Uw gegevens zijn versleuteld. Wat nu?

Hoe u de consequenties van een ransomware-aanval op uw bedrijf kunt beperken.

U hebt vast al onze duizend en één artikelen gelezen over het beschermen van uw netwerk tegen elke mogelijke dreiging. Maar soms sluipt er ondanks alle voorzorgsmaatregelen toch een infectie naar binnen. Dit is het moment om het hoofd koel te houden en snel en besluitvaardig te handelen. Uw reactie op zo’n incident bepaalt of het uw bedrijf vreselijke kopzorgen gaat bezorgen of juist voor een pluim op uw hoed zorgt.

Vergeet als u het herstelproces ingaat niet om al uw acties vast te leggen voor transparantie zowel in de ogen van uw werknemers als voor de rest van de wereld. En probeer tevens om eventueel bewijs van de ransomware te bewaren voor latere inspanningen om schadelijke tools die het op uw systeem gemunt hebben te detecteren. Dat betekent het opslaan van logs en andere sporen van de malware, wat in een latere fase van het onderzoek handig kan zijn.

Deel één: vind en isoleer

Uw eerste stap is het bepalen van de ernst van het incident. Heeft de malware zich over het volledige netwerk verspreid? Of wellicht zelfs over meer dan één kantoor?

Begin met een zoektocht naar geïnfecteerde computers en netwerksegmenten in de bedrijfsinfrastructuur en isoleer deze onmiddellijk van de rest van het netwerk om verdere besmetting te voorkomen.

Begin als het bedrijf niet veel computers heeft met antivirus-, EDR-, en firewalllogs. Een alternatief bij zeer beperkte implementaties is om fysiek van machine naar machine te lopen en deze te controleren.

Als er sprake is van een grote hoeveelheid aan computers, dan is het het beste om de evenementen en logs te analyseren in het SIEM-systeem. Dit voorkomt niet dat u later nog veel aan informatieverzameling moet doen, maar het is een goed begin om een algemeen beeld te krijgen van het incident.

Na het isoleren van de geïnfecteerde machines van het netwerk dient u hier schijfkopieën van te maken, en indien mogelijk deze apparaten met rust laten tot het onderzoek is afgerond. (Als het bedrijf zich deze computer-downtime niet kan veroorloven, maak dan toch kopieën en bewaar de geheugendump voor het onderzoek.)

Deel twee: analyseer en onderneem actie

Na de perimeter te hebben gecontroleerd hebt u een lijst met machines met schijven vol versleutelde bestanden, plus kopieën van die schijven. Deze zijn allemaal van het netwerk ontkoppeld en vormen geen dreiging meer. U zou meteen met het herstelproces kunnen beginnen, maar laten we eerst eens kijken naar de beveiliging van de rest van het netwerk.

Dit is het moment om de ransomware te analyseren. Onderzoek hoe deze binnen is geraakt en welke groepen dit type ransomware vaak gebruiken. Deze fase wordt ook wel het threat-hunting-proces genoemd. Ransomware verschijnt niet zomaar; een dropper, RAT, Trojan loader, of iets in die trend moet hem geïnstalleerd hebben. U moet de oorzaak ervan uitroeien.

Om dat te doen is er een intern onderzoek vereist. Graaf in de logs om te bepalen welke computer het eerst werd getroffen en waarom die er niet in slaagde om het incident een halt toe te roepen.

Op basis van de onderzoeksresultaten gaat u aan de slag met het verwijderen van de geavanceerde heimelijke malware van het netwerk en herstart u indien mogelijk de bedrijfsactiviteiten. Vervolgens is het tijd om te bedenken hoe het voorkomen had kunnen worden: Wat ontbrak er op het gebied van beveiligingssoftware? Dicht deze gaten.

Waarschuw daarna werknemers over wat er is gebeurd, biedt ze informatie waardoor ze zulke valkuilen kunnen spotten en vermijden en laat ze weten dat er training zal volgen.

Tenslotte is het vanaf dit moment een kwestie van tijdig updates en patches installeren. Updates en patchbeheer zijn een kritieke prioriteit voor IT-beheerders; malware komt vaak binnen via kwetsbaarheden waar al patches voor beschikbaar waren.

Deel drie: opschonen en herstellen

In deze fase hebt u de dreiging voor het netwerk geëlimineerd, evenals de kwetsbaarheid waardoor die binnen is gekomen. Het is nu tijd om aandacht te schenken aan de computers die buiten werking zijn gesteld. Als ze niet langer nodig zijn voor het onderzoek formatteert u de harde schijven en herstelt u de data erop met behulp van de meest recente schone back-up.

Als u echter geen back-up hebt, dan zult u de gegevens die op de schijven staan moeten decoderen. Begin op Kaspersky’s No Ransom-website, waar mogelijk al een decryptor voor deze ransomware bestaat — en neem als dat niet zo is contact op met uw cybersecurity-provider voor het geval er hulp beschikbaar is. Hoe dan ook: verwijder de versleutelde bestanden niet. Er verschijnen zo nu en dan nieuwe decryptors en er kan er de volgende dag dus zomaar een voor uw probleem opduiken. Dat zou niet de eerste keer zijn.

Wat er ook gebeurt, betaal nooit losgeld. Op deze manier sponsort u criminele activiteiten en daarnaast is de kans op het terugkrijgen van uw gegevens ook dan niet erg groot. Naast het blokkeren van uw gegevens kan het zijn dat de ransomware-aanvallers deze ook hebben gestolen voor chantagedoeleinden. Bovendien moedigt betaling cybercriminelen aan om méér te vragen. In sommige gevallen kwamen ze een paar maanden na betaald te hebben gekregen terug om om meer geld te vragen, en dreigden ze hierbij om alles te publiceren als er niet betaald werd.

U kunt er het beste vanuit gaan dat alle gestolen gegevens nu publiek bekend zijn, en bereid u dus voor om met dit lek om te gaan. Vroeg of laat zult u het over het incident moeten hebben: met werknemers, stakeholders, overheidsinstanties en mogelijk ook journalisten. Openheid en eerlijkheid zijn belangrijk en worden op prijs gesteld.

Deel vier: Neem preventieve maatregelen

Een groot cyberincident betekent een flink probleem, en preventie is altijd het beste middel. Bereid u voor op wat er mis kan gaan:

  • Installeer betrouwbare bescherming op alle netwerk-endpoints (inclusief smartphones);
  • Segmenteer het netwerk en rust het uit met goed instelde firewalls; beter nog: gebruik een next-generation firewall (NGFW) of een vergelijkbaar product dat automatisch gegevens over nieuwe dreigingen ontvangt;
  • Kijk naar antivirussystemen ook naar krachtige threat-hunting tools;
  • Gebruik een SIEM-systeem (voor grote bedrijven) voor onmiddellijke meldingen;
  • Train werknemers in cybersecurity-bewustzijn met regelmatige interactieve.

Tips