Back to business na een ransomware-aanval

  1. 4 jun 2020
  2. 0 reacties

Filip Verloy is Field CTO EMEA bij Rubrik

Bedrijven genereren meer data dan ooit tevoren. Naast het toegenomen volume, is data ook belangrijker geworden. Het is essentieel gebleken voor het concurrentievoordeel, de omzet en de dagelijkse bedrijfsvoering van organisaties over de hele wereld. Voor cybercriminelen is data dan ook de perfecte manier om geld te verdienen; ze blokkeren gegevens met ransomware om vervolgens een flinke som geld te vragen voor het herstellen van deze data. Hoewel het misschien niets nieuws is, kan het losgeldbedrag snel oplopen en kan de inbraak het vertrouwen van de klant beïnvloeden, evenals het bedrijfsresultaat. 

pixabay ransomware

Cybercriminelen weten ons daarmee te raken waar het pijn doet: onze data. De meeste organisaties gebruiken data om zelfs de kleinste taken uit te voeren. Ransomware is daarbij het perfecte middel voor criminelen om te profiteren van onze toenemende afhankelijkheid van data. 

De vraag is ‘wanneer’ je de dupe wordt

Het is dus van groot belang om je data goed te bewaken, maar ransomware-aanvallen lijken tegenwoordig onontkoombaar. Het gaat er niet meer om óf jouw bedrijf de dupe wordt, de vraag is wanneer je de dupe wordt. Dit komt mede doordat cybercriminelen meer gebruik kunnen maken van elkaars geperfectioneerde malware. Ransomware-as-a-Service (RaaS) maakt dit mogelijk en is voor iedereen beschikbaar. Je logt in bij een RaaS-portaal, waar je vervolgens direct malware kunt overnemen voor het plegen van een ransomware-aanval. 

Normaal is het al lastig om het overzicht over je bedrijfsdata te bewaken. Je hebt als organisatie daarom dan ook de nodige regels en maatregelen ingevoerd om te bepalen hoe medewerkers moeten omgaan met gevoelige informatie. Maar sinds er op dit moment voornamelijk vanuit huis gewerkt wordt, is het nog lastiger om na te gaan hoe elke medewerker omgaat met de gegevens van jouw organisatie. Gebruiken zij bijvoorbeeld altijd een veilig netwerk? En slaan zij gevoelige gegevens wel enkel en alleen op de bedrijfsserver op? 

Het is niet te voorkomen dat jouw organisatie getroffen wordt door een cyberaanval, maar je kunt je er wel op voorbereiden. Zo kun je bijvoorbeeld al een strategie voor herstel en preventie klaar hebben liggen, zodat je snel kunt reageren wanneer de nood hoog is. Zo’n strategie ontwikkelen is helaas niet eenvoudig. Traditionele antivirussoftware gebruikt namelijk ‘signature-based detection’, dat wil zeggen dat de software alleen bekende ransomware kan onderscheppen. En omdat ransomware razendsnel muteert, betekent dit dat jij wellicht goed voorbereid bent maar dat jouw software toch niet voldoende weerstand biedt. 

Bescherm je organisatie

Voorlopig zullen cybercriminelen de ransomware-aanvallen nog niet stilleggen. Daarom is het voor elke organisatie van belang om een beveiligingssysteem op te zetten. Omdat nieuwe ransomware moeilijker te onderscheppen is, wordt het ook lastiger om er na een aanval achter te komen welke data is aangetast. Het kan zelfs zo zijn dat je uiteindelijk het overzicht van data handmatig met elkaar moet vergelijken om erachter te komen wat er precies veranderd is. 

Ben je getroffen door een ransomware-aanval, dan kun je het beste de volgende stappen ondernemen: 

  1. Zoek naar afwijkingen

Met behulp van machine learning (ML) kun je afwijkend gedrag opsporen. Je kunt dan veranderingen monitoren en daarbij snel vaststellen wanneer een ransomware-aanval heeft plaatsgevonden.

  1. Analyseer je data op beschadigingen

Onderzoek daarna waar jouw data beschadigd is. Door het datalandschap te analyseren, kun je over een bepaalde periode veranderingen vaststellen. Dit kan helpen om de impact van de aanval in kaart te brengen.

  1. Herstel je data

Nadat je de afwijkingen en beschadigingen hebt achterhaald - en weet waar en wanneer de ransomware-aanval heeft plaatsgevonden - kun je stapsgewijs je data herstellen.

  • Allereerst isoleer je de verspreiding om te voorkomen dat het nog meer data aan kan tasten;
  • Vervolgens test je de geïsoleerde data zodat er geen lek in zit;
  • Daarna herstel je de data met een back-up;
  • En tot slot kun je de oorzaak van de aanval analyseren. 

Niet alle back-ups zijn hetzelfde

Een ransomware-aanval, kan het flink in de kosten lopen. Dit omdat een groot gedeelte van je organisatie niet meer naar behoren werkt. Het is dus van belang om zo snel mogelijk weer op de been te komen. Maar stel je eens voor dat verschillende systemen binnen jouw organisatie niet meer werken door een aanval. Je volgt bovenstaande stappen en wilt dan je data herstellen met een back-up. Vervolgens kom je erachter dat de back-ups op dezelfde manier zijn aangetast als de originele data. 

Gelukkig zijn er meerdere manieren waarop je je data veilig als back-up kan opslaan. Een grote aanval kun je binnen de perken houden met een effectieve data cloud en met een systeem dat snel en makkelijk hersteld kan worden. Het is tegenwoordig ook niet meer zo dat back-ups alleen maar gebruikt worden als verzekeringsbeleid. Data is meer waard voor je bedrijf dan ooit tevoren en de bescherming daarvan is cruciaal. Het is daarom voor zowel grote als mkb-bedrijven slim om te investeren in goede beveiliging. Zodat je na een ransomware-aanval, zonder losgeld bedragen te betalen, snel weer terug aan het werk kunt gaan.