Wat voor impact heeft een ransomware aanval op mijn organisatie?

Het aantal ransomware-aanvallen in Nederland is groot en neemt zelfs toe. In een recent onderzoek gaf bijna driekwart van de ondervraagde Nederlandse bedrijven aan in 2021 door een ransomware aanval zijn getroffen. Slechts iets meer dan een derde gaf aan dat zij een cybersecurity strategie hadden klaarliggen. Dat terwijl de impact van een aanval met ransomware op uw bedrijf of organisatie enorm is. Uw bedrijfsvoering wordt ernstig gehinderd of zelfs onmogelijk gemaakt. Bedrijfsgeheimen (kunnen) worden doorverkocht en data wordt gelekt. Uw externe partners vertrouwen uw organisatie niet meer en nemen een afwachtende houding aan. En denkt u maar niet ‘dat gebeurt ons niet’, want het kan iedereen overkomen. Van grote bedrijven en organisaties tot mkb-ondernemingen met 20 mensen in dienst.

Ransomware, gijzelsoftware, ransomware aanval

Wat is ransomware?

Ransomware is malware die de gegevensbestanden van een gebruiker versleutelt en deze later ontsleutelt om losgeld te eisen. In extreme gevallen blokkeert ransomware de toegang tot IT-systemen door ook systeembestanden te versleutelen die essentieel zijn voor de goede werking van het systeem. Gezien de destructieve aard van ransomware-aanvallen, is het vaak moeilijk om logbestanden te herstellen om te begrijpen wat er werkelijk is gebeurd. Ransomware ontsleutelen vergt specialistische kennis en kunde. Hackers hebben mogelijk intellectueel eigendom en persoonlijke informatie gestolen en ransomware gebruikt om hun ware bedoelingen te verbergen.

Voorbeelden van ransomware

Over het algemeen zijn er twee soorten ransomware te onderscheiden: locker-ransomware en crypto-ransomware. 

Locker-ransomware: deze vorm van ransomware vergrendelt de toegang tot het scherm van het besmette apparaat. Gebruikers kunnen niet meer gebruik maken van de basisfuncties van de computer. Dit manifesteert zich onder andere door het niet kunnen gebruiken van toetsenborden en een muis. 

Crypto-ransomware: deze vorm van ransomware versleutelt  bestanden op het geïnfecteerde systeem.  Dit wordt gedaan door middel van encryptie algoritmes. Het doel is vooral om kritieke bestanden de versleutelen. Bij deze vorm van ransomware blijven de standaard functies van de computer onaangetast. Het niet beschikken tot een complete en kwalitatief goede back-up kan de gevolgen van een crypto-ransomware aanval ongekend groot kan maken voor een organisatie. Een welbekend voorbeeld van crypto-ransomware is de WannaCry software. Deze ransomware is specifiek ontwikkeld voor het besturingssysteem van Microsoft Windows. In 2017 vond er een uitbraak plaats waarbij meer dan 230.000 Windows computers besmet zijn geraakt. Wat zowel locker – als crytpo-ransomware gemeen hebben, is dat bij beide vormen losgeld wordt gevraagd in ruil voor ontsleuteling. 

Hoe komt ransomware binnen?

De systemen van uw organisatie kunnen op verschillende manieren besmet raken met ransomware. Vaak wordt de ransomware verspreid door een (gerichte) e-mail, ook wel bekend als spear-phishing. Cybercriminelen doen zich voor als een collega of iemand van een bevriende organisatie. In de bijlage van de e-mail zit het virus. Wanneer iemand de bijlage opent, krijgt een aanvaller toegang tot systemen. Vanuit daar gaat een aanvaller te werk om de organisatie in kaart te brengen. Al snel krijgt uw organisatie de melding dat systemen en/of bestanden niet meer toegankelijk zijn. Deze zijn namelijk versleuteld. De gijzelnemer belooft de boel weer te ontsleutelen na betaling van losgeld. Als u echter niet betaald, belooft dezelfde aanvaller om al uw gestolen gegevens openbaar te maken. Er zijn echter ook gevallen bekend van binnenkomen via een openstaande RDP (Remote Desktop Poort, om op een andere locatie zoals thuis in te loggen op de werkcomputer) of die gebruikmaken van bekende, maar nog niet opgeloste kwetsbaarheden in systemen. Dan is het bezoeken van een geinfecteerde website al voldoende om besmet te raken.

