Ransomware is big business, maar wat moet je doen wanneer je wordt getroffen? Betalen of niet? “Dat is makkelijker gezegd dan gedaan.”
Begin juli werd IT-verdeler IngramMicro getroffen door een ransomware-aanval waarbij de dader losgeld eiste van het bedrijf. Niet veel later werd Microsoft Sharepoint slachtoffer en ook SonicWall VPN moest eraan geloven. Deze (zeer recente) lijst van ransomware-aanvallen zou zo nog even kunnen doorgaan.
Bij een ransomware-aanval versleutelen criminelen data zodat het slachtoffer geen toegang meer heeft. De aanvallers eisen vervolgens losgeld in ruil voor de sleutel tot hun gegevens. Slachtoffers die geen uitweg zien en toch betalen, lopen alsnog het risico om hun gegevens nooit meer terug te zien, of ze worden later opnieuw aangevallen.
lees ook
“Niet betalen bij ransomware? Makkelijker gezegd dan gedaan”
Bovendien zouden kmo’s in Europa zelfs tot drie keer vaker het slachtoffer zijn van cyberafpersing. Grote bedrijven investeren meestal zwaar in cyberbeveiliging, terwijl de kmo’s nog achterop hinken. Hoe kan je je als bedrijf wapenen tegen dit type cyberaanval, en lost betalen alle problemen op?
Betalen of niet?
Wanneer je bent getroffen, moet je dan betalen? Iedereen raadt het af, maar helaas is het niet zwart-wit. De losgeldeisen zijn vaak ook niet min. De gemiddelde losgeldeis is in 2024 gestegen met twintig procent. Volgens het jaarlijkse State of Ransomware-rapport van Sophos blijkt dat 46 procent van de ondervraagde organisaties losgeld betaalt om versleutelde data terug te krijgen.
Er bestaan speciale teams die een bedrijf helpt onderhandelen met hackers. Niet betalen is soms geen optie, omdat je hele business rond de versleutelde data draait en je niet zonder kan. Probeer dan maar koud te zeggen dat je niet wil betalen, waarna de hacker prompt je data wist.
lees ook
In 3-2-1 naar een geslaagde back-upstrategie
“We hebben eens een bedrijf moeten helpen dat geen back-ups had van zijn systeem. Alles herstellen zoals voordien, zou twee miljoen dollar kosten. Het losgeld dat de hackers vroegen, was 1,5 miljoen dollar. Je zou denken dat het losgeld een betere deal is, maar daarna moet je je netwerk en alle systemen errond opnieuw opbouwen om alle poorten te sluiten waar de hacker is binnengekomen. In dit geval kostte dat nog eens twee miljoen dollar. Dan is de keuze snel gemaakt: niet betalen en helemaal opnieuw beginnen”, vertelt Chester Wisniewski, Principal Research Scientist bij Sophos.
Een succesvolle aanval kost altijd geld, of je nu betaalt of niet.
Chester Wisniewski, Principal Research Scientist bij Sophos
Een succesvolle aanval kost altijd geld, of je nu betaalt of niet. Laat je daarom goed begeleiden door een specialist om te analyseren wat je kosten zijn. Het hebben van back-ups is sowieso een belangrijke troef om kosten te besparen, zolang die ook niet geïnfecteerd zijn.
Een hacker blijft in je systeem zitten
Betalen betekent niet dat je er vanaf bent. Zoals Wisniewski hierboven al omschreef, kost het veel geld om systemen opnieuw zuiver te krijgen. Je systemen blijven geïnfecteerd en de hacker heeft nog steeds toegang via bijvoorbeeld access points, RDP (Remote Desktop Protocol), VPN, firewall: alles kan geïnfecteerd zijn.
Haast alle ransomware-aanvallen maken gebruik van een toolkit die telkens hetzelfde patroon volgt. Dat helpt forensische onderzoekers om te zoeken naar bepaalde patronen om systemen zo zuiver mogelijk te maken. “Een bedrijfsnetwerk 100 procent zuiver krijgen lukt haast nooit”, zucht Wisniewski. “Er zijn te veel toestellen en plaatsen waar hackers zich schuilhouden.”
