Wat te doen ná een Ransomware-aanval?
Ransomware-aanvallen zijn in de loop der jaren in omvang toegenomen, waarbij ze veranderen en evolueren, vooral recentelijk, tot de verlammende aanvallen die we vandaag de dag zien. Volgens het Global Threat Landscape Report van FortiGuard Labs zijn ransomware-aanvallen zevenmaal toegenomen en nog disruptiever geworden. De tactieken van bedreigingsactoren blijven veranderen, en verdedigers moeten niet alleen blijven focussen op de “basis” van defensieve strategieën, maar ook voortdurend het beveiligingsbeleid van hun eigen organisatie evalueren om ervoor te zorgen dat ze nog steeds adequaat kunnen reageren op de ransomware-bedreigingsactoren van vandaag. CISO’s worden nu geconfronteerd met een harde realiteit.
“Het is niet langer de vraag of ze aangevallen zullen worden, maar wanneer.”
Daarom is het belangrijk om een ransomware responsplan te hebben voor het geval er een aanval plaatsvindt.
Wanneer er een ransomware-aanval plaatsvindt, is het essentieel om de juiste stappen te nemen om de impact op jou, je team en je organisatie te minimaliseren. Na een aanval kan paniek zich verspreiden binnen de organisatie en voor grotere problemen zorgen. CISO’s weten dat het overleven van een ransomware-aanval een incidentresponsplan vereist, maar de uitdaging is om de tijd te vinden om een volledig plan te documenteren en de juiste middelen te hebben om het uit te voeren wanneer dat nodig is. Voorbereiding is van cruciaal belang. Je zou al een ransomware responsplan moeten hebben voordat je getroffen wordt door een beveiligingsincident of een datalek. Maar wat hoort er precies in een effectief responsplan? We hebben een 11-stappen checklist voor ransomware samengesteld, zodat je precies weet wat je moet doen als je organisatie doelwit is van een geavanceerde bedreigingsactor.
11 stappen om te nemen na een aanval
- Raak niet in paniek. Zodra je beseft dat je doelwit bent, moet je kalm blijven en doelgericht handelen. Als je geen responsplan hebt kunnen maken of overvallen bent, neem dan contact op met je beveiligingsleverancier voor hulp of meld het incident aan je verzekeringsmaatschappij; zij hebben mogelijk al een lijst van beveiligingsdeskundigen die je kunnen helpen.
- Isoleer je systemen en stop de verspreiding. Er zijn meerdere technieken om de dreiging te isoleren en te voorkomen dat deze zich verspreidt. Identificeer eerst de reikwijdte van de aanval. Als het incident al wijdverspreid bekend is, implementeer dan blokkades op het netwerkniveau (bijv. het isoleren van verkeer bij de switch of de firewall) of overweeg tijdelijk de internetverbinding te verbreken. Als de omvang van het incident bevestigd is als zijnde ‘beperkt’, waarbij slechts enkele systemen geïnfecteerd zijn, isoleer de aanvallers dan op apparaatniveau door mogelijk de Ethernetkabel los te koppelen of de Wi-Fi uit te schakelen.
Endpoint Protection bij een Malware-aanval
Indien beschikbaar kan endpoint detectie- en respons (EDR)-technologie de ransomware-aanval blokkeren op het procesniveau, wat de beste directe optie is met minimale verstoring van de bedrijfsactiviteiten. De meeste ransomware-aanvallers vinden een kwetsbaarheid om je organisatie binnen te dringen, zoals blootgestelde RDP, phishing e-mails of andere vergelijkbare methoden. Endpoint Protection helpt bij het vroegtijdig, ruim voor enige schade is aangericht, opsporen van eventuele aanvallen. Indien nodig zal er ook geacteerd worden door de Endpoint Protection oplossing.
- Identificeer de ransomware-variant. Veel van de tactieken, technieken en procedures (TTP’s) van elke ransomware-variant zijn publiekelijk gedocumenteerd. Het bepalen met welke variant je te maken hebt, kan je aanwijzingen geven over de locatie van de dreiging en hoe deze zich verspreidt. Afhankelijk van de variant kunnen er al decryptietools beschikbaar zijn waarmee je je versleutelde bestanden kunt ontsleutelen.
- Identificeer de initiële toegang. Het bepalen van het initiële toegangspunt, ofwel “patiënt nul”, helpt bij het identificeren en dichten van het beveiligingslek. Veelvoorkomende toegangspunten zijn phishing, exploits op je edge-services (zoals Remote Desktop-services) en ongeoorloofd gebruik van referenties. Het bepalen van het initiële toegangspunt is soms moeilijk en kan de expertise van digitale forensische teams en IR-experts vereisen.
