Ransomware: hoe werkt het en wat kunt u ertegen doen?

Ransomware, in het Nederlands gijzelsoftware, is kwaadaardige software die toegang tot een computer of mobiel apparaat blokkeert en/of bestanden versleutelt. De gebruiker ontvangt daarna een verzoek voor losgeld (ransom). Pas als er losgeld wordt betaald, wordt de versleuteling of blokkade ongedaan gemaakt en/of ontvangt u een ontsleutelingscode, waarna u het apparaat of de bestanden weer kunt gebruiken.

In sommige gevallen worden ook na betaling van het losgeld de apparaten of bestanden niet vrij gegeven of worden ze binnen een korte termijn weer vastgezet en wordt opnieuw om losgeld gevraagd. Het motief voor deze cybercriminelen is geld. Ze richten zich in toenemende mate op bedrijven en publieke instellingen omdat men deze om hogere bedragen kan vragen. Het stilstaan van de bedrijfsprocessen kan immers meer kosten opleveren dan het betalen van het losgeld.

De besmetting verloopt veelal via een e-mail met een kwaadaardig bestand of via een lek op de computer door verouderde software. In dat laatste geval kan de ransomware op de computer komen bij een bezoek aan een website, zonder dat een medewerker ergens op hoeft te klikken.

Voorbeelden van veelgebruikte e-mail tactieken zijn nepfacturen, boetes of informatie over afleveringen. Vaak worden namen en logo’s van bedrijven als ABN AMRO, KPN, Intrum Justitia en DHL misbruikt voor deze e-mails. Verdachte bijlagen zijn bestanden met extensies als zip, exe, js, lnk en wsf. Ook Microsoft-bestanden die vragen om macro's in te schakelen kunnen gevaarlijk zijn.

Als ransomware uw computer besmet, maakt deze bestanden onleesbaar door ze te versleutelen. Dit houdt in dat u bestanden niet meer kunt openen. Als de bestanden versleuteld zijn, krijgt u een scherm te zien met een boodschap. In deze boodschap staat dat uw computer is geblokkeerd en pas na betaling weer wordt vrijgegeven.

Bij geavanceerde aanvallen gaan de criminelen ook op zoek naar eventuele back-ups in het netwerk en verwijderen deze, zodat het niet mogelijk is om de back-up terug te zetten. Meestal wordt betaling geëist in Bitcoins. Omgerekend gaat het vaak om honderden tot duizenden euro’s voor particulieren of honderdduizenden euro’s voor bedrijven. Na een tijdslimiet wordt het bedrag soms opgehoogd.

Als uw bedrijf wordt besmet met ransomware kunt u de toegang verliezen tot uw complete administratie, klantenbestand, werkinstructies en andere informatie die digitaal is opgeslagen. U kunt zelfs uw back-ups verliezen.

Ransomware kan namelijk niet alleen de gegevens op uw computers en servers in uw netwerk versleutelen, maar ook die op externe opslaglocaties. De kosten voor de duur dat uw bedrijfsprocessen stil liggen kunnen flink oplopen. Het inschakelen van externe hulp kan het prijskaartje opdrijven.

U kunt de kans dat uw bedrijf wordt getroffen door ransomware beperken, maar niet tot nul reduceren. Belangrijke maatregelen om het risico te verminderen zijn:

1. Patches & updates. Houdt alle software (inclusief besturingssysteem, antivirus, firewall en browsers) up-to-date. Installeer beveiligingsupdates zo snel mogelijk.

2. Back-up. Richt een dagelijkse back-up procedure in en koppel uw back-up los van uw netwerk.

3. Segregatie. Segregeer het netwerk want gescheiden compartimenten kunnen voorkomen dat uw hele netwerk wordt geïnfecteerd.

4. Awareness. Train uw medewerkers in het herkennen van verdachte e-mails. Zorg dat ze geen verdachte bijlagen openen en niet klikken op verdachte links in e-mails.

5. Macro’s. Schakel geen macro’s in bij Office-documenten van derden. Via macro’s in een document kunnen taken geautomatiseerd worden, maar is het ook mogelijk om ongemerkt malware te downloaden en te installeren.

6. Cyber Respons plan. Maak een cyberresponsplan dat rekening houdt met de mogelijkheid van dataverlies. Ontwikkel diverse scenario's en leer om te gaan met bijvoorbeeld verlies van klantdata of orderhistorie om uw incident respons te trainen en te evalueren.

Hoe beter u bent voorbereid, hoe meer schade u weet te beperken. Maatregelen die hun vruchten kunnen afwerpen bij het beperken van de impact zijn:

• Zet uw cyberresponseplan in werking.

• Schakel direct IT security experts in.

• De website www.nomoreransom.org biedt hulp als uw computer en mobiele apparaat is besmet met ransomware. De website bevat informatie over ontsleutelcodes (Engels: ransomware-decryptors) waarmee u wellicht uw bestanden kunt redden. Voor nieuwere typen ransomware is er helaas geen oplossing.

• Losgeld betalen geeft geen enkele garantie dat u de toegang tot uw bestanden daadwerkelijk terugkrijgt van de cybercriminelen. Zelfs als u wel een ontsleutelingscode krijgt, blijft na betaling de kwaadaardige software op de computer staan en kunnen bestanden later opnieuw versleuteld worden waarna nogmaals om losgeld wordt gevraagd.

• De beste oplossing is om de ransomware te laten verwijderen en de back-up van uw gegevens terug te plaatsen. Dit laatste werkt alleen als het externe opslagmedium was losgekoppeld van uw netwerk.

De politie raadt het betalen van losgeld af omdat dat het business model van de cybercriminelen in stand houdt. Tegelijk realiseren we ons dat het een laatste redmiddel voor uw bedrijf kan zijn als de schade niet is gedekt door een cybercrime-verzekering.