Wat is Ransomware? 

Ransomware, ook gekend onder de naam gijzelsoftware, is een soort malware. Hackers zorgen ervoor dat bedrijven en gebruikers geen toegang meer krijgen tot hun computer, systemen of persoonlijke bestanden. In ruil om alles weer te de-blokkeren, vragen hackers losgeld (ransom) aan hun slachtoffers. Willig je hun eisen in en betaal je, beloven ze je gegevens vrij te geven. Of dit werkelijk zal gebeuren, weet je nooit zeker. 

Ransomware aanval belgie

Hoe treft Ransomware mijn bedrijf?

E-mails (malspam en phishing)

E-mails zijn vaak de oorzaak van een aanval. Op het eerste zicht, zien ze er betrouwbaar uit, omdat het lijkt dat ze van een vriend, collega of vertrouwde instantie komen. In werkelijkheid passen hackers kleine details aan. De e-mail kan een gevaarlijke bijlage bevatten of links naar kwaadaardige websites die zodra je klikt een cyberaanval op gang brengen.

Microsoft Office documenten

Vroeger verstopten hackers vaak een schadelijke code in een macro, die vervolgens in een Word, Excel of Powerpoint-bestand verwerkt werd. Gelukkig beschikken vele ondernemingen over anti-malwaretools die macro's automatisch blokkeren. Vandaag maken hackers minder gebruik van macro's om Office-bestanden te infecteren, maar beschikken ze over meer geavanceerdere technieken, waardoor de traditionele bescherming niet meer volstaat.

Frauduleuze PDF-bestanden

Ook PDF-bestanden kunnen dezelfde frauduleuze codes bevatten. Bij sommige aanvallen is de PDF-reader zelf de zwakke schakel, waardoor bestanden hun kwaadaardige code kunnen uitvoeren. Hou in het achterhoofd dat PDF-readers niet altijd toepassingen zijn zoals Adobe Reader of Adobe Acrobat. De meeste browsers bevatten ook een ingebouwd lezer, die ook misbruikt kan worden.

Fake software installaties

Valse software, vaak gratis te downloaden in de vorm van een ".sad" file, wordt ook SAD computer ransomware genoemd. Het lijkt op een legitiem software-programma dat slachtoffers wil laten geloven dat ze een betrouwbare applicatie downloaden. Via een onschuldig pop-up venster, lokken hackers de gebruiker in de val door hem of haar op ''ja" te doen clicken. Iets wat we allemaal dagelijks onbewust doen, toch?

Hoe ontdek ik ransomware? 

Als je bestanden meteen geëncrypteerd worden, merk je dit als slachtoffer onmiddellijk, maar vaker heeft een nietsvermoedend slachtoffer na uren of zelfs dagen nog niet door dat hij of zij geïnfecteerd is. Het is belangrijk om te weten dat zodra je een kwaadaardig bestand opent of toestemming geeft om iets te downloaden/installeren, de rest zich achter de schermen afspeelt en dus onzichtbaar is. 

Hackers wissen graag hun sporen. Ze creëren bewust een vertraging tussen de infectie en de versleuteling om de sporen te bedekken en het voor beveiligingsonderzoekers moeilijker te maken om de besmettingsoorzaak te vinden. De eerste keer dat ransomware op de radar kwam, werd de code pas geactiveerd nadat de machine van het slachtoffer 90 keer was opgestart. Criminelen zijn geduldig en wachten graag als ze weten dat dit voor hen daarna meer oplevert.

SentinelOne Fake antivirus voorbeeld

Wie is het doelwit van Ransomware aanvallen?

KMO's

Het zijn vaak de grotere bedrijven die in het nieuws komen, maar KMO's zijn de grootste slachtoffers van cyberaanvallen. Het CCB (Centrum voor Cybersecurity België) gaf aan dat in 2018 60% van alle aanvallen gericht waren op KMO's. Dit aantal ligt zo hoog, omdat niet elke KMO een IT-afdeling heeft, waardoor het topic onderbelicht kan blijven. In dat geval zijn de gevolgen bij een aanval vaak bijzonder groot.

