Ransomware steeds geavanceerder maar preventiemaatregelen wijzigen niet

Ransomware wordt steeds geavanceerder. In zowel de manier van besmetting als de manier waarop schade wordt aangericht. De manier van aanvallen (de aanvalsvector) wijzigt steeds maar blijft ongericht. Eerst gingen de besmettingen vooral via e-mails, bijlages, daarna via het netwerk en Petya lijkt een combinatie van aanvallen te gebruiken. Ransomware wordt ook steeds bekender en het is een mediageniek fenomeen: hackers, gegijzelde bestanden, daders, slachtoffers, zichtbare uitval van processen, paniek en specialisten die uitleggen hoe erg het allemaal is.

De IBD volgt de ontwikkelingen op de voet en constateert twee dingen die onderbelicht blijven:

  • Het maakt de criminelen achter de software niet uit wie er geraakt wordt als er maar zo veel mogelijk slachtoffers zijn. Dat verhoogt immers de kans op betaling en de kans op winst voor de criminelen.
  • In de basis kan een ransomwarebesmetting alleen plaatsvinden als er kwetsbaarheden ongepatcht zijn.

Na enige analyse blijkt er altijd wel een manier te zijn om een ransomware-campagne te stoppen of in te dammen: een killswitch, het blokkeren van een bestand, het blokkeren van URL’s, een update van de virusscanners. Hiermee lopen organisaties per definitie achter de feiten aan en is het wachten op ongelukken. Uiteindelijk is er echter maar één set aan maatregelen een echte remedie: een integraal patch- en updatebeleid dat geldt voor de gehele organisatie in combinatie met een integraal backup- en herstelbeleid en een logische netwerkscheiding. Deze zaken staan voor gemeenten allemaal beschreven in de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De toename van ransomware laat zien dat de BIG geen papieren tijger is maar een praktisch bruikbaar normenkader dat reële problemen zo veel als mogelijk kan voorkomen.

FAQ
We hebben een ransomware-besmetting op een van onze systemen. Welke stappen moeten we ondernemen?
  • Het is van groot belang om de bron van de besmetting binnen het eigen netwerk op te sporen.
  • Dit systeem dient vervolgens geïsoleerd te worden van het netwerk (zolang deze niet geïsoleerd is zullen er bestanden besmet blijven raken).
  • Schakel het systeem uit als je er geen onderzoek wilt doen: het geheugen moet gewist worden, anders alleen de netwerkverbinding verbreken.
  • Zorg, al dan niet in samenwerking met een leverancier, dat de virusscanner een update krijgt. Gebruik indien mogelijk een tweede scanner voor verificatie. Scan het besmette systeem, het is mogelijk dat er in de gebruikersomgeving nog sporen aanwezig zijn.
  • Controleer of er geen afwijkende activiteiten meer zijn op het netwerk (anders is er nog ergens een bron besmet).
  • Probeer te achterhalen hoe de besmetting is ontstaan en stel de bron veilig (bijvoorbeeld de mail met de link naar de besmetting). Dit kan onder andere door te onderzoeken welke bestanden het eerst besmet waren.
  • Verwijder alle besmette bestanden.
  • Plaats de bestanden terug van een schone back-up van voor de besmetting.
  • Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. Hierbij gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak.
  • Voor aanvullende hulp neem contact op met de IBD.

Zie ook:
Quick wins om ransomware te voorkomen
Leaflet ransomware