Ransomware steeds geavanceerder maar preventiemaatregelen wijzigen niet

Ransomware wordt steeds geavanceerder. In zowel de manier van besmetting als de manier waarop schade wordt aangericht. De manier van aanvallen (de aanvalsvector) wijzigt steeds maar blijft ongericht. Eerst gingen de besmettingen vooral via e-mails, bijlages, daarna via het netwerk en Petya lijkt een combinatie van aanvallen te gebruiken. Ransomware wordt ook steeds bekender en het is een mediageniek fenomeen: hackers, gegijzelde bestanden, daders, slachtoffers, zichtbare uitval van processen, paniek en specialisten die uitleggen hoe erg het allemaal is.

De IBD volgt de ontwikkelingen op de voet en constateert twee dingen die onderbelicht blijven:

  • Het maakt de criminelen achter de software niet uit wie er geraakt wordt als er maar zo veel mogelijk slachtoffers zijn. Dat verhoogt immers de kans op betaling en de kans op winst voor de criminelen.
  • In de basis kan een ransomwarebesmetting alleen plaatsvinden als er kwetsbaarheden ongepatcht zijn.

Na enige analyse blijkt er altijd wel een manier te zijn om een ransomware-campagne te stoppen of in te dammen: een killswitch, het blokkeren van een bestand, het blokkeren van URL’s, een update van de virusscanners. Hiermee lopen organisaties per definitie achter de feiten aan en is het wachten op ongelukken. Uiteindelijk is er echter maar één set aan maatregelen een echte remedie: een integraal patch- en updatebeleid dat geldt voor de gehele organisatie in combinatie met een integraal backup- en herstelbeleid en een logische netwerkscheiding. Deze zaken staan voor gemeenten allemaal beschreven in de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De toename van ransomware laat zien dat de BIG geen papieren tijger is maar een praktisch bruikbaar normenkader dat reële problemen zo veel als mogelijk kan voorkomen.