Multinationals

Ransomware-aanvallen richten hun pijlen meer en meer op grote ondernemingen. In 2019 waren verschillende multinationals in België gedurende meerdere dagen technisch werkloos waarbij soms ook vestigingen in het buitenland platgelegd werden door kwaadaardige malware die de hele productie lam legt. Dit zorgt niet alleen voor groot financieel verlies maar ook voor imagoschade.

Particulieren

De eerste ransomware-virussen richtten zich op particulieren, die hun PC versleuteld zagen door een virus en mits betaling van een beperkte som geld, hun bestanden terug kregen. Vandaag richten de aanvallen zich eerder naar ondernemingen, maar het blijft belangrijk ook als particulier steeds de laatste security updates uit te voeren en op je hoede te zijn voor verdachte e-mails en/of attachments.

'Globale cijfers laten zien dat aanvallen met ransomware in aantal afnemen, maar tegelijk wordt de impact groter.’

Walter Coenraets, hoofd van de Federal Computer Crime Unit aan De Tijd

Wat kost een ransomware-aanval mijn bedrijf?

Directe kosten: losgeld

Hoeveel het losgeld (ransom) bedraagt, hangt af van geval tot geval. Voor particulieren schommelt dit vaak tussen de 100 à 1.000 euro, terwijl uit een wereldwijde studie blijkt dat in Q3 van 2019 de gemiddelde ransom 41.198 dollar bedroeg. De trend loopt in stijgende lijn: hackers richten zich meer en meer op grotere ondernemingen en de gevraagde sommen lopen op. Er zijn al bedragen gerapporteerd van meer dan 280.000 dollar.

Indirecte kosten: downtime

Downtime zijn de kosten van je bedrijfsonderbreking. Deze liggen al gauw 5 tot 10 maal hoger dan de directe kosten. Voor KMO's werd deze kost in 2019 gemiddeld geschat op 127.000 euro. Ook de publieke sector lijdt onder ransomware, met een gemiddelde downtime van 12,5 dagen en indirecte kosten die oplopen tot wel 670.000 euro. Verzekeraar Hiscox schat op zijn beurt de gemiddelde indirecte kost van een cyberaanval op 330.000 euro.

Indirecte kosten: imagoschade

Omwille van de externe gevolgen heb je als slachtoffer van een Ransomware aanval veelal geen andere keuze dan de aanval publiek te maken. Hoewel dit leidt tot verontwaardiging en afkeuring van klanten, investeerders en andere stakeholders, kan tijdig en transparant communiceren de nadelige gevolgen beperken voor je klantenbehoud of de aandeelkoers van het bedrijf op de beurs. Gegevens kan je herstellen, het vertrouwen van betrokken partijen niet altijd.

Indirecte kosten: Aansprakelijkheid

Niet zelden nemen ontevreden klanten na een ransomware-aanval hun toevlucht tot juridische middelen voor een vergoeding of enige compensatie. Als bedrijf kan je terecht staan voor privacyschending, nalatigheid en in gevallen van ziekenhuizen zelfs voor de verstoring van medische zorgverlening. Alles hangt ervan af van wat de bijkomende aangerichte schade van de hackers is en welke gegevens ze openbaar maken. 

Indirecte kost: "Collateral damage"

Hoewel dit niet het typische gedrag is van ransomware-gerelateerde hackers, gebeurt het soms toch dat ze de gestolen gegevens inzetten voor andere kwaadaardige activiteiten. In de meeste gevallen kiezen hackers voor een snelle uitbetaling, maar als ze via de gestolen gegevens ook je partners en klanten viseren, kunnen hun kosten als indirecte kosten ook teruggebracht worden op jouw bedrijf, wanneer ze bewezen worden.

