Ransomware is een categorie schadelijke software die de toegang tot de gegevens van het slachtoffer blokkeert tot, of dreigt met het publiceren van gevoelige informatie tenzij, aan de eisen van de aanvallers wordt voldaan. Ransomware werkt door computerbestanden te versleutelen; gebruikers worden gedwongen om het geëiste losgeld te betalen of het risico te lopen dat ze nare gevolgen ondervinden.
Naarmate onze interacties met en afhankelijkheid van digitale systemen toenemen, neemt ook de waarde van onze gevoelige gegevens toe. En hoewel bepaalde cybercriminelen meer geïnteresseerd zijn in het stilletjes stelen van je gegevens om ze te verkopen of zelf te gebruiken, houden andere ze liever gegijzeld. Wanneer een externe dreigingsactor de controle over je systeem, gegevens, toepassingen, enz. overneemt en je vervolgens probeert te chanteren om te betalen om de controle terug te krijgen, wordt dat een ransomwareaanval genoemd.
Helaas komt dit soort cybercriminaliteit maar al te vaak voor: alleen al in 2020 ontving het Internet Crime Complaint Center van de FBI bijna 2500 meldingen van ransomwareaanvallen, met een verlies na aanpassing van meer dan $ 29,1 miljoen. En het risico neemt alleen maar toe: wereldwijd is het aantal meldingen van ransomware tussen 2019 en 2020 met meer dan 700% toegenomen. In reactie op dit toenemende gevaar voor Amerikaanse burgers, bedrijven en overheidsinstellingen heeft president Biden in mei 2021 een Executive Order uitgegeven ("Improving the Nation's Cybersecurity"), waarin details, federale beleidsregels, en best practices zijn opgenomen die zijn gericht op het bieden van betere bescherming tegen de gevaren van ransomware.
Hoewel de dreiging van ransomware wordt erkend als een van de grootste bedreigingen van cyberbeveiliging in het internettijdperk, dateert de oorsprong ervan eigenlijk van vóór de release van het openbare internet. Ransomware heeft een complexe geschiedenis en heeft zich alleen maar verder ontwikkeld in de pas met informatietechnologie.
Belangrijke gebeurtenissen die hebben bijgedragen aan de ontwikkeling van ransomware als een significant gevaar zijn:
- 1989: AIDS Trojan
De AIDS Trojan, ook bekend als het PC Cyborg-virus, is een van de vroegste exemplaren van ransomware. Het werd verspreid via diskettes en eiste dat losgeld naar een postbus in Panama werd gestuurd om de geïnfecteerde computer te ontgrendelen. - 2005: Gpcode
De Gpcode-ransomware kwam in een tijd waarin het aantal ransomwareaanvallen toenam. Deze gebruikte sterke encryptiealgoritmen en eiste losgeld in ruil voor een decryptiesleutel. Deze versie toonde aan dat ransomware een ernstig probleem kon worden. - 2013: CryptoLocker
CryptoLocker was een revolutie in de geschiedenis van ransomware. Deze ransomware introduceerde het gebruik van sterke asymmetrische encryptie, waardoor het bijna onmogelijk was om bestanden te herstellen zonder het losgeld te betalen. Cybercriminelen eisten betalingen in Bitcoin, waardoor deze moeilijker te traceren waren. - 2016: Locky en Cerber
Ransomwarecampagnes zoals Locky en Cerber maakten gebruik van geavanceerde distributiemethoden, zoals schadelijke e-mailbijlagen en exploitkits, om een groot aantal apparaten wereldwijd te infecteren. Ze benadrukten de financiële motivatie achter ransomwareaanvallen. - 2017: WannaCry
De uitbraak van WannaCry-ransomware trof honderdduizenden computers in meer dan 150 landen. Deze ransomware maakte gebruik van een kwetsbaarheid in Microsoft Windows en demonstreerde de mogelijkheid van grootschalige, wereldwijde ransomwareaanvallen. - 2018: Ryuk
