Nationale Recherche een belangrijke remedie tegen deze vorm van criminaliteit. Bovendien, zo stelt Jornt van der Wiel van Kaspersky Lab, is een betaling nooit een garantie dat je weer toegang krijgt tot de versleutelde gegevens.
7. Gebruik alleen betrouwbare software en update deze
Gebruik officiële software en betrouwbare websites om je bedrijfssoftware up-to-date te houden met de laatste beveiligingsreleases. Bij het installeren van onbetrouwbare software of software met een onbekende herkomst kan tegelijkertijd malware geïnstalleerd worden die probeert om bedrijfsdata te stelen en vervolgens te encrypten, waardoor je als bedrijf niet meer bij deze gegevens kunt. Het updaten van software is ook heel erg belangrijk. Veel malware-infecties zijn het resultaat van criminelen die bugs in software misbruiken om malware te installeren.
8. Gebruik antivirussoftware
Het lijkt vanzelfsprekend, maar is erg belangrijk. Ook deze software wordt te vaak te weinig geüpdatet. Antivirussoftware houdt de bedrijfscomputers vrij van de meest bekende malware. Leer je medewerkers ook om gedownloade bestanden altijd door een virusscanner te halen.
9. Kies voor een next generation firewall
Volgens Debisarun van Palo Alto Networks is het belangrijk om te kiezen voor een next generation firewall, die de ‘data’ als het ware overal volgt. ‘Zorg voor continue beveiliging daar waar je met je data naar toegaat’, stelt hij. ‘De next generation firewall richt zich op het applicatieverkeer en voert zo onder meer een nog diepgaandere inspectie van webapplicaties uit. De firewall kan bijvoorbeeld het gebruik van sociale netwerksites, of onderdelen daarvan, in bedrijven monitoren, filteren, weigeren of doseren per gebruiker.’
10. Behoud het overzicht en maak een draaiboek
Debisarun stelt ook dat het belangrijk is dat de it-beheerder het overzicht behoudt en precies kan zien wat er binnen een netwerk gebeurt. ‘Hierdoor kun je als ict-team zien of je bedrijf goed bewapend is en wat mogelijke risico’s zijn. Zorg dus voor de juiste tools zodat je weet wat er gebeurt in je netwerk en je endpoint.’
Ten slotte is het volgens de senior technologist belangrijk om een draaiboek te hebben voor het geval dat je bedrijf het slachtoffer wordt van ransomware. ‘Zorg dat je als ict-manager niet overvallen wordt door een ransomware-aanval. Maak een draaiboek waarin je stap-voor-stap beschrijft wat er vanuit de firma moet gebeuren in het geval van zo’n aanval.’ Friethoff van IBM Security beaamt dit. ‘Maak een incident response plan waarin staat wat de stappen zijn bij een mogelijke aanval van ransomware en welke experts er eventueel moeten worden ingeschakeld.’
Toch geïnfecteerd? Kijk dan op Nomoreransom.org en controleer of je bedrijf wellicht is geïnfecteerd met één van de ransomwarevarianten waar gratis decryptiesleutels voor beschikbaar zijn. Soms lukt het ook om ransomware te decoderen door informatie te gebruiken die in de ‘losgeldbrief’ staat of door malware analysis- of intelligente systemen te gebruiken. Voorkomen blijft echter altijd beter dan genezen.
Dit artikel is ook gepubliceerd in Computable Magazine 8 van oktober 2016
Ransomware in cijfers
– 753 684 gebruikers wereldwijd zijn in 2015 geïnfecteerd met ransomware.
– In februari 2016 betaalde een Amerikaans ziekenhuis 17.000 dollar aan cybercriminelen na een ransomware-aanval.
– Gemiddeld gaven slachtoffers 300 dollar uit om data weer in hun bezit te krijgen.
– 17 procent van de ransomware viel Android-devices aan in 2015.
Ransomware en IoT
Volgens Erwin Friethoff van IBM Security geldt bij internet of things (IoT) hetzelfde veiligheidsniveau als bij andere software. Wel is het belangrijk dat dit niveau bij alle leveranciers hetzelfde is. ‘Bij IoT is er vaak sprake van verschillende leveranciers. Alle veiligheidsniveaus moeten binnen deze ‘supply chain’ hetzelfde zijn, anders geldt één onderdeel als mogelijke ‘ransomware-springplank’ voor de rest van de keten. Ook de devices die aangesloten zijn op het IoT moeten aan dezelfde strenge veiligheidseisen voldoen.’