Indirecte kosten: Data verlies

En helaas, na alle schade veroorzaakt door de aanval zelf, heb je als slachtoffer, zelfs wanneer je het losgeld betaalt, geen garantie op het veilig terughalen van de gecodeerde gegevens. Wij volgen volledig het advies van de overheidsinstanties die ten stelligste afraden om de ransom te betalen. Het is namelijk geen garantie voor het veilig terughalen van je gecodeerde gegevens. 

Betalen = Geen imago schade

Deze stelling klopt niet! Betalen van de ransom is geen garantie op het veilig terughalen van gecodeerde gegevens. 

Stappenplan voor bedrijven: wat te doen bij een cyberaanval?

Stap 1: Isoleer de infectie

Dit wil niet zeggen dat je meteen heel je IT-infrastructuur moet lamleggen. Sluit de geïnfecteerde endpoints (desktop, laptops, tablets, servers, etc.) uit van het systeem, zodat de malware zich niet kan verspreiden. Schakel ze niet uit. Ontzeg ze enkel de toegang tot het netwerk. Ga ook niet meteen over tot het restoren van het back-upsysteem, aangezien dit in het geval van ransomware zal leiden tot het infecteren van de back-up. 

Checklist: 

  • Verbreek internet connectie en schakel remote acces uit. 
  • Installeer geplande security-updates of patches
  • Beheer en onderhoud je firewall-instellingen
  • Verander wachtwoorden (creëer nieuwe en sterkere wachtwoorden) 
Penetration testing

Stap 2: Betaal de Ransom NIET

Contacteer je security partner ook al vragen de hackers een "betaalbare" ransom. Je bent niet zeker dat je werkelijk je gegevens zal terugkrijgen. Het betalen van het losgeld zal alleen maar leiden tot publiciteit bij andere hackers die ook hun kans zullen wagen. Heb je geen IT-security partner? Aarzel niet om er een te contacteren. Een externe third-party audit door professionals kan de eventuele recuperatie van gegevens alleen maar bevorderen. 

Stap 3: Contacteer de politie

Contacteer de lokale politie, op deze manier kunnen ze de administratieve procedure al opstarten en de eerste vaststellingen doen. Bij grotere cyberaanvallen op kritieke infrastructuren contacteren zij het Quick Reaction Force van de Federale politie. In alle andere gevallen wordt de Federal Computer Crime Unit gecontacteerd. Alle Belgische bedrijven en (overheids-)organisaties kunnen bij CERT.be terecht om een cyberaanval te melden en/of advies over cyberbeveiliging te vragen. Een incident melden kan via cert@cert.be of telefonisch op 02 790 33 33.

Stap 4: Ga na om welke vorm van malware het gaat

Omdat zowel jouw IT-security partner als overheidsinstanties moeten weten over welke vorm van cyberaanval het gaat, dien je dit op te zoeken. Er bestaan namelijk verschillende soorten en je moet niet voor elke soort de politie inlichten. De meest voorkomende ransomware aanvallen van het moment zijn: Ryuk en WannaCry. Er is ook een groot verschil tussen Crypto Ransomware en Locker Ransomware. 

Crypto vs Lockerware ransom

Stap 5: Ga na wat de zwakke plekken zijn

Je IT-security partner zal je hier waarschijnlijk bij helpen. Zij kunnen samenwerken met jouw respons team bestaande uit in-house mensen (IT-specialisten als je deze voorhanden hebt) om kwetsbaarheden te identificeren die eventueel gepatcht moeten worden.

  • Ga na wie toegang heeft tot de geïnfecteerde endpoints
  • Controleer over welke netwerkverbinding het ging
  • Achterhaal hoe de aanval in gang werd gezet 

Stap 6: Informeer klanten en belanghebbenden

Indien je bedrijf toch zwaarder geraakt wordt door de cyberaanval informeer je hier best openlijk je klanten en belanghebbenden van. Het kan mogelijke rechtzaken afwenden en alleen maar ten goede komen van je imago. Ga meteen ook je eigen juridische voorwaarden na zo dat je iedereen persoonlijk op de hoogte kan brengen. Maak werk van een duidelijk PR-plan of een statement naar de buitenwereld toe.  