Ryuk-ransomware bleek een grote dreiging voor organisaties. Deze werd vaak ingezet na een eerste beveiligingsinbreuk door andere malware zoals TrickBot. Ryuk toonde aan dat georganiseerde cybermisdaadgroepen betrokken waren bij ransomwareaanvallen. - 2019: Maze en ransomware-as-a-service (RaaS)
Maze-ransomware maakte de tactiek van 'dubbele afpersing' populair, waarbij cybercriminelen niet alleen gegevens versleutelen, maar ook dreigen om deze openbaar te maken als het losgeld niet wordt betaald. RaaS-modellen maakten het voor minder vaardige aanvallers eenvoudiger om ransomwarecampagnes te starten door de services van ervaren operators in te huren. - 2021: Colonial Pipeline en JBS
Opvallende ransomwareaanvallen op kritieke infrastructuur, zoals de Colonial Pipeline en JBS-vleesverwerking, toonden het potentieel aan voor ernstige economische en maatschappelijke verstoringen veroorzaakt door ransomware-incidenten. - 2022 en later: moderne ransomware
De huidige ransomware kent geavanceerdere encryptie en is veel meer gericht op specifieke branches. Misschien wel het meest verontrustend is dat steeds vaker AI-technologie wordt geïntegreerd in moderne ransomware, waardoor intelligente, met machine learning (ML) versterkte aanvallen worden gecreëerd die doelen met de hoogste waarde kunnen identificeren en aangepaste aanvallen kunnen creëren die zijn ontworpen om aanwezige verdedigingen tegen te gaan.
Helaas is het beschermen van je organisatie tegen de toenemende dreiging van ransomware niet altijd eenvoudig. Ransomwareaanvallen worden steeds geavanceerder en richten zich niet alleen op oppervlakkige gegevens. De nieuwe ransomware is in plaats daarvan ontworpen om back-upgegevens te gijzelen en zelfs de controle over beheerfuncties op topniveau over te nemen. Deze aanvallen worden vaak geïmplementeerd als één component in een grotere strategie, met als doel kritieke systemen volledig te compromitteren.
Op dezelfde manier worden de bedreigingsactoren zelf steeds geavanceerder; in plaats van zich te beperken tot individuele cybercriminelen die met hun eigen beperkte middelen opereren, bestaan de huidige dreigingen uit georganiseerde en goed gefinancierde groepen, door bedrijven gesteunde industriële spionageteams en zelfs vijandige buitenlandse overheidsinstellingen.
Gezien de alomtegenwoordigheid en diversiteit van deze cyberaanvallen lopen bedrijven over de hele wereld groot gevaar om ten prooi te vallen aan deze digitale afpersing.
Zoals bij alle schadelijke software kan ransomware op verschillende manieren je netwerk binnenkomen, bijvoorbeeld als bijlage bij een spam-e-mail, door gebruik van gestolen inloggegevens, via een onbeveiligde internetkoppeling, via een gecompromitteerde website of zelfs verborgen als onderdeel van een downloadbare softwarebundel. Bepaalde vormen van ransomware maken gebruik van ingebouwde social-engineeringtools om je te verleiden tot het verlenen van beheerderstoegang, terwijl andere proberen om toestemming volledig te omzeilen door bestaande zwakke punten in de beveiliging te benutten.
Eenmaal in je netwerk wordt de software geïmplementeerd en voert deze achter de schermen een reeks opdrachten uit. Dit houdt vaak in dat cruciale beheerdersaccounts die systemen beheren, zoals back-up, Active Directory (AD), Domain Name System (DNS) en opslagbeheerconsoles, worden ontwricht. De malware valt vervolgens de back-upbeheerconsole aan, waardoor de aanvaller back-uptaken kan uitschakelen of wijzigen, het bewaarbeleid kan wijzigen en gemakkelijker gevoelige gegevens kan vinden die de moeite waard zijn om te worden gegijzeld.
