Ransomware blijft hardnekkige bedreiging: bewustwording risico’s van groot belang

Ransomware en cryptoware blijven een hardnekkige bedreiging voor de ICT-infrastructuur en de daarbinnen aanwezige bedrijfsinformatie. Zowel particulieren, overheid als bedrijfsleven worden getroffen door dit verschijnsel, zo blijkt ook uit het Cyber Securitybeeld Nederland. Het NCSC noemt ransomware “het cybercriminele businessmodel bij uitstek”.

Ransomware is de verzamelnaam voor verschillende malware-varianten die computers ontoegankelijk maken of gegevens die erop staan versleutelen. Criminelen vragen van de gebruiker geld om de computer of de gegevens weer te ‘bevrijden’.

Regelmatig duiken nieuwe varianten op waarbij nieuwe technieken worden toegepast. De meest voorkomende ransomware (Locky) verspreidt zich via kwaadaardige macro’s in Office-bestanden en besmetting vindt plaats doordat gebruikers een link met de besmetting openen in e-mail of in hun browser.

De vorig jaar verschenen IBD-leaflet ‘Ransomware’ bevat achtergrondinformatie over ransomware en gaat specifiek in op preventieve en repressieve maatregelen die u kunt nemen. U vindt hierin tevens meerdere tips om medewerkers in de gemeentelijke organisatie bewust te maken van de risico’s van ransomware.

Meer informatie?

Heeft u specifieke vragen over ransomware? U kunt hiervoor ook telefonisch contact opnemen met de IBD via 070 373 8011 of een e-mail sturen naar info@IBDgemeenten.nl.

FAQ
We hebben een ransomware-besmetting op een van onze systemen. Welke stappen moeten we ondernemen?
  • Het is van groot belang om de bron van de besmetting binnen het eigen netwerk op te sporen.
  • Dit systeem dient vervolgens geïsoleerd te worden van het netwerk (zolang deze niet geïsoleerd is zullen er bestanden besmet blijven raken).
  • Schakel het systeem uit als je er geen onderzoek wilt doen: het geheugen moet gewist worden, anders alleen de netwerkverbinding verbreken.
  • Zorg, al dan niet in samenwerking met een leverancier, dat de virusscanner een update krijgt. Gebruik indien mogelijk een tweede scanner voor verificatie. Scan het besmette systeem, het is mogelijk dat er in de gebruikersomgeving nog sporen aanwezig zijn.
  • Controleer of er geen afwijkende activiteiten meer zijn op het netwerk (anders is er nog ergens een bron besmet).
  • Probeer te achterhalen hoe de besmetting is ontstaan en stel de bron veilig (bijvoorbeeld de mail met de link naar de besmetting). Dit kan onder andere door te onderzoeken welke bestanden het eerst besmet waren.
  • Verwijder alle besmette bestanden.
  • Plaats de bestanden terug van een schone back-up van voor de besmetting.
  • Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. Hierbij gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak.
  • Voor aanvullende hulp neem contact op met de IBD.

Zie ook:
Quick wins om ransomware te voorkomen
Leaflet ransomware