Zo bescherm je jouw organisatie tegen ransomware aanvallen

Ransomware is aan de orde van de dag. En we kunnen er vanuit gaan dat deze trend voorlopig nog doorzet. Begon het ooit met een aanval op persoonlijke pc’s die een slechte beveiliging kenden, inmiddels zijn (grote) organisaties steeds vaker slachtoffer. De verwachting is dat de aanvallen zich ook steeds meer gaan richten op industriële systemen (OT). Eric Bruseker, Senior Solution Advisor Security bij SoftwareOne, legt uit hoe deze aanvallen plaatsvinden, welke methoden door hackers worden gebruikt en hoe je systemen het beste kunt beschermen tegen ransomware aanvallen.

“Bij ransomware wordt gebruikgemaakt van het ‘Living off the Land’-principe”, legt Bruseker uit. “Hackers oogsten wat er op het land zelf te vinden is waardoor ze minder snel worden ontdekt. Voor verspreiding van de malware gebruiken ze dus de bestaande systemen van een organisatie. Veel security-oplossingen triggeren hier niet op. En daarin zit een groot gevaar want hackers kunnen zo optimaal hun gang gaan.”

Hackers spelen in op zwakte

Met name grote organisaties zijn favoriete slachtoffers voor hackers. Bruseker: “De belangen van die organisaties zijn vaak groot. Daardoor kunnen hackers een grote druk op hen uitoefenen om zo snel mogelijk een hoge som geld te betalen. Daar komt nog bij dat hackers zo’n aanval op een moment plannen dat organisaties een lage bezetting hebben. Net voor het weekend of voor de vakantieperiode bijvoorbeeld. Organisaties kunnen dan minder snel reageren of ervaren meer druk om de schade te herstellen. Hackers weten exact wat die ‘kwetsbare’ momenten zijn. De kans op succes om een grote som geld buit te maken is op een dergelijk moment het grootst.”

Encrypten van data

Voor de verspreiding van ransomware zien we twee methoden. Bruseker: “De meest bekende is encrypten. Hackers versleutelen data, inclusief de back-ups. Afhankelijk van de gevoeligheid van die data bepalen zij de hoogte van het bedrag aan losgeld dat moet worden betaald om weer gebruik te kunnen maken van de data. Dat betekent overigens niet dat als het losgeld wordt betaald, de data altijd weer volledig beschikbaar is. Soms is de encryptie zo slecht uitgevoerd dat het terugdraaien niet of maar gedeeltelijk lukt. Of je als organisatie het losgeld moet betalen is dan ook de vraag. Je weet niet zeker of je de data terugkrijgt. En bovendien houd je ransomware aanvallen in stand door toe te geven aan de eisen van een hacker.”

Data online zetten

De andere methode is nieuwer en daarmee ook minder bekend. Toch wordt deze methode steeds vaker gebruikt. Bruseker: ”Hierbij verzamelen hackers data om vervolgens een deel daarvan online te zetten. Organisaties worden vervolgens gedwongen om losgeld te betalen. Doen zij dit niet, dan dreigen hackers alle gegevens online te zetten. Ook hier geldt dat je niet zou moeten toegeven aan de eisen van een hacker. Dat je als organisatie hier wel voor kiest, is natuurlijk ook te begrijpen. Dataverlies of het openbaar maken van bedrijfsgevoelige gegevens kan immers de continuïteit van jouw bedrijf in gevaar brengen.”

Endpoint protection als oplossing

Welke methode hackers ook toepassen, je hebt preventieve maatregelen nodig om te voorkomen dat jouw systemen worden aangevallen. Bruseker: “Bescherming begint al met een goede endpoint protection oplossing. Tegenwoordig zitten hier al componenten als machine learning en andere geavanceerde protectietechnieken in. Wordt er toch ransomware gevonden, dan bieden die oplossingen ook rollback remediation. Daardoor kan encryptie snel worden teruggedraaid en het systeem worden hersteld in de ‘oude’ staat.”

Aanvullende maatregelen nodig

Volledige bescherming biedt endpoint protection echter niet. Bruseker: “Door de nieuwe ontwikkelingen zoals de ‘living off the land’ technieken, kunnen hackers toch toeslaan. Wanneer een lokale gebruiker wordt aangemaakt, een certificaat wordt toegevoegd aan de keystore of verbindingen worden gelegd met andere machines in het netwerk, wordt dit door endpoint protection niet als bedreiging opgemerkt. Toch kan het wel degelijk verdacht zijn. Want wanneer iemand een machine binnenkomt met gestolen credentials en vervolgens bestanden kopieert, encrypt en uploadt, kan dat normaal gedrag van een gebruiker zijn, maar ook een malafide actie van een hacker.”

Extra inzicht met slimme oplossingen

Om die reden adviseert Bruseker ook aanvullende Endpoint Detectie en Response (EDR) oplossingen. “Een EDR oplossing is breder en monitort op veel meer punten. Door detectie kun je eerder ontdekken wat er op de clients gebeurt en in het geval van ransomware zien hoe het zich heeft bewogen op de endpoint omgeving. Wil je dat inzicht ook in het netwerk, dan adviseer ik je te kiezen voor een Extended Detection and Response (XDR) oplossing. Ook een Security Information and Event Management (SIEM) is een goede optie. Met deze tool kun je verdacht netwerkactiviteiten traceren.”

Bescherming tegen dataverlies

Bruseker vervolgt: “In het geval waarbij een hacker de data wil publiceren, heb je eigenlijk ook nog Data Loss Prevention (DLP) nodig. Daarmee voorkom je dat gegevens de organisatie verlaten. Hiervoor kun je een beleid opstellen. Zo kun je bijvoorbeeld bepalen dat persoonlijke gegevens niet mogen worden gedeeld of alleen via een vaste, veilige methode. Dit is zeker belangrijk als medewerkers thuiswerken omdat er dan vanaf meerdere plekken wordt ingelogd en soms verschillende devices worden gebruikt. Met het in gebruik nemen van cloud wordt dit een groter risico omdat je daarmee blinde vlekken krijgt in je netwerk. Ook daarvoor dien je dus de juiste tooling en beleid in te zetten.”