- Identificeer alle geïnfecteerde systemen en accounts. Identificeer actieve malware of restanten daarvan op systemen die nog steeds communiceren met de command-and-control (C2) server. Veelvoorkomende persistentietechnieken zijn onder andere het creëren van nieuwe processen die de kwaadaardige payload uitvoeren, het gebruik van uitvoeringsregistersleutels of het maken van nieuwe geplande taken.
- Bepaal of er data is geëxfiltreerd. Vaak versleutelen ransomware-aanvallen niet alleen je bestanden, maar exfiltreren ze ook je gegevens. Dit doen ze om de kans op losgeldbetaling te vergroten door te dreigen met het online publiceren van bijvoorbeeld vertrouwelijke of gênante gegevens. Ze kunnen zelfs contact opnemen met je zakenpartners als ze gegevens van hen hebben gestolen en hen ook bedreigen. Let op tekenen van gegevensexfiltratie en zoek naar ongebruikelijke communicatie van servers naar cloudopslag toepassingen.
Het belang van de back-ups
- Lokaliseer je back-ups en bepaal hun integriteit. Een ransomware-aanval zal proberen je online back-ups en shadow copies te wissen om de kans op gegevensherstel te verkleinen. Controleer daarom of je back-up technologie niet is aangetast door het incident en nog steeds operationeel is. Bij veel ransomware-aanvallen zijn aanvallers meestal al enkele dagen, zo niet weken, in je netwerk voordat ze besluiten je bestanden te versleutelen. Dit betekent dat je mogelijk back-ups hebt die kwaadaardige payloads bevatten die je niet wilt herstellen naar een schoon systeem. Scan je back-ups om hun integriteit vast te stellen.
- Desinfecteer systemen of creëer nieuwe systemen. Als je er vertrouwen in hebt dat je in staat bent om alle actieve malware en incidenten van persistentie in je systemen te identificeren, kun je mogelijk tijd besparen door niet opnieuw op te bouwen. Het kan echter eenvoudiger en veiliger zijn om nieuwe, schone systemen te creëren. Je kunt zelfs overwegen om een volledig aparte, schone omgeving te bouwen waar je vervolgens naar kunt migreren. Dit zou niet al te lang moeten duren als je een virtuele omgeving hebt. Bij het opnieuw opbouwen of desinfecteren van je netwerk is het belangrijk om de juiste beveiligingsmaatregelen te installeren en de beste praktijken te volgen om te voorkomen dat de apparaten opnieuw geïnfecteerd raken.
- Meld het incident. Het is belangrijk om het incident te melden. Bepaal ook of het nodig en verplicht is om dit te melden aan de wetshandhavingsinstanties. Je juridische team kan helpen bij het afhandelen van eventuele juridische verplichtingen met betrekking tot gereguleerde gegevens, zoals PCI, HIPAA, enz. Als de ransomware-aanval ernstig is en je bedrijf actief is in meerdere geografische regio’s, moet je mogelijk contact opnemen met nationale wetshandhavingsdiensten in plaats van een lokale of regionale wetshandhavingsinstantie.
Losgeld betalen bij een Malware-aanval?
- Het losgeld betalen? Wetshandhavingsinstanties adviseren om geen losgeld te betalen. Als je echter overweegt om dit te doen, moet je een beveiligingsbedrijf met gespecialiseerde vaardigheden inhuren om je te helpen. Daarnaast zal het betalen van het losgeld je geen garantie geven dat je je bestanden terugkrijgt, en het kan zelfs aansporen tot meer aanvallen. Bespreek deze optie zorgvuldig met je juridische en beveiligingsteams.
- Leer en verbeter. Evalueer het incident en identificeer gebieden waarop je kunt verbeteren. Leer van het incident en pas je beveiligingsmaatregelen aan om toekomstige aanvallen te voorkomen. Train je personeel regelmatig over de gevaren van phishing en andere vormen van social engineering. Zorg ervoor dat je back-up procedures up-to-date zijn en test regelmatig het herstel van je systemen vanaf back-ups. Werk ook samen met andere organisaties en beveiligingsgemeenschappen om ervaringen en informatie te delen over ransomware-aanvallen.
Houd er rekening mee dat deze checklist bedoeld is als een algemene richtlijn en dat elke organisatie uniek is. Het is raadzaam om samen te werken met een beveiligingsprofessional om een ransomware-responsplan op maat te maken dat past bij de behoeften en middelen van jouw organisatie.
Meer weten over het voorkomen van ransomware-aanvallen? Wij helpen u graag. Heeft u spoed omdat u het vermoeden heeft dat u aangevallen wordt? Neem dan direct contact op met ons.