Meestal begint de malware op dit moment bepaalde of al je bestanden te versleutelen. Zodra deze bestanden zijn beveiligd tegen toegang, onthult de malware zichzelf door je te informeren dat je gegevens worden gegijzeld, en aan welke eisen moet worden voldaan om weer toegang te krijgen. Bij andere soorten malware (vaak leakware genoemd) kan de aanvaller dreigen bepaalde soorten gevoelige gegevens openbaar te maken als het losgeld niet wordt betaald. In veel gevallen worden de gegevens niet alleen versleuteld, maar ook gekopieerd en gestolen om te worden gebruikt bij toekomstige criminele activiteiten.
Er bestaan verschillende vormen van ransomware, elk met hun eigen unieke methodologieën en doelstellingen. Inzicht in de verschillende typen ransomware is essentieel voor het opzetten van een effectief ecosysteem voor cyberbeveiliging. Hier volgen enkele veelvoorkomende typen:
Cryptoransomware is tegenwoordig het meest voorkomende type ransomware. Deze naam is ontstaan doordat de bestanden van het slachtoffer te versleuteld kunnen worden ('encryption') of zelfs doordat de toegang tot het hele systeem wordt geblokkeerd. Slachtoffers krijgen vervolgens de instructie om losgeld te betalen om de decryptiesleutel te ontvangen. Wat deze vorm van ransomware zo effectief maakt, is dat veel organisaties ervoor zullen kiezen om de eisen van de aanvallers in te willigen, aangezien ze dit zien als de snelste en eenvoudigste oplossing. Zodra een slachtoffer de eisen heeft ingewilligd, kan de aanvaller echter gewoon ervoor kiezen om de decryptiesleutel niet te verstrekken en in plaats daarvan meer geld te eisen. Voorbeelden van cryptoransomware zijn CryptoLocker en Ryuk.
Scareware is minder gevaarlijk dan cryptoransomware, maar potentieel net zo beangstigend. Scareware versleutelt geen bestanden, maar gebruikt in plaats daarvan angsttactieken om zijn slachtoffers te misleiden. Bij deze vorm van ransomware worden in geïnfecteerde systemen nepwaarschuwingen of pop-upberichten getoond die vaak beweren dat de computer van het slachtoffer is geïnfecteerd met malware of dat illegale inhoud erop is aangetroffen. Gebruikers worden aangespoord om te betalen voor een nepbeveiligingsoplossing of om andere onveilige acties te ondernemen.
Voorbeelden zijn nepadvertenties, neppop-ups of ongeautoriseerde wijzigingen in de browser van het slachtoffer.
Screenlockers zijn een type ransomware dat de toegang van gebruikers tot hun apparaat of besturingssysteem blokkeert en een losgeldmelding weergeeft op het scherm. Slachtoffers hebben geen toegang tot hun bureaublad en bestanden tot het losgeld is betaald. Deze aanvallen komen vaker voor op mobiele apparaten. In plaats van de gegevens van het slachtoffer te versleutelen, overschrijven screenlockers het besturingssysteem om geautoriseerde gebruikers de toegang tot hun gegevens te beletten.
Een voorbeeld van screenlockers is de ransomware met politie- of FBI-thema's. Hierbij doet de ransomware zich voor als een wetshandhavingsinstantie en worden slachtoffers beschuldigd van illegale activiteiten, waardoor ze een boete moeten betalen om hun systemen te laten ontgrendelen.
Hoewel ransomwareaanvallen over het algemeen binnen de bovenstaande categorieën vallen, is er binnen deze categorieën een reeks specifieke ransomwarevarianten met elk eigen unieke kenmerken en een eigen modus operandi. Deze varianten evolueren voortdurend, waardoor het essentieel is voor personen en organisaties om op de hoogte te blijven van de nieuwste dreigingen.
