Cryptolockers en ransomware: hoe kunt u schade voorkomen?

Waar wij anderhalf jaar geleden openden met de vraag of ransomware u al bekend was, is dit vandaag de dag een bekende nachtmerrie voor veel ict-managers. De kennis en mogelijkheden om deze verzameling virussen die uw gegevens ‘gijzelen’ tegen te houden nemen toe, maar zo ook de kunsten om voorbij deze anti-virussoftware te komen. OGD geeft u een update van de spelregels en troeven op het gebied van deze cybercriminaliteit.

Ontwikkelingen van ransomware

Een jaar of vier geleden ontvingen vooral particulieren slecht vertaalde e-mails die qua lay-out overeen leken te komen met grote bankiers of verzekeraars. Hierin probeerden internetcriminelen de lezer zover te krijgen om op een knop te klikken waarbij malware werd geïnstalleerd op de betreffende computer. De infectieratio van deze massamailings was erg laag, waardoor de tactieken van de cybercriminelen in de loop van de tijd alleen maar slinkser zijn geworden.

Anno 2016 zijn hun tactieken van kleine investeringen en kleine oogsten verschoven naar het andere uiterste: de criminelen investeren tijd in een perfecte variant van ransomware die is gericht op een specifieke doelgroep of zelfs een specifiek persoon. Zo versturen ze levensechte facturen op naam die per e-mail binnenkomen. Er is zelfs een geval bekend waar een met ransomware geïnfecteerde usb-stick in de zandbak bij een CEO in de tuin begraven werd, in de hoop dat dochterlief hem zou vinden en in de werklaptop zou steken.

De aankleding van cryptolockers en ransomware is zo goed geworden dat Nederland wereldwijd helaas op de vierde plaats staat op de lijst met meest geïnfecteerde bedrijven. En een infectie kost altijd geld, los van de keuze om wel of geen losgeld te betalen.

Nu rijst de vraag des te meer: hoe voorkom ik deze schade bij mijn organisatie?

Voorzorgsmaatregelen

Eerder schreven wij over voorzorgsmaatregelen als anti-virussoftware, de beperking van onnodige toegang van medewerkers, het beheren van lokale adminrechten, het frequent back-uppen van uw data en het up-to-date houden van systemen en patches.

Maar u kunt meer doen. In aanvulling op de adviezen in onze vorige blogpost hebben we de volgende tips voor u op een rij gezet:

• Installeer intelligente Threat Analytics-software om verdachte activiteiten in uw digitale omgeving tijdig op te merken en onder de aandacht te brengen.
• Als u gebruik maakt van Microsoft Office365 Enterprise (E1+) is er binnen uw Office365-omgeving de optie om Universal Audit Log aan te zetten. Schakel de optie in om bij toeslaan van ransomware het herstel van uw bestanden gemakkelijker te maken.
• Stel een sluitend plan op met een Recovery Point Objective (RPO) en Recovery Time Objective (RTO). Dit plan bevat een doorlopend protocol met hoe frequent en op welke wijze uw omgeving dagelijks wordt veiliggesteld in een vorm van back-up (RPO), en daarnaast een protocol waarin u in kaart heeft gebracht welke exacte handelingen er verricht moeten worden om uw omgeving zo snel mogelijk terug te zetten bij een doemscenario (RTO). Hiermee maakt u inzichtelijk hoe hoog de kosten zijn op het moment dat het mis gaat, en kunt u afwegen wat u in bescherming wilt investeren.
• Maak aan uw medewerkers duidelijk wat de belangen zijn van security binnen uw omgeving, en wat de gevolgen kunnen zijn van een lakse omgang met twijfelachtige situaties. In de afgelopen jaren is gebleken dat u nog zo’n duur slot kunt kopen, maar u nog steeds weerloos bent als de gebruikers niet verantwoordelijk met de sleutels omgaan.

Maatregelen bij een infectie

Voorkomen is beter dan genezen, en dat geldt zeker voor ransomware. Mocht uw infrastructuur onverhoopt geïnfecteerd raken, kunt u de volgende dingen doen:

• Laat u niet afschrikken door dreigementen van de hackers, en reageer niet op berichten die u van hen ontvangt.
• Neem direct contact op met de politie en doe aangifte van afpersing.
• Restore alle beschadigde data naar de laatste versie vóór de infectie.
• Als u gebruikt maakt van het bovengenoemde Universal Audit Log, kunt u zelfs bij een geavanceerde cryptolocker vrij eenvoudig uw data terugzetten.