Wat gebeurt er nadat aanvallers zich toegang hebben verschaft?

Nadat toegang tot uw systeem is verkregen, kijkt de aanvaller op zijn gemak rond en vormt zich een oordeel. Waar is hij eigenlijk binnen uw systemen? Maar ook: wat voor type organisatie is uw bedrijf of instelling en hoeveel losgeld zou u kunnen betalen? Men zoekt bijvoorbeeld naar de jaarrekening om een goede inschatting te kunnen maken. Vervolgens komt de fase van in grote volumes informatie stelen. Dit kunnen allerlei gegevens zijn. Van privédata van uw medewerkers en klanten tot en met facturen/rekeningen, klachten, juridische stukken en interne documenten over uw bedrijfsvoering. Dit betreft  in het algemeen gevoelige informatie. Deze fase kan tot enkele maanden duren. De laatste stap is het uitvoeren van de ransomware aanval zelf, door het gijzelen van uw computersystemen en bestanden.

Een ransomware aanval heeft een grote impact op uw organisatie

Wanneer uw organisatie getroffen is door een ransomware aanval, wordt dat meestal vrij snel bekend bij uw klanten, partners en relaties. Het is op zichzelf al een fundamentele hindernis voor uw dagelijkse bedrijfsvoering, die in elk geval enige tijd tot een totale stilstand komt of op zijn minst ernstig wordt verstoord. Ook kunnen bedrijfsgegevens, bedrijfsgeheimen en/of gegevens van uw klanten, medewerkers en of partners worden gelekt. Daar komt bij dat al uw relaties, van partners tot en met klanten een afwachtende houding zullen aannemen, totdat u hen ervan hebt overtuigd dat de situatie weer is genormaliseerd en uw systemen weer vertrouwt kunnen worden. Bent u service level agreements (SLA’s) overeengekomen met uw klanten, dan komt er ook een juridisch aspect in het spel.

Wat kunt u zelf doen om een ransomware aanval te voorkomen of de impact te beperken?

  1. Incident Response Readiness: zorg ervoor dat uw bedrijf een Incident Response plan heeft, eventueel aangevuld met een Incident Response Retainer (IRR) zodat uw zeker weet dat wanneer de situatie zich voordoet, u verzekerd bent van adequate en professionele dienstverlening om de impact en schade te beperken en de bedrijfsvoering zo snel mogelijk weer te normaliseren.
  2. Managed Detection and Response (MDR): zorg dat u een goed werkend systeem op zijn plaats heeft om de activiteit op uw netwerk te monitoren en actief een aanval te detecteren. Op die manier kunt u snel overgaan tot actie, teneinde de impact van de aanval te beperken.
  3. Zorg voor een gecompartimenteerd computernetwerk, waarbij delen automatisch op slot gaan zodra een aanval is gedetecteerd. Vergelijk het met een fysiek gebouw waar branddeuren en brandwerende schotten de brand met succes vertragen.
  4. Maak gebruik van het 3-2-1 backup-principe. Zorg voor 3 kopieën van de belangrijkste data. Bewaar die backups op minstens 2 verschillende media (bijvoorbeeld een harde schijf en tapes). Sla 1 kopie buiten de deur op. U kunt er namelijk niet vanuit gaan dat de ransomware gegarandeerd ontsleuteld kan worden. 

Hoe kan NFIR helpen als u te maken krijgt met een ransomware aanval?