De meest noemenswaardige varianten zijn:
Ryuk staat erom bekend dat het zich richt op doelen met een hoge waarde, waaronder grote bedrijven, zorginstellingen en overheidsinstanties. Het volgt vaak op een eerste beveiligingsinbreuk door andere malware (zoals TrickBot). Ryuk versleutelt bestanden en eist een hoog bedrag als losgeld, meestal in cryptovaluta.
Zoals eerder vermeld, was Maze een van de eerste typen ransomware die dubbele afpersing toepaste, waarbij gebruikers werden buitengesloten en werd gedreigd met het publiceren van gevoelige gegevens als de aanvallers geen betaling zouden ontvangen. Deze variant kreeg bekendheid vanwege de verfijning en de effectiviteit ervan bij het compromitteren van de bestanden en systemen van grote ondernemingen.
REvil, ook bekend als Sodinokibi, staat bekend om zijn RaaS-model (ransomware-as-a-service). Hierdoor kunnen andere cybercriminelen deze ransomware gebruiken in ruil voor een deel van de winst. Deze ransomware is vaak gericht tegen organisaties en voert uitgebreide gegevensdiefstal uit vóór de encryptie.
Lockbit is een andere ransomwarevariant die het RaaS-model gebruikt en bestanden versleutelt en losgeld eist voor ontsleuteling. Wat deze variant opmerkelijk maakt, is de mogelijkheid om snel aanzienlijke hoeveelheden gegevens te versleutelen in hele organisaties, waardoor de missie vaak wordt voltooid voordat de ransomware kan worden gedetecteerd. Lockbit wordt vaak verspreid via phishing-e-mails en kwetsbare RDP-verbindingen (Remote Desktop Protocol).
DearCry is een relatief nieuwere ransomwarevariant die in 2021 aandacht kreeg. Deze is voornamelijk gericht op Microsoft Exchange-servers en Windows-systemen, en versleutelt bestanden en eist losgeld voordat geautoriseerde gebruikers weer toegang krijgen.
Zoals eerder vermeld, neemt het gebruik van ransomware bij cyberaanvallen toe. Deze explosieve escalatie kan worden toegeschreven aan verschillende factoren:
De dagen dat cybercriminelen moesten beschikken over de technische kennis om hun eigen malwareprogramma's te bouwen, zijn allang verleden tijd. Tegenwoordig worden malwarekits, -programma's en -strains verhandeld op online ransomwaremarktplaatsen, waardoor elke potentiële crimineel eenvoudig toegang heeft tot de resources die hij of zij nodig heeft om aan de slag te gaan.
De makers van ransomware waren ooit beperkt doordat ze specifieke ransomwareversies moesten maken voor elk platform waarop ze zich wilden richten. Nu maken generieke interpreters (programma's die code snel kunnen vertalen van de ene programmeertaal naar de andere) het mogelijk om ransomware betrouwbaar bruikbaar te maken op vrijwel elk platform.
Nieuwe technieken maken het niet alleen eenvoudiger voor dreigingsactoren om stiekem malware in je systemen te introduceren, maar ook om meer schade aan te richten als deze eenmaal binnen is. Moderne ransomwareprogramma's kunnen bijvoorbeeld je hele schijf versleutelen in plaats van alleen individuele bestanden, waardoor je effectief volledig uit je systeem wordt geweerd.
Helaas is er niet één aanpak voor netwerkbeveiliging die je organisatie volledig kan beschermen tegen elk type ransomwareaanval. In plaats daarvan houden effectieve antiransomwarestrategieën in dat volledig rekening wordt gehouden met de bestaande IT-infrastructuur en eventuele inherente zwakke punten, dat gedegen back-up- en verificatieprocedures worden opgezet en dat binnen je organisatie een culturele verschuiving naar een groter beveiligingsbewustzijn wordt gestimuleerd.
Overweeg om te beginnen de volgende stappen:
Elimineer eenvoudige protocollen voor delen via netwerken bij het maken van back-ups van gegevens en implementeer haalbare beveiligingsfuncties om back-upgegevens en beheerconsoles te beschermen tegen aanvallen. Dit helpt te zorgen dat onbeschadigde gegevenskopieën beschikbaar zijn wanneer je ze nodig hebt.