“Zelfs wanneer je alles opnieuw opbouwt en zuiver afwerkt, dan nog is er geen zekerheid. Denk bijvoorbeeld aan wachtwoorden binnen een Active Directory. De kans is groot dat een van de werknemers een slecht nieuw wachtwoord kiest dat heel sterk lijkt op het vorige dat de hacker in zijn bezit heeft. 100 procent zeker ben je nooit in de securitywereld, spijtig genoeg.”
lees ook
Hackers kraken systemen vooral via mensen: social engineering-aanvallen in de lift
Uit een recent onderzoek blijkt dat bijna één op de drie organisaties die slachtoffer werd van ransomware, opnieuw te maken kreeg met een aanval. In de Benelux kreeg 40 procent van de organisaties die losgeld betaalden niet alle data terug. Volgens het onderzoek worden de zorgsector en lokale overheden het meest getroffen. Deze sectoren krijgen dan ook de nodige ondersteuning. Zo maakte Europa 145,5 miljoen euro vrij voor de cyberbeveiliging van kmo’s en de zorgsector.
Preventie en snelle detectie
Wat kan je doen als bedrijf om de kans op besmetting tot het minimum te beperken? IT-teams kennen meestal wel de problemen, maar vooral bij kmo’s merk je dat ze vaak de kwetsbaarheden van gisteren oplossen en niet naar de toekomst kijken. 100 procent preventie kan echter niet, zelfs niet met de allerbeste antivirus, EDR, next-gen firewall en allerlei netwerklagen. Dat neemt niet weg dat elke extra stap een hacker kan tegenhouden of vertragen, zodat je tijdig kan handelen.
“De tijd dat hackers en criminele organisaties puur automatisch werk verrichten, ligt achter ons. Vandaag is de helft van hun werk manuele taken om achter gegevens te vissen. Je mag vandaag als bedrijf niet kiezen tussen preventie en detectie, je hebt beide nodig. Iedere hacker kan ergens binnen geraken. Het is vaak cruciaal als bedrijf om dat te detecteren en snel te handelen”, zegt Wisniewski.
lees ook
Onderzoeker waarschuwt voor ransomware die rechtstreeks op je CPU draait
De meeste aanvallen vandaag vergen drie tot tien dagen om ransomware te activeren. Dat geeft bedrijven weinig tijd om te reageren voordat alles te laat is. Na twee dagen is er dikwijls nog geen dataverlies, maar na vijf dagen al een deel of misschien alles. Netwerksegmentering is ook een goede tactiek om hackers te ontmoedigen. Elke laag vraagt opnieuw om een manuele aanpak, wat jou alweer meer tijd geeft om te reageren voor het te laat is.
Wat doet de hacker met je data?
Na een ransomware-aanval wil elk bedrijf zo snel en veilig mogelijk opnieuw aan de slag gaan. Ze staan er dikwijls niet bij stil dat de hacker nog steeds hun data heeft. Zelfs wanneer je betaalt, weet je nooit zeker of de hacker al jouw data heeft gewist op zijn of haar persoonlijke opslag.
Niets houdt hen tegen om die data beschikbaar te stellen op het ‘dark web’ om daar opnieuw geld aan te verdienen. “Ik denk persoonlijk dat data altijd waardevol is en dat niemand ze echt deletet. Malafide hackers zijn geen nobele personen. Kijk maar naar de criminele organisaties die hun pijlen richten op ziekenhuizen, gemeentehuizen en scholen. Ze hebben nul morele waardes”, zegt Wisniewski gefrustreerd.
Zelden rechtvaardigheid
Doordat de hackers dikwijls vrijuit gaan, ziet het er niet naar uit dat ransomware aan populariteit gaat inboeten. “Het is vaak een geopolitieke kwestie”, zucht Wisniewski. “We weten meestal wie de criminelen zijn. Die informatie delen we met de FBI, Europol of andere bevoegde instantie. Ik vermoed dat zij exact weten waar ze zitten en wie ze zijn, maar dikwijls kunnen ze weinig doen.”
lees ook
“Niet betalen bij ransomware? Makkelijker gezegd dan gedaan”
Bovendien krijgt ransomware enkele jaren sinds enkele een nieuwe dimensie. Artificiële intelligentie zorgt ervoor dat ransomware-aanvallen eenvoudiger en op grote schaal uitgevoerd kunnen worden. Zo nam Kaspersky recent de ransomware van FunkSec onder de loep. Het bedrijf ontdekte dat grote delen van de code met generatieve AI werden ontwikkeld. AI heeft heel wat in petto voor aanvallers, maar verdedigers kunnen dit wapen evengoed inzetten.