Uw eigen IT-afdeling telt ongetwijfeld zeer goed opgeleide en competente medewerkers. Het is echter verstandig deskundige assistentie in te roepen. Ons Computer Emergency Response Team (CERT) komt desgewenst snel naar u toe. De experts in dit team hebben jarenlange ervaring met cybersecurity in al haar facetten, en zijn daarmee ware ransomware specialisten. Na een intake richten wij ons allereerst op mogelijke beperkende maatregelen om de impact van de ransomware aanval te minimaliseren. Tegelijkertijd starten wij ons diepgaande onderzoek voor een complete analyse van uw situatie. Hieruit vloeit een aantal concrete adviezen voort. Ook kunnen wij assisteren met uw communicatie over de ontstane situatie.

Beveiligingsincident? Maak kennis met incident response

Ons incident response team is 24/7 beschikbaar om elk cyber incident in kaart te brengen en op te lossen.

Ransomware is malware die de gegevensbestanden van een gebruiker versleutelt en deze later ontsleutelt om losgeld te eisen. In extreme gevallen blokkeert ransomware de toegang tot IT-systemen door ook systeembestanden te versleutelen die essentieel zijn voor de goede werking van het systeem. Gezien de destructieve aard van ransomware-aanvallen, is het vaak moeilijk om logbestanden te herstellen om te begrijpen wat er werkelijk is gebeurd. Ransomware ontsleutelen vergt specialistische kennis en kunde. Hackers hebben mogelijk intellectueel eigendom en persoonlijke informatie gestolen en ransomware gebruikt om hun ware bedoelingen te verbergen.

Ransomware is een soort malware die de bestanden van een slachtoffer versleutelt en losgeld eist om ze te ontsleutelen. Malware daarentegen is een verzamelnaam voor alle soorten kwaadaardige software, waaronder virussen, Trojaanse paarden, wormen en spyware. Hoewel ransomware kan worden beschouwd als een vorm van malware, is niet alle malware ransomware.

Ransomware is in opkomst, dat zal niemand meer ontkennen. Waar vroeger het doel was om toegang te krijgen tot bankrekeningen, laten aanvallers zich nu uitbetalen om bestanden van slachtoffers te ontsleutelen.

Lees het volledige artikel: Hoe voorkom je dat jouw organisatie besmet raakt met ransomware?

Op het moment dat onbevoegden toegang (kunnen) hebben tot persoonsgegevens, is op dat moment sprake van een potentieel datalek. In veel gevallen zijn organisaties verplicht om een melding te doen bij de Autoriteit Persoonsgegevens (AP) van het incident. De AP is opgericht en aangewezen als toezichthouder op de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG). Wanneer sprake is van een datalek hangt af van de omstandigheden. Zo hoeft een datalek niet te worden gemeld als het risico op rechten en vrijheden van betrokkenen beperkt zijn.  Dit in tegenstelling tot het moment dat een onbevoegde toegang krijgt tot een paspoort of bankrekeningnummer van een klant. Immers, in dat geval is misbruik van de identiteit of financiële consequenties zijn dan niet uit te sluiten. Dergelijke incidenten moeten binnen 72 uur worden gemeld aan de AP.

Lees verder: Wanneer heb  ik te maken met een meldingsplichtig incident / datalek?

Ja, Wij staan 24/7 klaar voor MKB-bedrijven, multinationals, overheidsorganen, onderwijsinstellingen en non-profit organisaties. Binnen drie uur staat een incident response (CERT) team op elke locatie in Nederland (Waddeneilanden uitgesloten).

CERT staat voor Computer Emergency Response Team. Het kenmerk wordt door Carnagie Mellon University toegekend aan bedrijven en teams die zich inzetten bij digitale beveiligingsincidenten. In Nederland zijn er een aantal officiële CERT’s van grote organisaties die zich bezighouden met het bestrijden van cyberincidenten, zoals het NCSC, de IBD, Defensie, telecom organisaties en banken.

Scroll naar top