Actueel

Ransomware aanvallers. Betalen of niet?

Dat is de vraag die bedrijven zich als eerste stellen zodra ze geraakt worden door een ransomware aanval. Het is in veel gevallen een financiële afweging.

Ransomware aanvallers. Betalen of niet?

Sommige bedrijven kiezen er voor om wel te betalen, waar andere bedrijven expliciet ervoor kiezen om niet mee te gaan in de eisen van de aanvallers. Bij sommige bedrijven is de verwachting dat het betalen van het losgeld goedkoper is dan langere periode niet operationeel zijn. Reputatie schade kan ook een reden zijn om in te gaan op de eisen van de aanvallers.

Is het verstandig om te betalen?

Het stil liggen van een bedrijf kost veel geld. De veronderstelling dat betalen voor de ontsleuteling sneller is en daardoor goedkoper is niet altijd correct. Het is vaak gebleken dat de ontsleuteling niet volledig werk en veel tijd in beslag neemt. Door professionals wordt dus afgeraden om te betalen. Door de aanvallers kan er gedreigd met het openbaar maken van de data. Bij sommige bedrijven zal dit een belangrijk argument zijn om toch over te gaan op een betaling om te voorkomen dat gevoelige informatie word gelekt. Let wel dat je handelt met een criminele organisatie. Beloftes die gemaakt worden door de aanvallers worden gebroken als hun belang groter is om dit te doen.

Hoe handel je als je bent getroffen door Ransomware?

In alle gevallen is het verstandig om professionele hulp in te schakelen. Specialisten hebben de kennis om passend advies geven, zij weten bijvoorbeeld of er een ontsleuteling überhaupt mogelijk is. De instructies die de aanvallers voordragen zijn soms moeilijk op te volgen, bijvoorbeeld als deze naar het darkweb leiden.

Cybersecurity specialisten kunnen de oorzaak achterhalen en mitigerende oplossingen aandragen. Ze zullen samen werken met je IT-team of leverancier zodat je als bedrijf sneller operationeel bent en nieuwe aanvallen voorkomen kunnen worden.

Onder de NIS2 wetgeving worden er strengere eisen gesteld aan bedrijven die onder de kritieke sector vallen. Bij deze bedrijven is het van belang om een incident responseplan te hebben en is het verstandig om hierin richtlijnen vast te leggen hoe er gecommuniceerd moet worden in het geval van een ransomware aanval.

Wat als je toch wilt betalen?

Een betaling aan een criminele organisatie gaat natuurlijk niet via iDeal. In het geval van Ransomware gaat dit meestal door het betalen van een bepaald bedrag in een gevraagde crypto valuta. Dit kan bijvoorbeeld in Bitcoin zijn maar er kan ook om een  andere crypto munt gevraagd worden die nog moeilijker te traceren is. Deze munten moeten eerst worden aangekocht. Dit kan via verschillende websites die handelen in cryptomunten. De gekochte munten moeten worden overgemaakt naar de digitale portefeuille van de aanvallers. 

Wat zijn de risico’s als je betaald?

Zolang je de instructies correct opvolgt zal het geld bij de ransomware groepering terecht komen. Zij hebben er immers baat bij dat de betaling gemakkelijk en snel verloopt. In het gunstigste geval kunnen alle systemen weer operationeel zijn binnen enkele dagen. Dit betekend echter niet dat je dan niet opnieuw slachtoffer kan worden. Als de kwetsbaarheid waarmee de aanvallers toegang hebben gekregen niet direct word gedetecteerd en opgelost, betekent dat ook andere aanvallers via die kwetsbaarheid toegang kunnenkrijgen.

Hoe kun je ransomware voorkomen?

Ransomware is een groot risico voor bedrijven. Dagelijks worden er in grote getallenbedrijven aangevallen door Ransomware groeperingen. Gelukkig zijn er en aantal middelen om de risico’s te beperken.

  • Zorg er voor dat systemen up-to-date zijn. Mochten er kwetsbaarheden gevonden worden dan zullen fabrikanten deze oplossen met een systeem update. Het is daarom belangrijk deze tijdig te installeren.
  • Maak gebruik van een goede Antivirus. Malafide bestanden die gebruikt worden dooraanvallers worden herkent door de betere antivirusscanners voordat ze worden uitgevoerd. Een goede antivirus kan ook verdachte handelingen van legitieme handelingen herkennen en tegenhouden.
  • Zorg voor een goede back-up. Een back-up kan op veel manieren worden gemaakt. Hoe de back-up gemaakt wordt bepaald niet alleen hoe snel een bedrijf weer operationeel is, maar ook of de back-up geraakt kan worden tijdens een aanval. Een van de beste manieren om een back-up te bewaren is deze buiten de productieomgeving te bewaren. Een offline back-up die volledig los staat noemen we ook wel “Cold Storage”. Zet deze back-up pas terug nadat zeker is dat systemen niet meer kwetsbaar zijn. Er bestaat een risico dat de aanval anders ook de back-upsystemen alsnog versleuteld.
  • Segmenteer het netwerk. Een goed ingericht netwerk kan voorkomen dat de ransomware alle systemen kan versleutelen, waardoor de aanval beperkt kan worden.
  • Stel een incident response plan op want snel handelen kan de schade beperken. Versleuteling gaat soms binnen enkele minuten maar kan ook enkele dagen duren. Een passend Incident Response plan legt vast hoe er gehandeld moet worden en door personeel hier op te trainen weten ze direct de juiste stappen te nemen.