Wie denkt dat Ransomware zijn langste tijd gehad heeft, heeft het mis. Het concept is al zo oud als de spreekwoordelijke weg naar Kralingen, maar ook in de afgelopen maanden steekt dit type malware weer frequent de kop op. Een doorgaans argeloze gebruiker dubbelklikt op een bestand en wordt geconfronteerd met een niet mis te verstane boodschap: “sorry, uw bestanden zijn versleuteld, maar gelukkig hebben wij de oplossing. Voor niets gaat natuurlijk de zon op, want de ontsleutelcode comes at a price“.
Die prijzen lopen behoorlijk uiteen; wie een paar tientjes moet betalen is spekkoper, maar soms gaat het om enkele honderden euro’s. Sneu geld. Ondertussen raakt menigeen in paniek bij het geluid van een druk pruttelende harde schijf in de wetenschap dat de vakantiefoto’s, dia’s, films en talloze zakelijke en persoonlijke documenten onherroepelijk worden versleuteld. En vergeet ook vooral niet de gedeelde afdelingsschijf. Netwerkshares moeten er ook aan geloven.
Ransomware: easy money voor hackers
Een eenvoudige kosten-batenanalyse wijst vaak uit dat het betalen van paar honderd euro relatief snel te overkomen is. Tekst en uitleg over het incident moeten verstrekken aan familie of baas is immers een beduidend minder aantrekkelijke optie. De gebruiker is maar enkele muisklikken verwijderd van de ultieme oplossing, terwijl de spanning stijgt en het iDEAL logo lonkt… U kunt de schrijvers van ransomware niet betichten van gebrek aan klantvriendelijkheid als het gaat om betaalgemak. Daar zouden veel webshops nog een puntje aan kunnen zuigen.
De aftersales is wel beduidend minder. Wie garandeert dat u na het overmaken van het ‘losgeld’ daadwerkelijk een code krijgt die uw bestanden ontsleutelt? Of dat er in die ontsleuteling toch niet iets mis gaat waardoor u alsnog een deel van uw bestanden corrupt terugvindt? Wie garandeert eigenlijk dat u uberhaupt iets krijgt, behalve de onuitgesproken – doch welgemeende – dank van de maker? Hackers geven nou niet bepaald SLA’s af op de ontsleuteling, en van een vriendelijke telefonische helpdesk is meestal ook geen sprake. En wie zegt dat er geen malware achterblijft in de herstelde data? Fool me once, shame on you. Fool me twice, shame on me.
Kortom: men mag in de handjes knijpen als de data onaangetast terugkomt. U zou bijna spontaan het Stockholm-syndroom ontwikkelen jegens de digitale gijzelaars…
Malware: een stukje advies
Dat deze malware de afgelopen 25 jaar slimmer is geworden en lastiger te detecteren valt hoef ik niet te benadrukken. Verandering is een van de weinige constanten in onze branche. Dat wil niet zeggen dat het risico en de impact van een dergelijk incident niet sterk kan worden beperkt. Ik zou willen dat ik het volgende ook niet zou hoeven benadrukken, maar de ervaring leert dat het nooit te vaak gezegd kan worden: zorg voor een goede backupstrategie op zowel zakelijke als persoonlijke systemen. Het terugzetten van een recente backup verdient altijd de voorkeur boven het betalen van ‘losgeld’ om de eerdergenoemde redenen. Bovendien bent u er zo zeker van dat de data intact is. In elk geval in de staat waarin uw data verkeerde ten tijde van de backup.
Hou voorts rekening met waarop u klikt, ook als het van een vertrouwde bron af lijkt te komen. Een kritische blik op de context van een bijlage kan bijvoorbeeld al alarmbellen doen rinkelen. Twijfelt u, klik er dan niet op en benader de verzender of bel uw servicedesk.
Zero Trust implementatie
Op een bedrijfsnetwerk is een goede implementatie van het Zero Trust model een uitstekende manier om het risico op een infectie sterk te verlagen. Door diepgaande inspectie op applicaties die vandaag de dag niet meer weg te denken zijn, zoals e-mail en vele filesharing tools, komt de ransomware vaak al niet eens op de plaats van bestemming.
Voorkomen is immers altijd beter dan genezen, maar mocht een infectie onverhoopt toch plaatsvinden dan is nauwlettende analyse en correlatie van alle beschikbare security-informatie een must om dit zo snel mogelijk te kunnen signaleren en blokkeren. Snel schakelen en handelen maakt uiteindelijk het verschil tussen ‘damage control’ en ‘disaster recovery’.
ON2IT Managed Security Services propageert, integreert en beheert het Zero Trust model al 5 jaar doorlopend bij haar klanten over de hele wereld.
Meer weten? Neem contact met ons op.
