Grote toename Ransomware: wat kunt u doen?

In juni van dit jaar verscheen er een rapport van PhishMe over het feit dat in het eerste kwartaal van 2016 zo’n 93% van de verstuurde phishing mail ransomware bevatte. Volgens de analyse van dat zelfde rapport door CSO was dat in december 2015 nog ‘maar’ 56% en de maanden daarvoor zelfs slechts 10 procent van het totaal. Duidelijk dat dit een steeds grotere dreiging is en ook wij zien dit in de praktijk steeds vaker in de vorm van versleutelde mappen tot systemen die niet meer werken. Wat kunt u zelf doen om u te wapenen tegen dit nog relatief nieuwe digitale geweld? En wat te doen bij een infectie?

Ransomware?

De Nederlandse consument is ondertussen bekend met het fenomeen phishing, onder andere dankzij diverse campagnes op radio en televisie. De Nederlandse Vereniging van Banken heeft bijvoorbeeld al een aantal campagnes gestart voor veilig Internetbankieren (herinnert u zich “Hang op, klik weg, bel uw bank!” nog?). Phishing is kort gezegd een vorm van internetfraude waarbij valse e-mails worden verstuurd vanuit organisaties die u kent met links naar nagemaakte websites. Meestal wordt u daarin heel gericht gevraagd om uw persoonlijke gegevens in te vullen. zoals uw inloggegevens, rekeningnummer of andere gegevens over uw identiteit. Op die manier ‘vissen’ deze organisaties naar informatie om fraude te plegen.

Ook het versturen van een bijlage bij zo’n e-mail is niet nieuw. Het enige wat u vaak hoeft te doen om de bijgevoegde kwaadaardige software te starten is een keer een bijlage te openen. Voorheen bevatte zo’n bijlage vaak een virus. Een virus heeft als doel om Ransomwarezichzelf te vermenigvuldigen om vervolgens zijn gastheer (de pc waarop het virus gestart is) figuurlijk om het leven te brengen. Het zichzelf verspreiden gebeurt meestal via e-mail of via het netwerk. Een financieel veel lucratievere vorm (voor de makers in ieder geval) is een virus die de PC als het ware gijzelt en losgeld vraagt om de PC weer vrij te geven. Dit laatste wordt ransomware genoemd.

Ransomware kent twee vormen: scareware en cryptoware. Cryptoware versleuteld de bestanden (veelal documenten en afbeeldingen) op de computer om vervolgens geld te vragen voor het weer vrijgeven ervan. Scareware is een vorm die zich alleen voordoet als ransomware: de PC is helemaal niet besmet, maar de gebruiker krijgt wel allerlei waarschuwingen te zien. Uiteraard met het advies om nu te betalen om van het probleem af te komen.

Wat te doen?

Belangrijk is uiteraard het gebruik van een goede virusscanner op allerlei niveau’s. Dus niet alleen een spamfilter die de bijlagen scant, maar ook slimme firewalls die al het verkeer naar binnen analyseert. Ook het gebruik van AppLocker of third-party software als RES Workspace Manager kan helpen tegen het uitvoeren van kwaadaardige software. Maar zoals alle software zijn ook dat soort tools niet onfeilbaar.

Tips tegen phishing

De zwakste schakel in dit geheel is echter de mens die verleid wordt tot het openen van deze berichten of de bijlagen. Zelfs de meest ervaren ICT-ers hebben we erin zien trappen. Belangrijk is dus bewustwording in alle lagen van uw organisatie dat dit soort geavanceerde fraude bij iedereen in de mailbox kan verschijnen. En daarom ook deze tips voor iedere medewerker met een e-mailadres (lees: iedereen):

