Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Dit zijn de worstcasescenarios bij ransomware-aanval

Dit artikel delen:

Computable Expert

ing. Remko Deenik
Technical Director, Pure Storage. Expert van Computable voor de topics Management, Datamanagement en Cloud Computing.

Het is geen kwestie van óf maar wánneer je te maken krijgt met een ransomware-aanval. Het is daarom verstandig om een plan van aanpak klaar te hebben en te weten wat er in een worstcasescenario kan gebeuren. Het ergste scenario is natuurlijk een aanval waarvan een bedrijf niet kan herstellen en de deuren moet sluiten.

Zo verloor een derde van de door ransomware getroffen bedrijven in Nederland klanten en ging van deze groep uiteindelijk een op de zes failliet. Met het juiste plan en de juiste technologieën is het worstcasescenario te vermijden.

Verschillende worstcasescenario’s

"Vaak merkt een organisatie pas dat er een ransomware-aanval heeft plaatsgevonden als een gebruiker een versleuteld bestand probeert te openen"

  • Aanvaller besmet systeem met ransomware en krijgt toegang tot data

Een ransomware-aanvaller koopt vaak login-informatie op het darkweb om toegang te krijgen tot een systeem. Eenmaal binnen, blijft de ransomware-aanvaller meestal enige tijd in de omgeving om backdoors aan te brengen die ervoor zorgen dat hij toegang houdt. Vervolgens wordt er ransomware op het systeem geïnstalleerd, die meestal onopgemerkt op de achtergrond blijft totdat de aanvaller besluit om de aanval te laten beginnen. Op dit punt gebruikt de aanvaller een command-and-control-server om de omgeving te besturen en de daadwerkelijke ‘encryptie’ te starten.

Vaak merkt een organisatie pas dat er een ransomware-aanval heeft plaatsgevonden als een gebruiker een versleuteld bestand probeert te openen. Het lukt niet om erin te komen of de gebruiker ontvangt een bericht van de aanvaller dat alle data zijn versleuteld. Een ander signaal kan zijn dat een storage array wordt gevuld met niet-comprimeerbare, versleutelde data.

  • Malware infecteert of verwijdert active directory

Active directory (ad) is een belangrijk doelwit voor aanvallers omdat het de basis vormt van de gebruikers- en systeemaccounts en data van de meeste organisaties. Als de ad gecompromitteerd is, dan is de volledige controle over de it-infrastructuur verloren. In een onderzoek werd de volgende vraag gesteld: in welke mate zou uw bedrijf worden getroffen als een ransomware- of wiper-aanval uw domeincontrollers (dc's) zou uitschakelen en ad zou uitvallen? Op deze vraag gaf ruim tachtig procent van de respondenten aan dat de aanval een aanzienlijke, ernstige of zelfs catastrofale impact zou hebben.

  • Domain name system (dns) raakt beschadigd

Ransomware kan leiden tot dns-spoofing, cache-poisoning of hijacking. Al deze aanvallen betekenen dat gebruikers niet op de gewenste websites kunnen komen en naar kwaadaardige sites kunnen worden omgeleid. Terwijl voor spoofing en hijacking een fysieke overname van de dns-instellingen nodig is, is cache-poisoning mogelijk gedaan door een vervalst dns-entry in de dn-cache te injecteren. Gebruikers worden hierdoor naar een ander ip-adres gestuurd dan dat van de echte website. Sommige ransomware-aanvallers beginnen voor het wegsluizen van data ook dns-tunneling te gebruiken in plaats van http. Voor aanvallers is dit vrij eenvoudig te doen, maar voor securitytools is dat moeilijk te detecteren.

  • Aanvaller manipuleert tijdservices van het systeem

Tijdservices (de klok) zijn essentieel voor veel it-operaties. Backups en andere taken worden ingepland en achter de schermen automatisch uitgevoerd. Als de tijd of de datum van de systemen binnen het netwerk wordt gewijzigd, kan dit leiden tot een domino-effect van problemen.

  • Backups buitenwerking

Hoewel dit probleem niet noodzakelijk te wijten is aan de ransomware-aanval, kunnen de problemen aanzienlijk verergerd worden als back-ups vernietigd, beschadigd of verloren blijken te zijn tijdens een ransomware-aanval. Tapes en harde schijven werken na verloop van tijd niet goed meer, dus het is cruciaal om deze regelmatig te testen als onderdeel van de voorbereiding op het worstcasescenario. Het is ook verstandig om ervoor te zorgen dat mensen die het bedrijf hebben verlaten van de rechtenlijsten worden verwijderd en dat de juiste mensen weten waar de backups zijn. Sommige bedrijven stappen over op meer robuuste snapshot-architecturen om problemen door defecte backups te voorkomen.

  • Incident-response van bedrijf schiet tekort

Het kiezen van het juiste incident-response (ir)-team is een cruciaal onderdeel van een voorbereidingsstrategie. De ir-provider moet gevalideerd zijn bij uw verzekeringsbedrijf en altijd beschikbaar zijn via een vast servicecontract (retainer). Net als bij backups moeten ook ir-providers getest worden - hetzij met theoretische wat-als-scenario's, tabletop-workshops, of een volledige gesimuleerde aanval.

  • Reputatieschade in de media.

De reputatie van een bedrijf is ongelooflijk belangrijk. Hoewel ransomware-aanvallen steeds vaker voorkomen, willen klanten nog steeds weten dat er alles aan gedaan wordt om hun data en belangen te beschermen, zelfs in het geval van een aanval. Een deel van de planning is het beslissen hoe de communicatie rond een incident wordt aangepakt, er moet van tevoren in ieder geval een globaal idee zijn van hoe er gereageerd gaat worden.  

  • Juridische gevolgen zijn te hoog

Wanneer ransomware toeslaat, heeft dit juridische implicaties waar rekening mee gehouden moet worden. Zo kan er een stortvloed aan rechtszaken komen van klanten. De organisatie is tegen dit soort rechtszaken te beschermen door er zorg voor te dragen dat de securitylogs goed beschermd zijn. Bij een rechtszaak kan het incident dan gereproduceerd worden en/of is aan te tonen dat het bedrijf de juiste beschermingsmaatregelen heeft genomen en dat die ten tijde van het incident van kracht waren.

Perfecte storm

Als een worstcasescenario zich voordoet en al deze factoren samenkomen om een ‘perfecte storm’ van catastrofes te creëren, zal het lastig zijn om alles correct of effectief te managen. Een goede voorbereiding is dan het halve werk! Er is niemand gegarandeerd veilig voor een ransomware-aanval, maar als er een noodhulpteam en -plan klaar ligt, dan kan een volledige ramp voorkomen worden - wat een duur, tijdrovend handmatig herstelproces kan vergen.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-12-13T13:28:00.000Z Remko Deenik


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.