Stap 7: Werk aan je Security solutions

In de nasleep van een succesvolle aanval is het duidelijk geworden dat jouw beveiligingssystemen niet volstaan. Als je weet wat de aanval veroorzaakt heeft, kan best een grondige security audit (laten) uitvoeren. Dit kan je ook preventief doen om zwakke schakels te ontdekken. 

Stap 8: Train en informeer je medewerkers

Creëer bewustzijn rond ransomware en/of cyberaanvallen in zijn geheel. Vaak zijn medewerkers de zwakke schakel in het proces, omdat hackers gewiekste tactieken gebruiken waarbij ze zich voordoen als collega's door het gebruiken van sociale technieken. Communiceer daarom intern over de cyberaanval en hoe deze ontstaan is, maar bovenal train je medewerkers hoe ze hiermee kunnen omgaan. Belangrijk is om het management-level hierin te betrekken. Leer ze de security protocols aan en hang deze eventueel zichtbaar uit, zodat ze hierop kunnen terugvallen.

Dring aan op het belang van sterke wachtwoorden, vandaag de dag is een wachtwoord van 8 karakters niet meer voldoende. Al te vaak komen wachtwoorden voor zoals azerty123 of wachtwoorden die de naam van jouw bedrijf bevatten. 

Informeer medewerkers over de manier waarop ransomware (malware) zich verspreid (e-mails, bestanden, etc.) en zorg dat dit voldoende wordt herhaald. Organiseer eventueel een security drill (zoals een brandoefening). Laat je CISO of IT-afdeling regelmatig de test doen, niet ter controle van werknemers, maar ter bewustmaking. Jouw IT-partner kan je hierbij ook helpen aan de hand van een penetration test. 

workshop-image

User-awareness training door experten

Hoe beveilig ik mijn bedrijf tegen ransomware?

Zoals hierboven al beschreven moeten alle gebruikers en medewerkers op de hoogte zijn van mogelijke bedreigingen. Maar wat kan je als bedrijfsleider doen? We worden als bedrijf steeds meer afhankelijk van technologie waardoor IT business crucial geworden is. "Als CEO heb je daarom de sleutel in handen om ransomware en andere cyberaanvallen te stoppen. Meer dan ooit moet cybersecurity top-prioriteit zijn op alle niveaus. Alleen door voldoende budget hiervoor vrij te maken is dit mogelijk." (Datanews) Die redenering klopt, maar is slechts een keerzijde van de medaille. Je kan als bedrijf nog veel meer doen

Maak een incident response plan 

Dit plan dient om mogelijke aanvallen op te vangen te herkennen en juist te bestrijden. Het plan wordt gevormd door ICT-professionals (als je deze niet in-house hebt, kan je hiervoor steeds terecht bij een IT-security partner.) en bestaat uit 6 fase. 1. Voorbereiding 2. Identificatie 3. Beheersen 4. Bestrijding 5. Herstel 6. "Wat hebben we geleerd?" Hoe zo een plan aan te vatten lees je hier

 

 

 

Incident response plan nederlands

Zorg voor Back-ups

Het belang van een back-up is niet te onderschatten en de regelmaat waarmee deze gebeuren nog veel minder. Het zal namelijk bepalen hoeveel gegevens je al dan niet kwijt bent. Deze back-up bewaar je best offline of in de cloud van je security partner (Remote back-up as a Service) zal voor business continuïteit zorgen en maakt dat back-up gegevens niet versleuteld worden wanneer ransomware je bedrijf treft. 

Updates en patches

Zorg ervoor dat al je software en systemen de laatste nieuwe beveiligingsupdates hebben doorgevoerd en dat ze gepatcht zijn. Ransomware maakt namelijk maar al te graag gebruik van kwetsbaarheden in populaire software, zoals je kan lezen in dit artikel. Gebruik hiervoor Endpoint Firewal Control, zo heb je zicht over de trafiek naar en van de endpoints en kan je ongeautoriseerd data verkeer uitsluiten. 

