Bij een ransomware-aanval zijn er verschillende stappen die je kunt ondernemen om het incident efficiënt af te handelen. In dit document geven we meer informatie over hoe je kunt reageren op het incident en hoe je dit in de toekomst kunt voorkomen.
VOORKOMEN
Gebruik de volgende preventieve maatregelen om toekomstige ransomware-aanvallen te helpen voorkomen
1. Installeer MFA
Gebruik Multi-Factor Authenticatie waar mogelijk. Gebruik altijd Multi-Factor Authenticatie bij toegang op afstand.
De meeste Multi-Factor Authenticatie tools combineren je wachtwoord met dingen die je hebt (smartphone, badge, ID-kaart) of dingen die je bent (vingerafdruk). Het gebruik van meerdere elementen voor authenticatie vermindert het risico op hacken.
Bekijk hier hoe je dat doet.
MFA is een must have voor je accounts, dit zorgt voor een extra beveiligingslaag en is over het algemeen een van de beste verdedigingen die je kunt hebben.
2. Hou je systemen up-to-date
- Hou je besturingssystemen, software en beveiligingsoplossingen up-to-date zodat ze minder kwetsbaar zijn voor aanvallen. Doe dit door vaak te patchen en te controleren op mogelijke exploits. Je IT-provider kan en moet verantwoordelijk zijn voor het up-to-date houden van je systemen. Hoewel zelfs een volledig up-to-date systeem niet waterdicht is, kan het een verschil maken of een incident zich al dan niet voordoet.
- De meeste software die bedrijven gebruiken wordt regelmatig bijgewerkt door de maker van de software. Deze updates kunnen patches bevatten die bedoeld zijn om de software beter te beschermen tegen nieuwe bedreigingen.
- Elk bedrijf zou een medewerker moeten aanwijzen die verantwoordelijk is voor het updaten van de software. Door het aantal mensen dat betrokken is bij het updaten van het systeem te verminderen, verminderen we het aantal potentiële aanvalsvectoren voor cybercriminelen.
Maandelijkse updates zijn een must en een stapsgewijze aanpak (testfase en dan in productie nemen) is goed om in te voeren.
Je moet ook een inventaris van je bedrijfsmiddelen hebben: een duidelijk beeld van wat er op je netwerk aanwezig is.
3. Back-ups maken
- Back-ups zijn essentieel om bestanden te herstellen na een incident met ransomware. Het maken van back-ups van alle vitale bestanden en systemen is een van de beste verdedigingen tegen ransomware. Als je moet beslissen over het aantal back-ups dat mogelijk haalbaar is, evalueer dan wat de meest kritieke informatie voor je bedrijf is.
- Alle gegevens kunnen worden hersteld tot aan de laatste back-up. Back-upbestanden moeten worden getest om er zeker van te zijn dat de gegevens compleet en onbeschadigd zijn. Deze analyse is essentieel!
- Pas de 3 op 1 regel toe: 2 verschillende back-ups op locatie en 1 op een andere locatie. Een van deze reservekopieën moet de "offline" kopie zijn.
- Beperk het aantal gebruikers dat toegang heeft tot je back-up. Hoe minder, hoe meer, hoe beter.
4. Leid je werknemers op
- Laat je werknemers opleiden over hoe ze phishing kunnen herkennen, bijvoorbeeld door geen verdachte e-mails en links te openen. Deze mails zijn vaak de aanleiding dat je organisatie gecompromitteerd wordt. Meer informatie hierover vind je op safeonweb.be.
- Zorg voor een kwalitatief goed trainings- en bewustwordingsprogramma op het gebied van cyberbeveiliging.
Voer regelmatig phishingtests uit en geef voorlichting aan gebruikers. Train gebruikers over het belang om niet op alles en nog wat te klikken en over hoe ze spam en phishing e-mails kunnen herkennen.
Train je IT-personeel doorlopend.
5. Rechtenbeheer
- Beperk administratieve rechten en shares.
