Steeds vaker worden bedrijven en personen het slachtoffer van ransomware. In deze vorm van cybercrime worden bestanden op systemen versleuteld en pas weer vrijgegeven als er een bepaald bedrag wordt betaald of een andere tegenprestatie wordt geleverd. Bij een derde van alle Nederlandse bedrijven werd afgelopen jaar al een vorm van ransomware aangetroffen. Het lijkt echt ‘the next big thing’ te worden op het gebied van security.
Er zijn steeds meer meldingen en bedrijven zijn zich steeds beter bewust van deze relatief nieuwe vorm van cybercrime. De cijfers liegen er niet om. Bijna 40 procent van de Nederlandse cio’s en/of it-managers heeft afgelopen jaar een ransomware-aanval te verduren gehad. Daarnaast gaf een kleine 20 procent aan niet te weten of ze slachtoffer zijn geweest van ransomware.
In veel gevallen is niet duidelijk of bedrijven wel in staat zijn een weerwoord te hebben. Het merendeel stelt zeker te weten of te denken dat de aanwezige beveiligingsmaatregelen voldoende zijn. Een vijfde van de bedrijven weet zeker dat ze er slecht voorstaan omdat hun huidige securitytools onvoldoende bescherming tegen ransomware bieden.
Beheerder-accounts afschermen
Ransomware maakt vooral gebruik van gebruikersaccounts die meer rechten dan gemiddeld hebben, bijvoorbeeld beheerder-accounts. Deze privileged accounts zijn uiteraard een interessant doelwit en als niet goed zijn afgeschermd, heeft een hacker vrij spel binnen een organisatie. Slecht beveiligde privileged accounts zijn momenteel de favoriete doelen van hackers.
Naast het beter beschermen hiervan, is het ook belangrijk om te kijken wat er op een netwerk gebeurt. Zeker als derden (zoals partners of klanten) op het bedrijfsnetwerk mogen komen. Uit het onderzoek blijkt namelijk ook dat een flink aantal bedrijven dit verkeer niet monitoren of beveiligen. Hoe kun je bepalen of er ongeautoriseerde gebruikers zijn of activiteiten plaatsvinden als je het niet eens in de gaten houdt?
Connectivity is uiteraard onmisbaar om zaken te doen, maar dan moeten bedrijven deze verbindingen wel veilig maken. Voor die bedrijven zelf, maar ook de organisaties die contact maken met dergelijke netwerken. Het is een gezamenlijk risico dus ook een gezamenlijke verantwoordelijkheid.
Ransomware is een lastige vorm van Cybercrime, en zoals bij zoveel bedreigingen bestaat er geen “silver bullet” die in één oplossing alle problemen kan voorkomen of oplossen.
Zorgen dat de mensen allemaal de juiste rechten hebben en dat admins niet standaard inloggen met een supervisior/root/admin account maar een user account zou al veel oplossen. Juist admins zijn gevoelige doelen bij cybercrime. Ze hebben vaak toegang tot veel bestanden, en mogen vaak van alles installeren op hun device.
puntje 1 is dus dat de rechten structuur moet kloppen, zoals Bart Bruijnesteijn ook al aangaf.
Een ander punt is, het gaat je een keer overkomen, hoe goed je de boel ook afschermt. Accepteer dat het gaat gebeuren en denk nu alvast na over de gevolgen. Maak een runboekje voor jezelf wat je moet doen als het zo ver is. Cloud providers als NTT communications hebben dergelijke runbooks beschikbaar voor klanten die cloud diensten afnemen.
puntje 2, een runboek zorgt dat je het overzicht houd en geen vreemde/ondoordachte beslissingen neemt.
Heel veel (storage)servers vandaag ondersteunen snapshot technologie. Werden deze storage snapshots in het verleden vooral gemaakt om bijvoorbeeld een database developer een kopie van een database te geven en maaktje je misschien 4 snapshots per dag. Voor ransomware is het slim om dit snapshot schema aan te passen voor dit doel. Maak van de gebruikers data ieder kwartier een snapshot en bewaar deze niet heel lang. Als er dan een ransomware aanval komt is het verlies aan data te overzien.
Op deze centrale servers draait natuurlijk ook een up-to-date virus scanner om deze aanval snel te detecteren.
puntje 3, 4 en 5 backup, backup en backup.
En zo bouw je een security structuur waarin je niet één enkele grote muur plaatst, maar zeer veel kleine muurtjes om zo het doel te halen en de gevolgen de minimaliseren.
Wat ik mis in het artikel is welk(e) platform(en) het meest slachtoffer zijn van ransomware.
@Marcel Bootsman
Ransomware is voor 99% een PEBCAK probleem. De vraag is dus niet welke platformen gevoelig zijn voor ransomware, maar vooral welke computergebruikers.
Ransomware is te voorkomen door mensen bewust te maken van online bedreigingen.
Natuurlijk moet je back-ups hebben, Erwin van Bilsen, en goede (centrale) herkenning van ransomware mails en blacklists van ransomware sites is ook nodig, maar bewustwording bij mensen is veel belangrijker. Back-ups heb je nodig om te herstellen van de gevolgen van dataverlies door bijvoorbeeld ransomware, maar het is natuurlijk altijd beter om te voorkomen dat je je data verliest!
Vergelijk het maar met het verkeer. Ook al zijn alle auto’s APK goedgekeurd, en zijn ze allemaal voorzien van ABS, toch moet je goed uitkijken als je een straat oversteekt. Jij, de voetganger in het drukke verkeer, de computergebruiker op het grote boze internet, jij moet alert zijn en uitkijken. Een aanrijding zelf voorkomen door uitkijken bij het oversteken (bewustwording bij computergebruikers) is beter dan hopen dat de auto op tijd remt (vals gevoel van veiligheid omdat je uitgaat van virusscanners) en het is oneindig veel beter dan enige tijd te moeten herstellen in het ziekenhuis (terugzetten van een back-up).
Ransomware hoeft niet al te moeilijk te zijn. Als je zorgt voor goede bescherming van je netwerk dan is de kans echt niet zo groot. Een vloek hierbij is de BYOD structuur die vele organisaties ingevoerd hebben zonder daar ook echt goed naar te kijken wat er zoal op het eigen netwerk draait.
Erg behulpzaam is de volgende site; https://www.nomoreransom.org/
Kijk vooral ook naar software om ransomware buiten de deur te houden. En een backup is niet zaligmakend omdat ransomware zich ook al ongezien in je backup kan hebben genesteld. Ik ken een case waarbij een organisatie een ransomware attack heeft gehad en drie weken later nogmaals omdat ze een besmette backup terug hadden gezet. Dus ook je backup bestanden meenemen in de scan. En maak je gebruikers vooral bewust van het gevaar.
Het werkt omdat er betaald wordt.
Als er niet betaald wordt werkt het niet meer.