De afgelopen tien jaar is het aantal ransomware-aanvallen wereldwijd sterk toegenomen. Steeds meer criminelen gebruiken deze vorm van malware als inkomstenbron. Daarbij zoeken zij continu naar methoden om de slaagkans te vergroten en zo burgers en organisaties in hun greep te houden. Om hieraan te ontkomen, is het allereerst belangrijk om ransomware goed te begrijpen. Weet u de belangrijkste kenmerken? En bent u voldoende voorbereid op een ransomware-aanval?
Wekelijks worden we in Nederland geconfronteerd met berichten over getroffen bedrijven in zowel de publieke als de private sector, waaronder grote winkelketens, onderwijsinstellingen, gemeenten, maar ook de dierenkliniek en het autobedrijf om de hoek. Met andere woorden, de vraag is niet óf jouw organisatie getroffen wordt door ransomware, maar wanneer.
Wat is ransomware?
In het kort gaat het om een computervirus dat de toegang tot systemen of data versleutelt voor financieel gewin: in ruil voor losgeld bieden hackers een decryptiesleutel (ontsleutelcode) om weer toegang te krijgen. Die bedragen variëren van enkele honderden tot tientallen miljoenen euro’s. Dit maakt het een zeer interessant verdienmodel voor criminelen, met name als je weet dat 56% van de getroffen individuen en organisaties losgeld betalen. En dat terwijl overheden dringend adviseren dit niet te doen.
Bij een ransomware-aanval op winkelketen Mediamarkt in november 2021 eisten criminelen een bedrag van € 43 miljoen.
Omdat deze werkwijze zeer lucratief is voor criminelen, wordt de aanpak ook steeds professioneler. Cybercriminelen beschikken steeds vaker over een helpdesk om slachtoffers hulp te bieden bij de aanschaf van cryptovaluta of om te onderhandelen over de prijs. In sommige gevallen bieden zij zelfs korting op het geëiste bedrag wanneer het slachtoffer vroegtijdig betaalt. Zo vergroten zij de kans op daadwerkelijke betaling.
Zo werkt ransomware
Initieel komt ransomware bij een organisatie meestal binnen via phishing of via kwetsbaarheden in de software of downloads. Vervolgens probeert de aanvaller toegang te krijgen tot het gehele netwerk, vaak door verhoogde toegangsrechten te ontfutselen. Als dat is gelukt, wordt de kwaadaardige software uitgerold. Tegenwoordig zoeken criminelen ook naar nieuwe bronnen van inkomsten met ransomware. Zo worden decryptiesleutels van gecompromitteerde systemen op het darkweb verkocht, verenigen hackers zich in aanvalsgroepen of ‘kartels’ om grote bedrijven te ‘targetten’ en/of worden data gestolen bij de eerste inbraak, waarna zij naast losgeld ook dreigen de gestolen data openbaar te maken om de betalingsdruk op te voeren. Deze vorm van ransomware wordt double extortion genoemd. Inmiddels komen we zelfs triple extortion tegen, waarbij criminelen zich ook richten op klanten en partners van de getroffen organisatie. Zij eisen losgeld van deze personen of organisaties om belangrijke (persoons)gegevens niet openbaar te maken.
Na een besmetting
Een ransomware-besmetting kan grote gevolgen hebben voor jouw organisatie als de zaken niet op orde zijn. Bij ransomware zijn verschillende data en systemen immers niet meer toegankelijk. Soms is dit op te lossen door het terugzetten van de back-up, maar ook deze kan geïnfecteerd zijn. Een ransomware-aanval kan, indien niet de juiste preventieve en repressieve maatregelen genomen zijn, leiden tot een crisissituatie waarbij in korte tijd nauwe samenwerking met verschillende afdelingen in de gehele organisatie noodzakelijk is. Het omgaan met een besmetting vraagt kennis van beheer, IT-security, forensisch onderzoek (eventueel via inhuur van externe expertise), maar ook expertise op het gebied van crisismanagement. Daarnaast worden organisaties geconfronteerd met andersoortige dilemma’s: hoe communiceer ik naar mijn personeel, klanten en de buitenwereld? Betaal ik losgeld of niet? Isoleer ik de systemen met grote impact op de dienstverlening als gevolg?
Aan de slag!
Iedere organisatie is kwetsbaar voor ransomware. Als organisatie zou je preventief tal van basismaatregelen moeten nemen, bijvoorbeeld Multifactor Authenticatie (MFA), netwerksegmentatie of regelmatig back-ups maken en deze testen. Daarnaast zijn maatregelen nodig om de organisatie voor te bereiden op een daadwerkelijke cybercrisis. Denk aan het ontwikkelen van crisismanagementplannen op het gebied van cybersecurity en het organiseren van cybercrisisoefeningen. Tot slot is ook het evalueren van incidenten belangrijk om de geleerde lessen volgens de Plan-Do-Check-Act (PDCA-)cyclus weer te implementeren in het bestaande beleid. Alles met als doel je organisatie te beschermen tegen deze digitale aanvallen.
Dit is de aftrap van een blogreeks over ransomware. In volgende blogs gaan we dieper in op specifieke aspecten van een ransomware-aanval, zoals juridische risico’s, preventieve maatregelen en mogelijke bestuurlijke dilemma’s.
Dit blog is eveneens geschreven in samenwerking met Ruurdje Procee en Lisa Verweij.