Als nieuwe malware wordt aangetroffen werken aanbieders van beveiligingssoftware en andere leveranciers hun producten en systemen bij om deze nieuwe dreigingen tegen te gaan. Helaas vergeten organisaties soms om de nieuwste beveiligingspatches te implementeren, waardoor ze kwetsbaar worden voor bekende dreigingen. Controleer regelmatig op nieuwe updates en installeer deze zodra ze beschikbaar zijn.
Creëer en distribueer internetbeleid in je hele organisatie waarin de best practices en veiligheidsmaatregelen staan beschreven die werknemers moeten volgen wanneer ze online zijn. Sta werknemers bijvoorbeeld nooit toe om bedrijfsactiviteiten uit te voeren of gevoelige systemen te gebruiken terwijl ze gebruikmaken van openbare wifi. Train al het relevante personeel in dit beleid en stel responsplannen op die ze kunnen volgen in het geval van blootstelling aan schadelijke software.
Bescherm beheerdersaccounts tegen onbevoegde toegang en controle door verificatie met twee (of meer) factoren te gebruiken. Configureer accounts zodanig dat ze standaard alleen beschikken over de minimaal noodzakelijke systeemmachtigingen.
Integreer herstel van ransomware in je algehele strategie voor noodherstel. Creëer een geïsoleerde herstelomgeving (IRE: Isolated Recovery Environment): een afzonderlijk, afgesloten datacenter waarin gegevenskopieën kunnen worden bewaard en zijn beveiligd tegen externe toegang. Neem de IRE op in alle noodhersteltests.
Kennis en bewustzijn zijn enkele van de meest effectieve wapens in je arsenaal tegen ransomware; houd ze klaar door beveiligingsprofessionals en experts op het gebied van sociale media te volgen, regelmatig de feeds en adviessites met risicoadvies te controleren en op de hoogte te blijven van relevant nieuws.
Ontwikkel een uitgebreid responsplan voor ransomware, dat de stappen beschrijft die moeten worden genomen in het geval van een aanval. Dit plan moet procedures bevatten voor het vaststellen van infecties en het isoleren van geïnfecteerde systemen, het contact opnemen met de politie, het informeren van de betrokken partijen en het initiëren van herstelprocessen. Een goed gedefinieerd plan kan de chaos en uitvaltijd die gepaard gaan met ransomware-incidenten aanzienlijk verminderen.
Maak regelmatig een back-up van alle kritieke gegevens en systemen. Zorg dat back-ups veilig en offline worden opgeslagen om te voorkomen dat ransomware ze versleutelt of verwijdert. Test regelmatig de integriteit van back-ups om de betrouwbaarheid ervan te garanderen in geval van gegevensverlies. Een solide back-upstrategie kan een manier bieden om gegevens te herstellen zonder losgeld te betalen.
Laat alle werknemers een gedegen cyberbeveiligingstraining volgen, waarbij de nadruk ligt op het belang van gegevensbeveiliging. Leer ze phishingpogingen, verdachte koppelingen en verdachte e-mailbijlagen herkennen. Stimuleer de werkwijze van een sterk wachtwoordbeheer en het gebruik van meervoudige verificatie. Werknemers moeten hun rol in het voorkomen van ransomwareaanvallen begrijpen en weten hoe ze verdachte activiteiten onmiddellijk kunnen melden. Doorlopende educatie van werknemers is een essentieel onderdeel van een krachtige verdediging tegen ransomware.
