In 2019 vonden er 187 miljoen ransomware aanvallen plaats. Dat betekent dat er meer dan 500,000 bedrijven per dag werden aangevallen. Als je nog geen slachtoffer bent geweest van een ransomware aanval, kun je er dus vanuit gaan dat het slechts een kwestie van tijd is voor jouw bedrijf aan de beurt is. Maar ook als je al een keer geraakt bent kun je er by no means vanuit gaan dat je nu immuun bent voor toekomstige aanvallen.
Er komt een dag dat cybercriminelen je te pakken krijgen. En als die dag dan eindelijk daar is, is het van levensbelang dat je weet wat je moet doen om de impact op jou, je team en je organisatie zo klein mogelijk te houden.
Dus laten we geen tijd verspillen: dit zijn de stappen die je als organisatie moet nemen in het geval van een ransomware aanval.
Je zult snel, maar methodisch moeten handelen. Blijf kalm en bel, als je die hebt, met je IT-security leverancier, IT-partner en/of je verzekeringsmaatschappij.
Denk na over de mogelijke impact. Houd niet alleen rekening met de usual suspects zoals versleutelde gegevens en applicaties die niet beschikbaar zijn. Denk verder: waar kun je nog meer geraakt zijn?
Breng vervolgens je communicatie- en juridische teams op de hoogte zodat zij zich kunnen gaan voorbereiden. Stel samen met hen een communicatie- en updateprotocol op.
Als je al weet dat het incident wijdverbreid is kun je ervoor kiezen om blokkades op netwerkniveau te implementeren door bijvoorbeeld dataverkeer bij de switch of firewall edge te isoleren, of door tijdelijk de internetverbinding uit te schakelen. Als je endpoint detection and response (EDR) technologie tot je beschikking hebt kun je nog preciezer snijden door de aanval op procesniveau te blokkeren. Dat is de meest directe oplossing met de kleinste hoeveelheid business disruption. Ga niet de stekker uit je systemen trekken! Als de stroomvoorziening uitvalt gaat er misschien forensisch bewijs verloren en loop je het risico je aanvaller te alarmeren.
Voor een groot deel van de ransomware aanvallen zijn de tactieken, technieken en procedures (TTPs) goed gedocumenteerd. Bepalen met wat voor aanval je te maken hebt geeft je een beter idee van waar je moet zoeken naar de dreiging, hoe deze zich verspreidt en hoe hardnekkig deze precies is.
Het bepalen van je initial access point helpt je bij het dichten van het gat in je beveiliging. De meest voorkomende initial access vectors zijn phishing, exploits of je edge services (zoals Remote Desktop diensten) en het ongeautoriseerde gebruik van inloggegevens.
Zelfs als de aanval voorbij is bestaat er een levensgrote kans dat je aanvallers nog steeds voet aan de grond hebben in je netwerk. Het is dan ook van cruciaal belang dat je actieve malware of hardnekkige overblijfselen van de aanval, die nog steeds kunnen communiceren met de command-and-control server, identificeert en uitroeit.
Documenteer alles wát je doet vóórdat je het doet. Het ondernemen van actie kan je aanvaller alarmeren en hem doen besluiten om een serieuzere aanval in te zetten. Bovendien verkleint het de kans dat je je data nog terugkrijgt of zelfs maar de volledige impact van het datalek te kunnen inschatten.
dit is slechts het begin.
download hem nu.