De ICT-dienst onderzoekt het. Op de computersystemen blijkt een cryptolocker actief te zijn. Het betreft een geautomatiseerd script dat zich een weg baant door de verschillende systemen en dat de databestanden versleutelt. Zo vallen de belangrijkste bedrijfsprocessen stil: productie, boekhouding en mailverkeer. Ransomware dus, ook wel: gijzelsoftware. Wat is ons advies hier?

Checklist ransomware

Beperk de schade:

  1. Koppel de gecontamineerde machines los.
  2. Probeer geïsoleerd van de besmette ICT-omgeving uw back-ups te restoren.
  3. Laat onderzoeken hoe de malware uw systemen kon binnendringen.

Maak een daderprofiel:

  1. Betreft het een geautomatiseerd script (meestal) of een professionele criminele organisatie (zelden) die uw systemen en back-ups versleutelt?
  2. In het eerste geval bedraagt het gevraagde losgeld meestal slechts enkele duizenden Euro’s; in het tweede geval kan dat oplopen tot vele tienduizenden Euro’s. Overigens kan er in de meeste gevallen over het losgeld worden onderhandeld.
  3. Gaat het om een gijzeling van de data of wordt er gedreigd met het online plaatsen van vertrouwelijke informatie?

Neem een beslissing:

  1. Als u verzekerd bent (cybercrime polis) neemt u de beslissingen in overleg met uw verzekeraar.
  2. Als het niet meteen lukt om het probleem op te lossen, moet u afwegen om verder onderzoek te laten doen of om losgeld te betalen.
  3. Als u verder onderzoek wilt doen, laat u dan bijstaan door een ransomware-specialist (zie onderaan dit artikel).

Losgeld:

  1. Als u bereid bent om losgeld te betalen, weet dan dat u meestal het bedrag omlaag kunt onderhandelen. Als u een cybercrime polis hebt, zal de verzekeraar deze onderhandeling trouwens zelf willen voeren.
  2. Als u de onderhandeling gaat voeren, maakt u contact met de aanvaller en probeert u om het bedrag omlaag te krijgen (denk hierbij aan ten minste een halvering!).
  3. Vergeet niet om tevens aan de aanvaller te vragen hoe hij de systemen is binnengekomen. Vaak willen ze dat maar al te graag vertellen; dat scheelt u weer onderzoekstijd.

Heropstarten:

  1. Als de systemen weer zijn vrijgegeven, start deze dan voorzichtig op in een nieuwe omgeving. Neem eerst het systeem dat het belangrijkst voor u is.
  2. Maak dan een voor een de andere systemen schoon en koppel deze weer aan.
  3. Laat u ook in deze fase bijstaan door een deskundige, zodat u zeker weet dat het probleem niet ‘meeverhuist’ naar de nieuwe omgeving.

Herhaling voorkomen:

  1. Firewalls en virus-scanners houden de meeste aanvallen van ransomware niet tegen. Daarvoor moet u uw systemen ‘monitoren’. Als u de aanschaf van monitoring-software te kostbaar vindt, denk dan aan ‘monitoring-as-a-service’.
  2. Ransomware komt meestal het systeem binnen door het gebruik van zwakke wachtwoorden of medewerkers die foute mails openen en op een link klikken. Zorg ervoor dat de medewerkers zich hiervan bewust zijn.
  3. Test met enige regelmaat – maar wel onverwachts – of de medewerkers zorgvuldig omspringen met rondslingerende usb-sticks, inkomende e-mails en dergelijke.
  4. Als u precies wilt weten wat er is misgelopen en wilt u daarvan leren, dan kunt u een ‘root-cause’ analyse laten uitvoeren.
  5. Sluit een cybercrime polis af.

Wilt u meer weten, neem contact op met Marcel, hij helpt u graag verder.

Bel met Marcel Mail met Marcel

Over EBBEN

EBBEN is een onafhankelijk onderzoeks- en adviesbureau op het gebied van governance, risk en compliance, met een specialisatie in integriteit en fraude. Een expertise die niet is genoemd maar in onze wereld best mag worden vermeld is de vaardigheid om een helder rapport te schrijven. En als ons om een professionele mening of een beoordeling wordt gevraagd, geven wij die gaarne.

Onze dienstverlening is gebaseerd op onze expertise maar ook op vertrouwen van en een ‘klik’ met de opdrachtgever. Graag willen onze partners in een vrijblijvend kennismakingsgesprek vaststellen of onze expertises efficiënt kunnen worden ingezet, wat de kosten daarvan zijn en of er een klik is.

 

Site by Merkelijkheid.nl

Op deze website gebruikt Ebbenpartners cookies en vergelijkbare technieken om de website goed te kunnen laten werken en om te analyseren hoe de website wordt gebruikt.