Als je het doelwit bent van een ransomwareaanval, moet je niet de eisen van de criminelen inwilligen. Als je dit doet, worden je organisatie en jij alleen maar aangemerkt als gewillige slachtoffers en worden de criminelen aangemoedigd om zich op jou te blijven richten. In de meeste gevallen ontvangen bedrijven die betalen om hun gegevens of bestanden te laten teruggeven nooit daadwerkelijk een werkende encryptiesleutel. In plaats daarvan blijven de aanvallers gewoon hun eisen verhogen tot het getroffen bedrijf stopt met betalen. Door de gijzelnemers te betalen financier je bovendien hun criminele activiteiten en stel je andere organisaties en individuen bloot aan hetzelfde risico.
Als je merkt dat je bent aangevallen door ransomware, moet je snel de volgende stappen uitvoeren:
Ransomware komt in een netwerk binnen door één apparaat of systeem te infecteren, maar dat betekent niet noodzakelijkerwijs dat deze op die ene plek blijft. Ransomware kan zich eenvoudig verspreiden via je netwerk. Als zodanig is het eerste wat je moet doen wanneer je ransomware ontdekt, het loskoppelen van het geïnfecteerde systeem en het isoleren van de rest van het netwerk. Als je dit snel genoeg kunt doen, bestaat een kleine kans dat je de malware tot één locatie kunt beperken, waardoor de rest van je werk veel eenvoudiger wordt.
Net zoals brandweerlieden struiken en bomen uit het pad van een razende natuurbrand verwijderen, moet jij vervolgens stappen ondernemen om mogelijke verspreiding van ransomware te stoppen door andere systemen die mogelijk zijn blootgesteld los te koppelen en te isoleren. Het gaat hierbij om alle apparaten die zich abnormaal lijken te gedragen, waaronder apparaten die zich mogelijk niet op jouw locatie bevinden. Belemmer de verspreiding verder door alle opties voor draadloze connectiviteit uit te schakelen.
Nadat verdachte bestanden buiten het netwerk zijn geïsoleerd, moet je de omvang van de schade beoordelen. Bepaal welke systemen daadwerkelijk zijn getroffen door te zoeken naar onlangs versleutelde bestanden (vaak met vreemde extensienamen). Bekijk de versleutelde gedeelde bestanden in elk apparaat goed; als het ene apparaat meer gedeelde bestanden heeft dan de andere, kan dit eerste apparaat het punt zijn waar de ransomware oorspronkelijk je netwerk is binnengekomen. Schakel deze systemen en apparaten uit en maak een volledige lijst van alles wat mogelijk is getroffen (inclusief externe harde schijven, netwerkopslagapparaten, cloudsystemen, desktops, laptops, mobiele apparaten, en alle andere zaken die in staat zijn om de ransomware uit te voeren of door te geven).
Zoals in het vorige punt is vermeld, kan het controleren van de betrokken apparaten op grote aantallen gedeelde versleutelde bestanden je helpen om 'patiënt nul' te vinden. Andere methoden om de bron van de ransomware te lokaliseren zijn onder andere het controleren op antiviruswaarschuwingen die direct voorafgingen aan de infectie, en het beoordelen van verdachte gebruikersacties (zoals het klikken op een onbekende link of het openen van een spam-e-mail). Zodra je de bron hebt ontdekt, wordt het verhelpen van het probleem veel eenvoudiger.
Het effectief tegengaan van een ransomwareaanval is vaak afhankelijk van je vermogen te bepalen met welke van de vele soorten ransomware je precies te maken hebt. Er zijn een paar verschillende manieren om de ransomware te identificeren. De mededeling die is opgenomen in de aanval (die waarin je de instructie krijgt om geld over te maken om je bestanden te ontgrendelen) kan de ransomware direct identificeren. Je kunt ook zoeken op het e-mailadres dat is gekoppeld aan de mededeling, om te ontdekken welke ransomware deze dreigingsactor gebruikt en welke volgende stappen andere organisaties hebben ondernomen nadat ze waren geïnfecteerd. Ten slotte zijn er online sites en tools beschikbaar die zijn ontworpen om typen ransomware te identificeren. Zorg alleen dat je alle opties volledig onderzoekt voordat je er een kiest. Je wilt geen onbetrouwbare tool downloaden om zo alleen nog meer malware binnen te halen in je toch al geschade systeem.
