De ICT-dienst onderzoekt het. Op de computersystemen blijkt een cryptolocker actief te zijn. Het betreft een geautomatiseerd script dat zich een weg baant door de verschillende systemen en dat de databestanden versleutelt. Zo vallen de belangrijkste bedrijfsprocessen stil: productie, boekhouding en mailverkeer. Ransomware dus, ook wel: gijzelsoftware. Wat is ons advies hier?
Checklist ransomware
Beperk de schade:
- Koppel de gecontamineerde machines los.
- Probeer geïsoleerd van de besmette ICT-omgeving uw back-ups te restoren.
- Laat onderzoeken hoe de malware uw systemen kon binnendringen.
Maak een daderprofiel:
- Betreft het een geautomatiseerd script (meestal) of een professionele criminele organisatie (zelden) die uw systemen en back-ups versleutelt?
- In het eerste geval bedraagt het gevraagde losgeld meestal slechts enkele duizenden Euro’s; in het tweede geval kan dat oplopen tot vele tienduizenden Euro’s. Overigens kan er in de meeste gevallen over het losgeld worden onderhandeld.
- Gaat het om een gijzeling van de data of wordt er gedreigd met het online plaatsen van vertrouwelijke informatie?
Neem een beslissing:
- Als u verzekerd bent (cybercrime polis) neemt u de beslissingen in overleg met uw verzekeraar.
- Als het niet meteen lukt om het probleem op te lossen, moet u afwegen om verder onderzoek te laten doen of om losgeld te betalen.
- Als u verder onderzoek wilt doen, laat u dan bijstaan door een ransomware-specialist (zie onderaan dit artikel).
Losgeld:
- Als u bereid bent om losgeld te betalen, weet dan dat u meestal het bedrag omlaag kunt onderhandelen. Als u een cybercrime polis hebt, zal de verzekeraar deze onderhandeling trouwens zelf willen voeren.
- Als u de onderhandeling gaat voeren, maakt u contact met de aanvaller en probeert u om het bedrag omlaag te krijgen (denk hierbij aan ten minste een halvering!).
- Vergeet niet om tevens aan de aanvaller te vragen hoe hij de systemen is binnengekomen. Vaak willen ze dat maar al te graag vertellen; dat scheelt u weer onderzoekstijd.
Heropstarten:
- Als de systemen weer zijn vrijgegeven, start deze dan voorzichtig op in een nieuwe omgeving. Neem eerst het systeem dat het belangrijkst voor u is.
- Maak dan een voor een de andere systemen schoon en koppel deze weer aan.
- Laat u ook in deze fase bijstaan door een deskundige, zodat u zeker weet dat het probleem niet ‘meeverhuist’ naar de nieuwe omgeving.
Herhaling voorkomen:
- Firewalls en virus-scanners houden de meeste aanvallen van ransomware niet tegen. Daarvoor moet u uw systemen ‘monitoren’. Als u de aanschaf van monitoring-software te kostbaar vindt, denk dan aan ‘monitoring-as-a-service’.
- Ransomware komt meestal het systeem binnen door het gebruik van zwakke wachtwoorden of medewerkers die foute mails openen en op een link klikken. Zorg ervoor dat de medewerkers zich hiervan bewust zijn.
- Test met enige regelmaat – maar wel onverwachts – of de medewerkers zorgvuldig omspringen met rondslingerende usb-sticks, inkomende e-mails en dergelijke.
- Als u precies wilt weten wat er is misgelopen en wilt u daarvan leren, dan kunt u een ‘root-cause’ analyse laten uitvoeren.
- Sluit een cybercrime polis af.