  • Controleer (het e-mailadres van) de afzender:
    • Verwacht u een e-mail van deze afzender of organisatie?
    • Het e-mailadres kan gespoofd zijn: de afzender doet zich hierbij voor als iemand anders. Daarom is het nog belangrijker op de inhoud te letten van de e-mail.
  • Let op de inhoud van de e-mail:
    • Klopt deze grammaticaal en spellingtechnisch?
    • De stamgegevens van een bedrijf zijn makkelijk te vinden, maar ook hierin kunnen fouten zitten waardoor u een phishing e-mail kan detecteren.
  • Check de link(s) in een e-mail:
    • Kopieer de hyperlink en plak deze in de adresbalk of plaats de muis boven de link om de URL te kunnen zien. Verwijst deze naar een website die u zou verwachten op basis van de afzender?
    • Als u een link heeft geklikt, hoe ziet de website eruit?
  • Wees voorzichtig met bijlagen:
    • Veel bijlagen (zoals PDF-, Excel- of Word documenten) kunnen macro’s of code bevatten. Voer dus geen macro’s uit tenzij u heel zeker van uw zaak bent.
    • Let op de bestandsnaam van de bijlage: het kan een uitvoerbaar bestand (.exe) zijn, ook al lijkt het door het icoontje een PDF- of Word document.

En nog een keer voor de visueel ingestelde mens:

Test de kennis van uw organisatie

Een aardige manier om ook uw organisatie het bewustzijn omtrent phishing te laten vergroten is een quiz. OpenDNS heeft zo’n (iets verouderde) quiz online staan: What is Phishing? Take the OpenDNS Phishing Quiz. Haalt u de maximale score? Gebruik dezelfde punctualiteit dan eens bij het openen van uw mailbox. 🙂

Zorg voor een goede back-up… en restoreplan!

Zoals al eerder aangegeven is geen enkel systeem feilloos als het gaat om criminaliteit. Het blijft een kat-en-muisspel tussen virusmakers en de makers van antivirussoftware. Denk daarom goed na over wat de gevolgen zouden kunnen zijn en de oplossing daarvoor. Zorg voor een goede back-up van alle relevante data. Houdt daarbij ook rekening mee met de RPO en RTO:

  • Recovery Point Objective, oftwel RPO, geeft aan hoeveel gegevens er verloren mogen gaan. Moet ieder uur een back-up gemaakt worden of is eens per dag voldoende? Breng differentie aan tussen datgene wat minder belangrijk is ten opzichte van wat cruciaal is voor de organisatie.
  • Recovery Time Objective (RTO) geeft aan hoe snel de data of applicatie weer beschikbaar moet zijn. Dit is iets waar vaak geen rekening mee wordt gehouden bij de inrichting van de back-up, maar essentieel is voor de organisatie in het geval van een calamiteit.

Recent zijn we nog bij een organisatie bezig geweest die netjes de relevante data ieder uur back-upten (RPO). Doordat echter de fysieke server na een aanval met ransomware volledig opnieuw geïnstalleerd moest worden voordat de data gerestored kon worden werd de RTO die de organisatie had verwacht niet bepaald gehaald. Een belangrijke tip: werk diverse scenario’s uit en toets deze met de organisatie.

Slachtoffer geworden van ransomware?

Isoleer zo snel als mogelijk het geïnfecteerde systeem om verdere verspreiding te voorkomen. Analyseer ook waar de besmetting vandaan komt om herhaling te voorkomen. Sinds kort heeft de Politie in samenwerking met een aantal relevantie organisaties de website NoMoreRansom.org gestart. Helaas heeft deze website nog niet voor alle vormen van cryptoware een decryptie tool. Als dat laatste het geval is zit er niets anders op dan een restore vanuit de back-up. Onze consultants hebben veel ervaring met diverse back-up oplossingen waaronder Microsoft System Center Data Protection Manager (DPM), dus blijf vooral niet met vragen zitten.

Meldplicht datalekken

Sinds 1 januari 2016 geldt de meldplicht datalekken en ook bij een infectie met ransomware kan deze meldplicht van kracht zijn. De website van de Autoriteit Persoonsgegevens is er redelijk duidelijk over:

Datalek

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

Als er dus sprake is van een infectie van data die persoonsgegevens kan bevatten bent u verplicht onmiddellijk melding te maken van deze (mogelijk) inbreuk. Want bij een virus of ransomware infectie wordt de data gewoonweg gewijzigd of verwijderd.



Wilt u graag een afspraak maken? Dat kan!

Wij ontvangen u met plezier of komen graag bij u op locatie.

Heeft u een vraag?

Vul onderstaand formulier in en wij nemen zo snel mogelijk contact op!



X