Zodra je de ransomware hebt ingedamd, is het jouw verantwoordelijkheid om contact op te nemen met de politie. In veel gevallen gaat dit verder dan alleen protocol: bepaalde wetgeving inzake gegevensprivacy verplicht je bijvoorbeeld om binnen een vooraf bepaalde tijd melding te maken van elke gegevensinbreuk die je bedrijf ondervindt, op straffe van boetes e.d. Maar zelfs als je niet wettelijk verplicht bent om contact op te nemen met de politie, hoort dit een topprioriteit te zijn. Ten eerste hebben instanties die cybercriminaliteit bestrijden waarschijnlijk meer autoriteit en resources voor en ervaring in het oplossen van dit soort problemen, en kunnen ze je bedrijf helpen sneller terug te keren naar de normale situatie.
Nu de brand effectief is geblust, is dit het moment om te beginnen met het repareren van je systemen. In het ideale geval dat je beschikt over onbeschadigde back-upgegevens, zou je jouw systemen zonder al te veel problemen moeten kunnen herstellen. Controleer nogmaals of al je apparaten vrij zijn van ransomware en andere vormen van malware, en herstel vervolgens je gegevens. Houd er rekening mee dat moderne ransomwareaanvallen vaak gericht zijn op gegevensback-ups, dus je moet er zeker van zijn dat je gegevens niet zijn geïnfecteerd voordat je ze herstelt.
Als je niet beschikt over een gegevensback-up of als deze gegevens zelf ook zijn beschadigd, is je op één na beste optie: proberen een oplossing voor decryptie te vinden. Zoals eerder vermeld, kun je met enig onderzoek mogelijk een online decryptiesleutel vinden om je te helpen je toegang en controle te herstellen.
Na een ransomwareaanval is het jouw verantwoordelijkheid om met je klanten en cliënten over het incident te communiceren. Transparantie is essentieel om het vertrouwen te behouden, en als je jouw klanten niet op de hoogte houdt, zal dat vertrouwen snel verdwijnen. Neem contact op met de mensen die je bedrijven ondersteunen: informeer ze over de situatie, de acties die je onderneemt om het probleem op te lossen en wat de eventuele gevolgen zijn voor hun gegevens of services. Tijdige en nauwkeurige informatie kan helpen de reputatieschade te beperken die vaak gepaard gaat met dergelijke incidenten.
Hoewel het omgaan met een ransomwareaanval storend kan zijn, is het essentieel om inspanningen te leveren om je bedrijf operationeel te houden tijdens het herstelproces. Implementeer Business Continuity Plans om te zorgen dat kritieke functies actief kunnen blijven. Dit kan betekenen dat taken worden verplaatst naar niet-getroffen gebieden of dat activiteiten tijdelijk worden verplaatst om downtime te minimaliseren. Het handhaven van de bedrijfscontinuïteit kan de financiële verliezen verminderen die gepaard gaan met ransomware-incidenten, en veerkracht tonen aan klanten en belanghebbenden.
Of je nu je apparaten herstelt, een oplossing voor decryptie zoekt of gewoon accepteert dat je gevoelige gegevens voorgoed weg zijn, je laatste stap is altijd dezelfde: Bouw je gegevens weer op en ga verder. Zelfs in de beste scenario's kan het terugkeren naar het productiviteitsniveau vóór de aanval een duur en tijdrovend proces zijn. Zorg gewoon dat je door deze ervaring een beter inzicht hebt gekregen in de dreigingen waarmee je organisatie wordt geconfronteerd, en een duidelijker idee hebt van hoe jij je ertegen kunt verdedigen.
