Ransomware

Ransomware is specifieke malware die cybercriminelen op een apparaat van een organisatie installeren op verschillende manieren, zoals het downloaden van een virus of via een phishingaanval waarbij het slachtoffer op een kwaadaardige link klikt of een geïnfecteerde bijlage opent. Na een geslaagde installatie versleutelt de ransomware informatie en/of informatiesystemen om zo elke toegang van de organisatie te blokkeren. Vervolgens wordt er een bepaald bedrag geëist om die toegang terug te geven. De organisatie verliest op die manier alle macht over haar computers en kan dus niets meer doen. Naast het onbeschikbaar maken van de informatie kunnen cybercriminelen de organisatie ook bedreigen met het openbaar maken van alle gegevens die ze hebben bemachtigd. Dit vormt een ernstig probleem, vooral voor bedrijven die met gevoelige informatie te maken hebben.

Het doel van cybercriminelen die ransomware op een apparaat installeren, is iets in ruil te krijgen, meestal geld. Ze zullen dan ook laten blijken dat ze de controle hebben overgenomen en iets in ruil willen, vaak via een duidelijke boodschap op het scherm van het geïnfecteerde apparaat.

1.    Update je apparaten en software zo snel mogelijk

Aangezien cybercriminelen slechts één kwetsbaarheid in een systeem, applicatie of apparaat nodig hebben om schade te veroorzaken en toegang te krijgen tot informatie, is het van cruciaal belang om updates te installeren zodra deze beschikbaar zijn. Dit zorgt voor een sterke cyberdefensie en garandeert dat de gebruikte systeemversie nog steeds door de leverancier wordt ondersteund.

2.    Beveilig de toegang tot je accounts

Accounts vormen een toegangspoort tot de hele omgeving van een organisatie. Ze moeten dus worden beschermd met sterke wachtwoorden die voor elk account anders zijn. Een sterk wachtwoord bestaat uit ten minste 12 tekens en heeft een combinatie van hoofdletters en kleine letters, cijfers en symbolen. In combinatie met een sterk wachtwoord moet waar mogelijk ook multifactorauthenticatie worden ingeschakeld. Bij multifactorauthenticatie moet een gebruiker ten minste twee verschillende methoden hanteren (bv. wachtwoord en pincode, pincode en een via sms ontvangen toegangscode) om zijn identiteit te verifiëren en toegang te krijgen tot de bron die hij probeert te bereiken.  

3.    Stel een antivirusprogramma en lokale firewalls in op je apparaten

Er zijn verschillende manieren waarop een apparaat door een virus kan worden geïnfecteerd: het openen van een bijlage, het klikken op een link, het aansluiten van een USB-stick of gewoon surfen op een website. Een virus is kwaadaardige software die tot doel heeft informatie te beschadigen, bestanden te verwijderen, prestaties te vertragen of vertrouwelijke informatie te stelen. Als een virus eenmaal op de computer zit, kost het tijd, moeite en financiële middelen om het te verwijderen. Daarom is het beter om alle apparaten die verbinding kunnen maken met het netwerk van de organisatie vooraf te beschermen met een antivirussoftware.

Daarnaast moet een firewall worden gebruikt om de toegangsverzoeken tot het bedrijfsnetwerk te bewaken en te filteren op basis van vooraf vastgestelde beveiligingsregels. De firewall fungeert als een muur tussen het bedrijfsnetwerk en een niet-vertrouwd netwerk (bv. thuisnetwerk, internet). De organisatie kan hiermee de externe toegang beperken tot de bevoegde personen.

4.    Informeer je medewerkers over oplichting gericht op het stelen van vertrouwelijke informatie

De medewerkers van een organisatie vormen haar eerste verdedigingslinie. Ze moeten weten hoe ze oplichting en valse berichten kunnen herkennen, zodat ze de juiste reflexen kunnen aanleren.

Cybercriminelen proberen op verschillende manieren de gegevens van medewerkers te stelen om toegang te krijgen tot de systemen van een organisatie. Een veel voorkomende manier is het gebruik van een phishing e-mail, waarmee cybercriminelen hun slachtoffer proberen te overtuigen om wachtwoorden of vertrouwelijke informatie te delen. Het is dus belangrijk om regelmatig infosessies te organiseren om de medewerkers te leren niet te veel te delen op sociale media en niet op een link te klikken of een bestand te openen zonder eerst te analyseren waar het vandaan komt.

5.    Gebruik alleen officiële websites en platforms om toepassingen en software te downloaden

Gepirateerde toepassingen en software zijn meestal besmet met malware, dus zorg ervoor dat je alleen officiële toepassingen installeert en downloadt, via de officiële platforms en websites van de leveranciers.

6.    Beperk de acties die kunnen worden uitgevoerd met een beheerdersaccount

Beperk het aantal beheerders- of bevoorrechte accounts tot het absolute minimum. Niemand mag beheerdersrechten hebben voor dagelijkse taken. Met de privileges die aan beheerdersaccounts verbonden zijn, wordt het voor cybercriminelen gemakkelijker om het apparaat over te nemen of een ransomware te installeren.

7.    Maak regelmatig een back-up van je kritieke gegevens

Maak een back-up van alle systemen, toepassingen, servers en gegevens om ervoor te zorgen dat, zelfs als zich een incident voordoet, alle belangrijke informatie kan worden hersteld. Het is belangrijk om die back-ups regelmatig te testen om te checken of ze daadwerkelijk kunnen worden gebruikt als dat nodig is, na een incident.

8.    Controleer software-installatie op bedrijfsapparaten door een lijst op te stellen van toegestane software

Een medewerker die op zoek is naar specifieke software en weinig tot geen kennis heeft van cyberbeveiliging, is minder geneigd om de aanbiedingen die hij op het internet vindt, in twijfel te trekken. Het is dus belangrijk ervoor te zorgen dat alle gedownloade software door de IT-verantwoordelijke wordt goedgekeurd vanuit het oogpunt van veiligheid en prestaties. Daarnaast kan de IT-verantwoordelijke een "witte lijst" opstellen: een lijst van software die medewerkers op hun bedrijfsapparaten mogen installeren.

1. Meld het incident onmiddellijk aan je IT-verantwoordelijke.
2. Isoleer de geïnfecteerde systemen van het netwerk om te voorkomen dat de ransomware zich verder verspreidt.
3. Betaal geen losgeld.
4. Zet een gescheiden communicatiekanaal op.
5. Richt een crisismanagementteam op.
6. Meld het incident onmiddellijk bij de lokale politie.
7. Verzamel alle nodige informatie: het type drager van de gegevens, het besturingssysteem, de infectiemethode, de naam van de ransomware, het betaalmiddel, en indien mogelijk screenshots van de geïnfecteerde systemen.
8. Wijzig alle gegeven wachtwoorden (indien van toepassing) op alle gebruikte accounts.
9. Scan je apparaten met een antivirus.
10. Identify all the vulnerabilities that were used to get access and remediate them as soon as possible.
11. Identificeer alle kwetsbaarheden die werden gebruikt om toegang te krijgen en pak ze zo spoedig mogelijk aan.
12. Probeer de versleutelde bestanden te decrypteren als er een oplossing bestaat (de website Accueil | The No More Ransom Project geeft decrypteringsoplossingen die nuttig kunnen zijn).
13. Neem zo nodig contact op met officiële (externe) beveiligingsspecialisten die je kunnen helpen je informatie terug te krijgen door middel van decryptie.