door Mo Ballari - 6 november 2023
Begin juli publiceerde de NCTV (Nationaal Coördinator Terrorismebestrijding en Veiligheid) het Cybersecuritybeeld Nederland 2023 (CSBN). Hieruit bleek onder meer dat afpersing via ransomware nog steeds een aantrekkelijk verdienmodel is voor cybercriminelen. En dat vrijwel iedere organisatie, en dus ook de jouwe, door de verwevenheid van ons digitale ecosysteem een potentieel doelwit vormt. Tijd dus om weer eens even stil te staan bij deze dreiging.
Hoe werkt ransomware?
Bij een aanval met ransomware verschaffen hackers zich toegang tot het netwerk van de organisatie. Dat kan met een phishing e-mail of via kwetsbaarheden in de software. Maar ook, zoals ik in mijn vorige column vertelde, via voice phishing in combinatie met spoofing en/of deepfake technieken. Vervolgens versleutelen zij gegevens in de systemen (en vaak ook de back up daarvan), waarna er een melding volgt dat jullie pas weer toegang krijgen tot die gegevens als er een bedrag aan losgeld is betaald, meestal in de vorm van bitcoins.
Cybercriminelen gaan daarbij steeds professioneler te werk. Zo nemen ze vaak een aantal weken tot zelfs maanden de tijd om rond te kijken in de systemen en de aanval zorgvuldig voor te bereiden. Ook kopiëren zij steeds vaker gevoelige informatie. Daarmee kunnen ze hun losgeldeis kracht bijzetten en de druk op hun slachtoffer opvoeren door te dreigen die informatie openbaar te maken als de betaling uitblijft.
Wat is de impact van een aanval met ransomware?
- De continuïteit van de organisatie komt erdoor in gevaar. Door de versleuteling valt de organisatie dagen of soms zelfs weken stil. Bovendien zijn de losgeldbedragen hoog en moet je na de aanval flink investeren om de integriteit van de systemen te herstellen.
- Als de hackers toegang hebben gehad tot persoonsgegevens, is er sprake van een datalek. Afhankelijk van de omvang en de gevolgen van dit lek, moeten de Autoriteit Persoonsgegevens (AP) en/of de betrokkenen worden ingelicht.
- Aanvallen met ransomware komen vaak in het nieuws, met flinke imagoschade tot gevolg.
Hoe kan je een aanval met ransomware voorkomen?
- Installeer beschikbare software updates en patches altijd zo snel mogelijk.
- Schakel Multi Factor Authenticatie (MFA) in. Hierbij wordt er bij het aanmelden naast een gebruikersnaam en wachtwoord ook nog een extra (eenmalige) code gevraagd die je via sms ontvangt of met een app genereert. Hierdoor wordt het voor hackers moeilijker om zich met verkregen wachtwoorden aan te melden op de systemen.
- Voorkom dat jouw organisatie vatbaar is als slachtoffer voor phishing. Je kunt dat deels technisch ondervangen, maar je collega’s moeten zich ook bewust zijn van de gevaren en zich vooral cyberveilig gedragen.
- Test regelmatig of de organisatie vatbaar is voor een aanval van buitenaf, bijvoorbeeld met netwerkpenetratie– en inlooptesten.
Toch getroffen door een aanval met ransomware?
Worden jullie, ondanks alle maatregelen, toch slachtoffer van ransomware? Dan is het cruciaal dat digitaal forensisch onderzoekers kunnen achterhalen hoe de hackers zijn binnengekomen en tot waar zij zijn doorgedrongen. Voorwaarde daarvoor is dat de technische en fysieke infrastructuur op een dergelijk onderzoek is voorbereid en de organisatie dus voldoende ‘forensic ready’ is.