Aangezien cybercriminelen zich aanpassen aan nieuwe technologieën en beveiligingsmaatregelen, blijft ransomware zich ook ontwikkelen. Inzicht in toekomstige trends in ransomware is essentieel om opkomende dreigingen voor te blijven. Hier volgen enkele belangrijke trends om in de gaten te houden:
Naarmate organisaties hun gegevens en services steeds vaker naar de cloud migreren, wordt verwacht dat cybercriminelen zich veel vaker zullen richten op cloud-endpoints. Cloudservices zijn aantrekkelijke doelen, aangezien hierin grote hoeveelheden gegevens zijn opgeslagen, waardoor de kans groter is dat ze lonen voor exploitanten van ransomware. Het is belangrijk voor organisaties om hun cloudomgevingen te beveiligen en sterk toegangsbeheer te implementeren om deze dreigingen te beperken.
Ransomware heeft zich van oudsher gericht op veelgebruikte platforms zoals Windows en iOS, maar een toekomstige trend kan de uitbreiding zijn naar minder gangbare besturingssystemen en platformen. Cybercriminelen proberen kwetsbaarheden te misbruiken op plaatsen waar beveiligingsmaatregelen mogelijk nog niet zo geavanceerd zijn. Organisaties moeten zorgen voor uitgebreide beveiligingsmaatregelen voor al hun systemen, inclusief systemen die als minder gangbaar worden beschouwd.
Exploitanten van ransomware gaan over van alleen encryptie van gegevens naar exfiltratie van gevoelige informatie vóór encryptie. Vervolgens dreigen ze met publicatie van deze gestolen gegevens als het losgeld niet wordt betaald, waardoor afpersing met gegevens een krachtige tactiek is. Hoewel afpersing met gegevens niets nieuw is, maken geavanceerde mogelijkheden het voor aanvallers eenvoudiger om gestolen gegevens te delen, waardoor dreigingsactoren een extra hulpmiddel krijgen om hun slachtoffers te chanteren. Deze trend benadrukt het belang van het beschermen van niet alleen de beschikbaarheid, maar ook de vertrouwelijkheid van gegevens.
Een ongelukkige bijkomstigheid van gegevensexfiltratie is dat aanvallers hun inkomstenstromen nu eenvoudiger kunnen diversifiëren door gestolen gegevens op het dark web te verkopen, zelfs als slachtoffers ermee instemmen het losgeld te betalen. Deze werkwijze stelt organisaties bloot aan extra risico's die verdergaan dan de directe impact van een ransomwareaanval.
Exploitanten van ransomware beginnen al AI en ML te gebruiken om hun aanvallen te verbeteren. AI kan taken zoals het identificeren van kwetsbare doelen en het aanpassen van phishing-e-mails automatiseren, terwijl ML kan worden gebruikt om detectie door beveiligingssystemen te omzeilen (om slechts een paar use cases te noemen). Deze trend onderstreept het belang van het integreren van AI en ML in cybersecurityverdediging om evoluerende dreigingen effectief te detecteren en effectief erop te reageren, zelfs als het gaat om dreigingen die afhankelijk zijn van intelligente technologieën.
Bij het verdedigen tegen en reageren op ransomwareaanvallen kan tijd je meest waardevolle resource zijn. ServiceNow, de leider op het gebied van IT-beheer en workflowautomatisering, geeft jou de tijd die je nodig hebt, door mogelijkheden voor duidelijke, gecentraliseerde controle en monitoring. Elimineer zwakke punten in je beveiliging voordat ze kunnen worden misbruikt, zorg voor een bliksemsnelle identificatie van verdachte netwerkactiviteiten en respons op inbreuken, en herstel sneller van ransomware en andere aanvallen met geautomatiseerde oplossingen voor beveiligingsrespons. ServiceNow maakt het allemaal mogelijk.
Bescherm je organisatie tegen ransomware en andere aanvalselementen met continue bewaking en een geautomatiseerde respons. Lees meer over ransomware en ontdek hoe ServiceNow je bedrijf kan helpen om alles aan te kunnen wat op je pad kan komen.
Breek silo's af om risico's te beheren en de compliance in het hele bedrijf te verbeteren.