Met wat geavanceerde voorbereiding kun je een ransomware-aanval overleven

Deze kolom is beschikbaar in een wekelijkse nieuwsbrief genaamd IT Best Practices. Klik hier om je in te schrijven.  

Je weet dat het erg is als een cybercriminaliteitsgolf slachtoffers maakt van de Amerikaanse politie. Wetshandhavingsinstanties in ten minste zeven staten zijn gechanteerd door cyberaanvallers die ransomware gebruiken. Gegevens op afdelingscomputers zijn gecodeerd door malware en gegijzeld, met de eis dat losgeld wordt betaald in bitcoins. Veel agentschappen waren niet gewend aan criminelen toe te geven en weigerden te betalen en verloren daardoor voor altijd de toegang tot hun informatie.

Cybercriminelen hebben zich ook gericht op Amerikaanse ziekenhuizen. In een spraakmakende zaak verloor een ziekenhuis in Californië een week lang de toegang tot zijn kritieke patiëntendossiers totdat een losgeld ter waarde van ongeveer $ 17.000 werd betaald. Experts schatten dat deze specifieke faciliteit maar liefst $ 100.000 per dag verloor op slechts één afdeling omdat het geen CT-scans kon uitvoeren zonder toegang tot zijn gegevens.

Ransomware draait over de hele wereld en het eist een enorme tol van individuen en bedrijven. Als het losgeld wordt uitbetaald, is dit slechts het topje van de ijsberg als het gaat om de kosten van de aanval. De werkelijke kosten kunnen worden opgeteld in termen van verloren productiviteit en zakelijke kansen, de middelen om op de aanval te reageren en het repareren of vervangen van getroffen systemen.

Grote buitenlandse misdaadsyndicaten die wereldwijd opereren, zijn verantwoordelijk voor de meeste aanvallen. Veel van de campagnes achter ransomware-aanvallen zijn industrieel van aard. Zo zagen de onderzoekers van McAfee Labs alleen al in het tweede kwartaal van 2015 meer dan 4 miljoen monsters van ransomware. Symantec meldt dat het binnen 18 dagen 500.000 keer slechts één ransomware-variant heeft gedetecteerd. De aanvallen zijn behoorlijk winstgevend voor de criminelen. McAfee schat dat de daders maandelijks tussen de $ 10 miljoen en $ 50 miljoen verzamelen van slachtoffers over de hele wereld.

Er zijn manieren om uw systemen te beschermen om te voorkomen dat u het volgende slachtoffer wordt, of in ieder geval om de effecten van de aanval te verzachten, maar u moet handelen voordat een aanval toeslaat. Onderzoekers zeggen dat het minder dan 5 minuten kan duren vanaf het moment dat de malware op een systeem terechtkomt tot het moment dat primaire bestanden worden versleuteld, back-upbestanden worden verwijderd en de vraag naar losgeld wordt getoond.

Dat gezegd hebbende, volgen hier enkele stappen om een ​​ransomware-aanval te overleven:

Plan nu uw reactie - Voor de meeste soorten ransomware-aanvallen tellen minuten en seconden, dus de tijd om te plannen hoe te reageren is lang voordat een aanval plaatsvindt. Experts raden aan een incidentresponsplan te ontwikkelen dat specifiek is voor dit type aanval. Het plan moet de rollen, verantwoordelijkheden en acties beschrijven die moeten worden ondernomen zodra de organisatie zich bewust wordt van een actieve aanval.

Maak een back-up van uw gegevens - Ransomware-aanvallen staan ​​bekend om het versleutelen van huidige gegevens en het verwijderen van back-upgegevens waar deze ook bereikbaar zijn. Cryptolocker versleutelt bestanden op alle schijven die in kaart zijn gebracht. Dit omvat externe apparaten zoals USB-thumbdrives, back-upservices zoals Carbonite en cloudbestandsarchieven waar een stationsletter aan is toegewezen. Zorg ervoor dat back-ups niet toegankelijk zijn vanaf eindpunten via schijfkoppelingen, omdat ze ook worden gecodeerd.

Gary Warner, hoofdwetenschapper bij PhishMe, raadt aan om meerdere seriële back-ups te bewaren voor het geval dat nieuwere beschadigd raken of versleuteld raken. Als u uw gegevens kunt herstellen van recente back-ups, wordt de aanval echt een probleem. Bovendien is het hebben van goede back-ups praktisch de enige manier om te herstellen van een aanval als u uw risico niet wilt nemen door het losgeld te betalen en hoopt dat de aanvaller de decoderingssleutel zal leveren. (Houd er rekening mee dat het betalen van losgeld geen garantie is dat u de decoderingssleutel krijgt of dat deze zal werken.)

