Innovatie & Strategie

Dit is een bijdrage van Trend Micro
Security
TrendMicro_LucasvandenBerg

Geraakt door ransomware. Wat nu?

In gesprek met Lucas van den Berg, Senior Incident Response Team-coördinator bij Trend Micro

19 november 2021
Door: Trend Micro, partner

In gesprek met Lucas van den Berg, Senior Incident Response Team-coördinator bij Trend Micro

Op 24 november 2021 geeft Lucas van de Berg, Senior Incident Response Team-coördinator bij Trend Micro een gratis webinar over wat er gebeurt wanneer een organisatie is getroffen door ransomware. We lezen dagelijks over nieuwe besmettingen en ook dat het in principe elke organisatie kan overkomen. Lucas helpt organisaties, samen met een team van experts, om na besmetting zo snel mogelijk weer back in business te komen en om een grondige analyse te maken van wat er fout is (gegaan). We gingen in gesprek met Lucas over dit onderwerp

==============

Meld je hier aan om deel te nemen aan de gratis webinar ‘You’ve been hit by Ransomware. What’s next?’ en hoor uit eerste hand hoe het Incident Response Team van Trend Micro werkt en, belangrijker nog, wat jij kunt doen om beter beschermd te zijn tegen ransomware.

==============

Jij werkt in het Incident Response Team van Trend Micro. Wat doet dit team en wat is jouw rol?

Wanneer bedrijven getroffen zijn door ransomware, kunnen ze contact opnemen met het Incident Response Team (IR). Dat geldt voor klanten van Trend Micro, maar ook voor organisaties die geen klant zijn. Nadat we een eerste evaluatie hebben gedaan wordt er een team van forensisch analisten & coördinatoren gevormd dat zo snel mogelijk ter plaatse is bij de klant. We starten dan direct met het uitvoeren van allerlei acties die uiteindelijk als doel hebben om de klant zo snel en veilig mogelijk weer operationeel te krijgen. De acties die we uitvoeren zijn een combinatie van crisismanagement, waarbij we heel duidelijk aangeven wat er moet gebeuren en welke rol de klant daar zelf bij heeft. Tegelijkertijd doen onze analisten uitgebreid onderzoek en gaan ze ‘threat hunten’ waarbij ze kijken wat de schade is, of de aanvallers nog actief zijn in het netwerk en bouwen ze een timeline, waardoor we goed kunnen zien wat er is gebeurd en waar de zwakke plekken zitten. Deze informatie is belangrijk voor interne en externe rapportages en soms voor verzekeraars. Het is al met al een zeer intensief proces waarin de experts van Trend Micro nauw samenwerken met de klant.

Hoe vaak zien jullie ransomware voorbij komen?

We behandelen ongeveer een groot aantal cases per jaar met ons team, de helft daarvan betreft momenteel ransomware, waarbij het richting het einde van het jaar wel lijkt aan te trekken. Dat betekent dat er ongeveer wekelijks een team ergens in Europa uitvliegt om te helpen.

We zien dat de sweetspot waar cybercriminelen zich op richten, organisaties zijn met een omzet ergens tussen de 50 en 500 miljoen euro. Dat zijn organisaties waar in principe genoeg geld zit om het ransom te betalen en die vaak geen dedicated security-specialist in dienst hebben. De realiteit is nog steeds zo dat bij dergelijke organisaties de beveiliging minder goed geregeld is.

De organisaties die het nieuws halen vormen helaas slechts het topje van de ijsberg. Het komt veel vaker voor. Wij zijn echter vaak al lang aan de slag bij een klant voordat de problemen naar buiten komen via de media. Overigens publiceren veel ransomware-groeperingen de namen van organisaties die ze in de tang hebben online. Mede daaraan zie je dat het een wijdverbreid probleem is.

Hoe raakt Trend Micro betrokken na dergelijke aanvallen? Zijn het alleen klanten die bellen?

Om het IR-team van Trend Micro te laten komen, hoeven organisaties dus niet per se klant te zijn. In de praktijk zie je echter toch vaak dat organisaties eerst te rade gaan bij hun eigen security-leverancier.

Zou er niet een industriebrede aanpak moeten komen tegen ransomware?

Partijen die actief zijn in deze industrie hebben vaak (commerciële) belangen die met elkaar botsen. Er zijn wel veel overlegsessies waaraan meerdere partijen deelnemen. Ondanks dat het goed is om kennis te delen, blijft het daar vooral bij praten en dat lost op korte termijn niet veel op.

Hoe komt het dat jullie team zo veel ervaring heeft op het gebied van IR / ransomware?

Het IR-team van Trend Micro bestaat uit mensen die al lang bij ons werken en dat zijn security- en productspecialisten die al heel veel hebben meegemaakt. We hebben onze beste mensen uit heel Europa geselecteerd voor dit team. Het zijn ook mensen die hart voor het vak hebben, doortastend zijn en een extreem goed uithoudingsvermogen hebben, want het kan gebeuren dat je tien dagen achter elkaar twintig uur per dag werkt om de boel weer op de rit te krijgen. Dat is intensief, maar je krijgt er ook adrenaline van want je ziet de ‘vijand’ gewoon soms aan de slag op een netwerk. Dit werk is wat mij betreft echte topsport binnen de security-industrie.

Kunnen organisaties dit eigenlijk ook zelf?

Je kunt het natuurlijk altijd proberen, maar de kans op succes is vele malen groter wanneer je er experts bij betrekt. Je moet namelijk heel snel de juiste keuzes maken en als je de verkeerde keuze maakt gaat het echt fout. Je moet ook altijd LIVE kunnen zien wat er gebeurt, anders is het net alsof je in een auto op de snelweg rijdt en je je alleen kunt baseren op wat je ziet in je achteruitkijkspiegel.

Een alternatief is om het losgeld te betalen. Daar is veel discussie over. Feit is dat een aanzienlijk deel van de slachtoffers gewoon betaalt. Het voordeel is dat ze weer aan de slag kunnen (hoewel dat soms ook nog best lang duurt) en dat ze niet meer door die specifieke groep worden aangevallen. Ze moeten echter wel aan de slag om het gat te fixen anders maakt de volgende groepering daar weer net zo hard misbruik van.

Welke tip geef jij organisaties om ransomware te voorkomen?

Je kunt een ransomware-aanval nooit helemaal voorkomen, maar je kunt wel je best doen om de kans daarop te minimaliseren. Om te beginnen adviseer ik elke organisatie om een incident response-plan te maken. Hierin staat wat de taken zijn van specifieke personen als het zover is en wie wanneer ingeschakeld moet worden. Zo kun je echt schade beperken.

Wat ga je vertellen tijdens jouw webcast en waarom moeten mensen daaraan deelnemen?

Ik ga de deelnemers meenemen op reis van wat er allemaal gebeurt als ze getroffen zijn. Ik maak hierbij gebruik van een fictieve case. Geen indianenverhalen, maar wat gebeurt er nou ECHT! Welke acties zijn belangrijk? Wat is forensisch onderzoek eigenlijk? Hoe gaan we om met risicomanagement? De deelnemers krijgen tips & trics en kunnen daarna altijd bij ons terecht met vragen over ransomware of concrete hulp bij het vermoeden van een aanval.

Meld je hier aan om deel te nemen aan de gratis webinar ‘You’ve been hit by Ransomware. What’s next?’

Reactie toevoegen