Kmo's verdedigen tegen ransomware

Het Centrum voor Cybersecurity België (CCB) heeft een nieuwe gids gepubliceerd om kleine en middelgrote organisaties te helpen ransomware-aanvallen effectief te bestrijden en toekomstige inbreuken te voorkomen. Bij een ransomware-aanval zijn er verschillende stappen die je kunt ondernemen om het incident efficiënt af te handelen. In dit document geeft het CCB meer informatie over hoe je kunt reageren op het incident en hoe je dit in de toekomst kunt voorkomen.

Door deze beknopte gids te volgen, kunnen organisaties effectief reageren op ransomware-incidenten en hun algemene cyberbeveiligingssituatie verbeteren.

Twee secties

Door deze beknopte gids te volgen, kunnen organisaties effectief reageren op ransomware-incidenten en hun algemene cyberbeveiligingssituatie verbeteren.

De gids is verdeeld in 2 secties: de eerste somt een aantal concrete stappen op die genomen moeten worden om te reageren op ransomware-incidenten (bijv. geïnfecteerde apparaten isoleren, back-ups controleren, het incident melden bij de autoriteiten, enz.).

De tweede legt de nadruk op een aantal preventieve maatregelen die genomen kunnen worden om dit soort aanvallen te voorkomen (bijv. het updaten van systemen, versterking van de authenticatie, enz.).

Reacties

1. De omvang van de ransomware-aanval vaststellen en bevestigen

Het heropbouwen van de systemen is NIET de eerste stap van je respons. Beoordeel de omvang van de ransomware-aanval door je te richten op wat is versleuteld en/of mogelijk is ingenomen door de indringer.
Het beantwoorden van deze vraag is cruciaal voor je respons. Probeer in kaart te brengen welke gegevens op de versleutelde apparaten stonden en ga op zoek naar gegevens die mogelijk zijn gestolen.

2. Isoleer de getroffen apparaten zoveel mogelijk om verdere verspreiding te voorkomen

Wanneer ransomware toeslaat, is het essentieel om de getroffen apparaten zoveel mogelijk te isoleren om verdere verspreiding te voorkomen. Ga ervan uit dat aanvallers al diep in je omgeving zijn binnengedrongen voordat de ransomware-aanval wordt uitgevoerd.
Isoleer eerst de geïnfecteerde apparaten en verwijder ze uit het netwerk. Koppel netwerkkabels los en verbreek netwerkverbindingen (inclusief wifinetwerken). Als je netwerk dat toelaat en goed gesegmenteerd is, kun je ook het geïnfecteerde netwerksegment loskoppelen.

• SCHAKEL de geïnfecteerde apparaten NIET UIT en vermijd dat systemen worden afgesloten. Er kan nog steeds malware geïnstalleerd zijn die niet geactiveerd is. Een actief systeem kan ook helpen wanneer je de hulp inroept van een incident response-firma om onderzoek te doen.
• Start geen hersteloperaties op totdat de omvang van de aanval bekend is, inclusief de methode, het tijdstip en de getroffen systemen.

3. De integriteit van je back-ups beoordelen

Controleer of de aanvallers niet ook de integriteit van je back-upsysteem hebben aangetast. Je moet er zeker van zijn dat de back-ups niet zijn gecompromitteerd of geraadpleegd voordat je ze gebruikt om je omgeving te herstellen.

4. Start je incident response

Als je een interne IT-afdeling hebt, kunnen zij het probleem proberen op te lossen. Zo niet, schakel dan een professioneel incident response-team in om je te helpen de omvang van de schade vast te stellen.
Aangezien het veel geld kost om een incident response-team in te huren, moet je nagaan of incident response deel uitmaakt van je verzekeringscontract.
Het Centrum voor Cybersecurity België (CCB) raadt het betalen van losgeld sterk af.
In sommige situaties kan betalen de enige overblijvende optie lijken. Denk eraan dat de aanvallers waarschijnlijk uit zijn op financieel gewin. Ze verkennen alle mogelijkheden om meer geld van je organisatie af te persen.
Wees voorzichtig in de interactie met de aanvaller: het inhuren van een professionele onderhandelaar is geen wondermiddel. Er is geen enkele garantie dat de gegevens worden ontsleuteld na betaling.

​5. De autoriteiten op de hoogte brengen

Doe aangifte bij de lokale politie en informeer de gegevensbeschermingsautoriteit als er aanwijzingen zijn dat er gegevens zijn gestolen. Het melden van mogelijk verlies van persoonlijke gegevens is wettelijk verplicht en is prioritair.

Preventie maatregelen

Voer de volgende preventieve maatregelen door om toekomstige ransomware-aanvallen te voorkomen

1. Hou je systemen up-to-date

Hou je besturingssystemen, software en beveiligingsoplossingen up-to-date zodat ze minder kwetsbaar zijn voor aanvallen. Doe dit door vaak te patchen en te controleren op mogelijke exploits. Je IT-provider kan en moet verantwoordelijk zijn voor het up-to-date houden van je systemen. Hoewel zelfs een volledig up-to-date systeem niet waterdicht is, kan het een verschil maken of een incident zich al dan niet voordoet.

2. Gebruik sterke wachtwoorden en tweestapsverificatie

Gebruik sterke en unieke wachtwoorden voor al je accounts en verander ze regelmatig.
Tweestapsverificatie is een must voor je accounts: het zorgt voor een extra beveiligingslaag en is een van de beste verdedigingsmechanismen.

3. Leid je werknemers op

Laat je werknemers opleiden over hoe ze phishing kunnen herkennen, bijvoorbeeld door geen verdachte e-mails en links te openen. Deze mails zijn vaak de aanleiding dat je organisatie gecompromitteerd wordt.

Meer informatie hierover vind je op safeonweb.be.