Of de Universiteit van Maastricht nu wel of geen tonnen aan losgeld heeft betaald, na de grote hackaanval zijn de colleges weer hervat. De universiteit werd op kerstavond slachtoffer van een aanval met ransomware, waardoor onder meer de mail en de online-roosters plat lagen. Dat was groot nieuws.  De afgelopen twee weken is hard gewerkt om alle ict-systemen weer draaiende te krijgen.

Keer op keer heb ik moeten vaststellen (ook bij grotere organisaties) dat de stress van een ransomware aanval op gespannen voet staat met gezond verstand.

De acties die een getroffen organisatie in eerste uren na het vaststellen van een ransomware-aanval onderneemt zijn vaak bepalend voor het verdere verloop. In de blinde paniek die soms ontstaat wanneer vitale systemen niet meer werken worden zelfs de meest elementaire onderdelen van noodplannen voor cybercalamiteiten niet nageleefd. Enkele van de volgende praktische adviezen lijken misschien open deuren, maar ik heb keer op keer moeten vaststellen (ook bij grotere organisaties) dat de stress van een ransomware aanval op gespannen voet staat met gezond verstand.

Allereerst: zorg voor goede communicatie

Zorg dat je interne communicatie goed is geregeld. Zorg voor een centraal punt waar alle informatie voorhanden is, en wees open in je communicatie naar buiten. Verplicht jezelf om met een vast regelmaat (4-24 uur) met een update van de situatie te komen, en zorg ervoor dat alle stakeholders (en dat zijn er altijd meer dan je denkt) op de hoogte zijn en worden gehouden.

Tien technische ‘gezond verstand’ adviezen bij een ransomware aanval op de  IT-infrastructuur van een organisatie

1. Documenteer

Documenteer alle ondernomen technische acties gedetailleerd en met een precieze timestamp. Wanneer je niet kunt terugvallen op een exact inzicht in de genomen stappen – of die nu al dan niet de juiste waren doet er niet toe – dan is er een grote kans dat de chaos alleen maar zal toenemen.

2. Vaststellen van interne kennisniveau en ervaring

Stel zo snel mogelijk vast of je de kennis en ervaring in huis hebt om de schade van de ransomware-aanval zo veel te beperken als mogelijk is. Bij twijfel: vraag advies aan een externe specialist die hier aantoonbaar ervaring mee heeft.

3. Hou rekening met meerdere aanvallen

Ga ervan uit dat het niet bij een aanval blijft. Ransomware is vaak uiterst geraffineerde software, die in veel gevallen al maanden aanwezig was in een netwerk voordat de vraag om losgeld op het scherm verschijnt. De kans dat ook andere systemen getroffen zijn is groot, ook al lijken die nu nog goed te werken.

4. Zorg voor korte communicatielijnen

Het kan niet genoeg worden gezegd: zorg voor korte communicatielijnen tussen alle betrokken afdelingen, en stuur alle communicatie proactief en kristalhelder aan.

5. Maak snapshots van virtuele machines en schijven

Maak altijd direct snapshots van virtuele machines en schijven. Zet computers en andere systemen niet uit, maar verbreek de verbinding met het netwerk. Er zijn scenario’s waarbij het wel goed is om een machine uit te zetten: wanneer je zeker weet dat de ransomware bezig is met versleutelen van data. Wanneer je daarover twijfelt is het algemene advies in ieder geval: snapshots loskoppelen van de infrastructuur. Zorg er altijd voor dat logbestanden (firewalls, authenticatie) ook altijd op een externe locatie worden bewaard.

6. Gebruik geen gecompromitteerde accounts

Gebruik voor je onderzoek naar de schade geen gecompromitteerde accounts.

7. Pauzeer virtuele machines

Pauzeer virtuele machines en disable alle nieuwe backups.

8. Blokkeer verdachte IP’s en URL’s

Blokkeer verdachte IP’s en URL’s zoveel mogelijk.

9. Verander wachtwoorden

Verander alle wachtwoorden direct.

10. Disable niet twee-factor communicatie

Disable alle vormen van niet twee-factor communicatie met je interne infrastructuur.

Schade beperken voor zover het kan

Vanzelfsprekend lossen bovenstaande maatregelen je ransomware-probleem niet op. Afhankelijk van het raffinement van de aanvallers en de genomen beveiligingsmaatregelen kan een technische reddingsoperatie tijdrovend en complex worden. Maar door bovenstaande maatregelen (voor zover ze nog mogelijk zijn) kan de schade van een succesvolle aanval in veel gevallen worden beperkt.

Lieuwe Jan Koning
CTO ON2IT

Lieuwe Jan Koning