Welke stappen moet je nemen bij een ransomware-aanval?

“Wij richten ons op grote malware-uitbraken die niet onder controle te houden zijn en een probleem kunnen gaan vormen voor de integriteit van een organisatie. Daarnaast komen wij in actie bij ransomware-aanvallen en data breaches, maar ook voor APT’s: waar nagenoeg altijd statelijke actoren achter zitten, die niet puur om financieel gewin gaan”, vertelt Buijen.

Bij het grootste deel van de cases gaat het om ransomware. Grote zaken die steeds vaker voorkomen. “Hackers doen goed vooronderzoek en ze zijn opportunistisch. Het gaat om zo veel geld. Voor criminelen is dit dus heel lucratief geworden. Je gaat geen juwelier beroven als je vanachter een computer een miljoen kunt verdienen. Dat betekent ook dat het zich verder aan het professionaliseren is. Het is echt een bedrijfstak geworden”, legt Buijen uit.

Pilaren

Welke stappen je moet zetten als je met een aanval te maken krijgt? Het is vooral zaak om er zo snel mogelijk bij te zijn, benadrukt Buijen. “Je hebt een heel vervelende dag als CIO of CISO wanneer je met een ransomware-aanval te maken krijgt. Kijk maar naar de voorbeelden zoals de hack van Colonial Pipeline in de Verenigde Staten, waardoor er een tekort aan benzine aan de Oostkust ontstond. Dan raak je de pilaren van de Amerikaanse samenleving. Het goede nieuws is dat het daardoor nu ook op de politieke agenda is terecht gekomen.”

Er moet dus direct een intern plan in gang worden gezet om te bepalen welke stappen te ondernemen. Buijen: “Via triage doorlopen we zes verschillende stappen. Dat gaat via specifieke Incident Response-modellen. Wij kijken bijvoorbeeld naar de processen, de maturiteit van een organisatie en de rollen en verantwoordelijkheden van mensen. Vaak weet niemand precies wat ze moeten doen. Dan heerst er chaos. Er is natuurlijk ook veel druk. Zo snel mogelijk terug in productie gaan, staat eigenlijk haaks op incident response.”

Betalen of niet?

Dat moet dus in goede banen worden geleid en daarbij helpt het team van Buijen organisaties. “Eerst bepalen we de processen om de aanval af te wikkelen en er daarbij voor te zorgen dat een bedrijf zo snel mogelijk terug in operatie kan. Vraag één is daarbij: betalen of niet? Daarnaast is het belangrijkste om zo snel mogelijk te identificeren wat er precies is gebeurd en hoe. Er zijn altijd twee vragen: hoe is het ontstaan en is er data gestolen?”

Het identificeren van de omvang van de aanval en hoe snel je de point of entry kunt bepalen is dus essentieel. Buijen: “Dat is geen rocket science. Attackers gebruiken vaak bestaande fouten. Ook zijn cybercriminelen vrij homogeen in hun tooling. Ze misbruiken systemen en fouten. De twee belangrijkste entry points? Phishing e-mails en exposed of vulnerable servers. Vaak is het dus snel duidelijk, maar zo niet, kan het ook weken duren. Het is bedrijven meer dan eens gebeurd dat back-ups werden teruggezet en zo weer juist de systemen terug werden gezet waar de threat actor een backdoor op had geplaatst of een machine die niet veilig was en dus weer misbruikt kon worden. Haast zorgt dus vaak voor grotere problemen, want in dit geval kun je te maken krijgen met double extortion.”

Het is vervolgens aan bedrijven zelf om ervoor te zorgen dat er na de afwikkeling van het incident nieuwe maatregelen komen. Daarnaast is er ook wetgeving waaraan ze moeten voldoen. Daarbij helpt het team van Buijen ook. “Wij hebben geen juristen in ons team zitten, maar kunnen wel technisch bewijs leveren. Terugkijken is namelijk heel belangrijk. Door de lessons learned op te stellen kun je als organisatie beter doorgronden hoe een aanval in de toekomst te voorkomen is en het incident response proces nog verder verbeteren.”