2 factor authentication

Ongeacht hoe sterk je wachtwoord wel mag zijn of hoe vaak je het verandert, je vertrouwt alleen op wat iemand weet zonder het bewijs dat jij het wel degelijk bent. twee-factor-authenticatie zorgt ervoor dat aanvallers weinig tot geen kans maken. De tweestapsverificatie zorgt ervoor dat je je moet identificeren en stuurt een melding bij elke aanmeldingspoging. Installeer dit dan ook waar je kan. 

Besteed IT-security uit aan professionals

Zo behouden jullie als bedrijf de focus op waar jullie goed in zijn en hoef je je niet bezig te houden met deze vaak complexe materie. Easi werkt samen met de meest gerenomeerde partners in het werkveld (SentinelOne, F5, ESET,...) en biedt een brede waaier aan oplossingen waarvan één zelfs een terugbetaling garandeert van de gevraagde ransom, mocht je bedrijf tóch getroffen worden. 

Meer weten over de garantie                     Ontdek ons aanbod

Voer tijdig een security audit uit

Een moderne, veilige IT-omgeving bestaat uit tonnen technologische componenten: next-generation firewalls, anti-virus, -spam en -malware oplossingen, webfilters, proxy's, veilige oplossingen voor toegang op afstand, oplossingen voor authenticatie, WAN-versnelling, levering van toepassingen, load balancing, switching, internet VPN-verbindingen, draadloze oplossingen, beveiliging van datacenters, PKI-infrastructuur, webbeveiligingsscanning (PCI), om nog maar te zwijgen van het beheer van mobiele apparaten. 

Het kan al snel een ingewikkelde oefening worden om een duidelijk overzicht te houden over de IT-security in jouw organisatie. Om het overzicht te bewaren en er voor te zorgen dat ransomware geen kans maakt, voer je dus best een Security Hardening Audit door. Meer weten hoe dit gebeurt? Neem dan zeker een kijkje op deze pagina.

Ga na of je toe bent aan een cyberverzekering

Polissen voor cyberverzekeringen zijn relatief nieuw in de markt. Toch hebben verzekeraars in heel Europa al maatregelen genomen om de samenleving te helpen om zich voor te bereiden op cyberrisico’s en de veerkracht van bedrijven op dit gebied te vergroten.

We verwachten dat de vraag naar deze cyberverzekeringen snel groeien. Toch vinden we dat verzekeringen altijd een aanvulling moeten zijn op een robuust programma gericht op risicomanagement van cyberveerkracht. Samen met HDI bieden we een cyber verzekering aan die deze extra beveiliging kan bieden. 

EASI security audit

Contacteer ons voor meer informatie

Lees meer over onze cybersecurity activiteiten

Security
Robin Bruynseels
Robin Bruynseels
28/10/2024
In onze vorige blogpost hebben we de basisprincipes van Managed Detection and Response (MDR) verkend, waarbij we benadrukten hoe het verschilt van traditionele beveiligingsoplossingen en de soorten dreigingen die het effectief kan bestrijden.
Easi
Boyan Demortier
Boyan Demortier
20/09/2024
Easi is trots om aan te kondigen dat we een van de eerste officiële partners zijn geworden die Drata vertegenwoordigt op de BeLux-markt. Deze nieuwe samenwerking is een belangrijke mijlpaal voor ons, en we zijn dan ook ontzettend enthousiast. Het vinden van het perfecte cyberse...
MDR in een notendop
Security
Boyan Demortier
Boyan Demortier
18/09/2024
Traditionele beveiligingsmaatregelen vaak tekort, omdat bedreigingen steeds geavanceerder en frequenter worden. Om deze kloof te overbruggen, wenden veel organisaties zich tot Managed Detection and Response als een cruciaal onderdeel van hun beveiligingsstrategie.