Houd uw antivirussoftware actueel - Alle grote leveranciers van antivirussoftware doen onderzoek naar ransomware, zodat ze de bedreigingen die voortdurend veranderen, kunnen bijhouden. Door hun aard blijven AV-handtekeningen altijd een stap achter op de nieuwste varianten, maar ze moeten goed genoeg zijn om een ​​hoog percentage aanvalspogingen te stoppen.

Screen e-mails op phishing / malware - In het Verizon Data Breach Incident Report 2016 staat dat e-mailberichten met kwaadaardige bijlagen of links een belangrijke manier zijn om ransomware te installeren. FireEye bevestigt dat de meeste ransomware via e-mail wordt bezorgd. Dit maakt het belangrijk om inkomende e-mails te screenen en uit te filteren op phishing-berichten of kwaadaardige bijlagen. Het is vooral belangrijk om te filteren op uitvoerbare bestanden. Sommige phishing-berichten gebruiken bedrog door uitvoerbare bestanden te laten lijken op gewone PDF-bestanden.

Leer mensen niet te vallen voor phish-pogingen - Mensen zijn de zwakke schakel. We zijn goedgelovig en vertrouwen en we vallen voor social engineering-trucs die ons ertoe aanzetten om te openen en op de phishes te klikken die onze kant op komen. Leer uw werknemers op de hoogte te zijn van hun acties en help hen vermoedelijke phishing-berichten te herkennen, zodat ze de ransomware in de eerste plaats niet openen.

Verifieer de e-mailbronnen - Naast het scannen van inkomende e-mails op bedreigingen, kunt u meer vertrouwen krijgen in de e-mail die uw gebruikers ontvangen door de afzenders van berichten te verifiëren met behulp van technologieën zoals Domain Message Authentication Reporting and Conformance (DMARC), DomainKeys Identified Email (DKIM) en Sender Policy Framework (SPF) . (Zie dat DMARC een positieve impact heeft op het verminderen van spoofed mail en hoe DMARC in uw organisatie te implementeren.)

Bereid uw verdedigingssystemen voor - Beveiligingsonderzoekers hebben veel indicatoren bedacht die u in uw verdedigingssystemen kunt invoeren, zodat ze activiteiten met betrekking tot ransomware kunnen blokkeren of in quarantaine kunnen plaatsen. Er zijn tal van bronnen voor inlichtingenfeeds, waaronder beveiligingsleveranciers, industriële ISAC's (informatie-uitwisselings- en analysecentra) en overheidsveiligheidsinstanties. Verschillende lijsten met bronnen voor inlichtingenfeeds zijn te vinden op http://thecyberthreat.com/cyber-threat-intelligence-feeds/ en http://thecyberthreat.com/government-cyber-intelligence-sources/.

Gebruik eindpuntbeschermingsoplossingen - Ransomware komt meestal terecht op apparaten van eindgebruikers, dus bescherm ze met toepassingen voor eindpuntbescherming. Talrijke oplossingen op dit gebied doen alles, van verdachte sandboxing-software tot het uitvoeren van alle applicaties op een virtuele machine, zodat ze hun acties niet over een enkel apparaat kunnen verspreiden. Vanuit het oogpunt van een netwerk moet een endpoint zo snel mogelijk in quarantaine worden geplaatst als wordt vastgesteld dat het is gecompromitteerd. Dit kan helpen voorkomen dat de malware gedeelde bestanden beïnvloedt.

Heb een ransomware-noodherstelplan - In het geval dat een aanval doorkomt en succesvol is in het versleutelen, verwijderen of beschadigen van bestanden, heeft u een plan nodig om te herstellen van de aanval. Omdat u niet weet of de aanval verborgen latente software op uw systemen heeft laten vallen, is het beter om indien mogelijk systemen te vervangen in plaats van ze te repareren. Overweeg ook de impact op uw bedrijf als u gegevens van een oudere back-up moet herstellen of als u de gegevens helemaal niet kunt herstellen.

In het geval van ransomware is het oude gezegde "Een greintje preventie is een pond genezing waard" heel toepasselijk. De beste manier om een ​​aanval te overleven is om er in de eerste plaats grondig klaar voor te zijn.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.