Hoewel iedereen onderhand wel bekend is met de term ransomware, is het voor velen nog onduidelijk wat ransomware precies is en hoe je de organisatie het beste hiertegen kunt beschermen. In dit artikel gaan we in op hoe je back-ups het beste kan beschermen tegen een eventuele ransomware aanval.

Ransomware is de laatste jaren steeds vaker in het nieuws, en door de aanval in december 2019 op de Universiteit Maastricht is dit fenomeen ook bij een breed publiek in Nederland bekend geworden.

Wat is ransomware

Bij ransomware eist een crimineel geld om iets te doen. Het is daardoor een vorm van gijzeling. In bijna elk geval gaat het erom dat een groot aantal bestanden versleuteld is en daarmee niet meer te gebruiken. Deze data is hierdoor niet meer toegankelijk. De criminele partij vraagt na de versleuteling om losgeld zodat met behulp van een digitale sleutel de data weer vrijgeven kan worden. Een andere mogelijkheid, is dat de crimineel gevoelige bestanden van een bedrijf weet te kopiëren en dreigt deze openbaar te maken of te verkopen aan een andere partij als men niet betaalt.

Hoe het kan gebeuren

Er zijn uiteraard cybercriminelen die gerichte aanvallen uitvoeren, maar het overgrote deel van alle cybercriminaliteit wordt ongericht uitgevoerd. Dit geldt voor virussen, ransomware, maar ook voor inlogpogingen op verschillende systemen. In de meeste gevallen worden er middelen ingezet om grote aantallen bedrijven in een keer te raken. Het is dus niet zo dat wanneer een bedrijf niet bekend is, er geen risico is om aangevallen te worden. Bedrijven die slachtoffer zijn van ransomware aanvallen zijn dit vaker per toeval, dan dat de aanvallers het op een bepaald bedrijf voorzien hebben.

Ransomware werkt als een soort virus, en zoals bij virussen is email tegenwoordig de meest effectieve manier van verspreiding. Vaak wordt een mail gestuurd met een bijlage. De bijlage bevat de ransomware code. Er wordt eerst één computer besmet, en terwijl die versleuteld wordt verspreid het virus zich naar andere computers en servers binnen het netwerk.

Hoe kom je ervan af

Ervan uitgaand dat het om een ransomware aanval gaat waarbij alleen computers en opslag zijn versleuteld, en er niet gedreigd wordt om gegevens openbaar te maken, dan is de oplossing om alle getroffen apparaten te herstellen vanuit back-ups, het volledige netwerk controleren, en alle beveiliging en wachtwoorden herzien.

Ten eerste moeten alle machines losgekoppeld worden van het netwerk. In bijna alle gevallen zal het noodzakelijk zijn om computers, laptops en servers leeg te maken en opnieuw installeren, om vervolgens de data vanuit back-ups terug te plaatsen. Ook machines die niet getroffen lijken te zijn zullen onderzocht moeten worden. Het kan daarom een overweging zijn om alles binnen het netwerk meteen opnieuw te installeren.

Als een ransomware aanval in een vroeg stadium gedetecteerd was, dan kan het mogelijk zijn de exacte bron te achterhalen. Bij een grotere verspreiding is dat vaak moeilijker. In ieder geval zal altijd de meest waarschijnlijke bron vastgesteld moeten worden, zodat daar gericht actie op ondernomen kan worden.

In deze fase is het ook aan te raden om alle wachtwoorden opnieuw in te stellen waarbij men niet moet vergeten ook die systemen van een ander wachtwoord te voorzien waar de getroffen systemen toegang toe hadden.

De herinstallatie, herstel vanuit back-ups, het onderzoek en het aanscherpen van beveiliging zal een grote impact kunnen hebben op het bedrijf. Er moet daarom gerekend worden op een ruime tijd voordat de bedrijfswerkzaamheden weer normaal kunnen verlopen.

Hoe zorg je voor een goede back-up

Voor nagenoeg elk systeem is er wel een standaard back-up voorziening, of software beschikbaar waarmee back-ups gemaakt kunnen worden. Het is daarmee ook logisch aan te nemen dat door het maken van een dergelijke back-up, naar bijvoorbeeld een NAS, dat alles daarmee ook goed geregeld is. Dit is echter niet zo!

Als een back-up gemaakt wordt, moet de back-up software rechten hebben om de archiefbestanden weg te kunnen schrijven. Wanneer een gebruiker, software of een computer bij de archiefbestanden van een back-up kan komen, dan kan de ransomware daar in principe ook komen. Wanneer ransomware daarom eenmaal binnen een netwerk actief is, zal deze software het netwerk scannen en alles waar het bij kan zullen bestanden versleuteld worden. Komt het de bestanden van de back-up tegen, dan zullen die net zo goed versleuteld kunnen worden en daarmee onbruikbaar zijn om een back-up terug te zetten.

Het is daarom van belang om ervoor te zorgen dat de archiefbestanden van back-ups buiten direct bereik van de ransomware worden geplaatst. Dit kan op dezelfde hardware door ervoor te zorgen dat de gemaakte back-up na het afronden van de back-up procedure naar een plek te verplaatsen waar de ransomware niet bij kan komen. Een veel gebruikt alternatief hiervoor is om een aantal losse harde schijven te gebruiken. Wanneer er met regelmaat naar een externe harde schijf wordt geback-upt, en deze schijf wordt regelmatig verwisselt, dan bestaan er altijd back-ups die niet aan het netwerk verbonden waren ten tijde van de versleuteling.

Wat als er geen back-up is

Bedrijven zonder goede back-up voorzieningen, of waar de back-up verloren is gegaan, hebben slechts twee keuzes: het losgeld betalen en hopen dat de data weer wordt vrijgegeven of helemaal overnieuw beginnen. Het laatste is vaak geen optie, en rest er geen andere mogelijkheid dan het geld betalen. Maar omdat er geen enkele garantie is dat de crimineel de beloofde sleutel ook daadwerkelijk zal leveren, bestaat het risico dat zelfs het betalen van het losgeld geen oplossing zal bieden. Daarnaast loont criminaliteit wanneer we ervoor betalen. Iets waar niemand natuurlijk graag aan mee zal willen werken.

Voorkomen is beter dan genezen

Het is altijd zo dat de kosten om iets te verhelpen (als dat al mogelijk is) hoger zijn dan die om het te voorkomen. Zorg er daarom voor dat het bedrijfsnetwerk veilig is, en dat de werknemers van het bedrijf voldoende training en ondersteuning krijgen op het gebied van cyber security. Vaak leidt een korte workshop al tot grote verbeteringen. Wij hebben de ervaring dat een pragmatische op de praktijk gerichte uitleg over het veilig gebruik van email, internet en wachtwoorden al wonderen kan doen.

Mocht het lot dan toch toeslaan, zorg er dan voor dat er altijd goede en veiliggestelde back-ups beschikbaar zijn.