- Passend bijhouden van referenties: elke werknemer, contractant en toegang tot systemen is een potentieel kwetsbaar punt voor kwaadwillenden.
- Wisseling van personeel, het niet bijwerken van wachtwoorden en ongepaste beperkingen zijn allemaal potentiële vectoren die een kwaadwillende actor kan misbruiken om een computersysteem te compromitteren.
- Schakel het besturingssysteem in om bestandsextensies weer te geven.
- Schakel AutoPlay uit.
- USB-opslag blokkeren.
- Installeer ad-blocking software op de netwerkperimeter.
RESPOND
Gebruik de volgende responsieve maatregelen om een antwoord te bieden op een huidige ransomware-aanval.
Raadpleeg onze gids Hoe reageren op een ransomware aanval in 12 stappen
1. De omvang van de ransomware-aanval vaststellen en bevestigen
Het heropbouwen van de systemen is NIET de eerste stap van je respons. Beoordeel de omvang van de ransomware-aanval door je te richten op wat is versleuteld en/of mogelijk is ingenomen door de indringer.
Het beantwoorden van deze vraag is cruciaal voor je respons. Probeer in kaart te brengen welke gegevens op de versleutelde apparaten stonden en ga op zoek naar gegevens die mogelijk zijn gestolen.
2. Isoleer de getroffen apparaten zoveel mogelijk om verdere verspreiding te voorkomen
Wanneer ransomware toeslaat, is het essentieel om de getroffen apparaten zoveel mogelijk te isoleren om verdere verspreiding te voorkomen. Ga ervan uit dat aanvallers al diep in je omgeving zijn binnengedrongen voordat de ransomware-aanval wordt uitgevoerd.
Isoleer eerst de geïnfecteerde apparaten en verwijder ze uit het netwerk. Koppel netwerkkabels los en verbreek netwerkverbindingen (inclusief wifinetwerken). Als je netwerk dat toelaat en goed gesegmenteerd is, kun je ook het geïnfecteerde netwerksegment loskoppelen.
- SCHAKEL de geïnfecteerde apparaten NIET UIT en vermijd dat systemen worden afgesloten. Er kan nog steeds malware geïnstalleerd zijn die niet geactiveerd is. Een actief systeem kan ook helpen wanneer je de hulp inroept van een incident response-firma om onderzoek te doen.
- Start geen hersteloperaties op totdat de omvang van de aanval bekend is, inclusief de methode, het tijdstip en de getroffen systemen.
3. De integriteit van je back-ups beoordelen
Controleer of de aanvallers niet ook de integriteit van je back-upsysteem hebben aangetast. Je moet er zeker van zijn dat de back-ups niet zijn gecompromitteerd of geraadpleegd voordat je ze gebruikt om je omgeving te herstellen.
4. Start je incident response
- Als je een interne IT-afdeling hebt, kunnen zij het probleem proberen op te lossen. Zo niet, schakel dan een professioneel incident response-team in om je te helpen de omvang van de schade vast te stellen.
Aangezien het veel geld kost om een incident response-team in te huren, moet je nagaan of incident response deel uitmaakt van je verzekeringscontract. - Het Centrum voor Cybersecurity België (CCB) raadt het betalen van losgeld sterk af.
- In sommige situaties kan betalen de enige overblijvende optie lijken. Denk eraan dat de aanvallers waarschijnlijk uit zijn op financieel gewin. Ze verkennen alle mogelijkheden om meer geld van je organisatie af te persen.
- Wees voorzichtig in de interactie met de aanvaller: het inhuren van een professionele onderhandelaar is geen wondermiddel. Er is geen enkele garantie dat de gegevens worden ontsleuteld na betaling.
5. De autoriteiten op de hoogte brengen
Doe aangifte bij de lokale politie en informeer de gegevensbeschermingsautoriteit als er aanwijzingen zijn dat er gegevens zijn gestolen. Het melden van mogelijk verlies van persoonlijke gegevens is wettelijk verplicht en is prioritair.