Ransomeware raakt ook het MKB

De laatste maanden is het steeds vaker op het nieuws, bedrijven die getroffen zijn door Ransomeware. Raakte dit in het verleden vaak grote bedrijven en instellingen, nu vindt er een verschuiving plaats naar de midden en klein bedrijven in Nederland. In het slechtste geval kan dit stagnatie van uw complete bedrijf betekenen.

Wat is ransomeware

Ransomeware is een groot probleem aan het worden. Het woord zelf zegt het al: Losgeld-software. Hackers, vaak uit Rusland of India, plaatsen ongemerkt een stuk software in uw bedrijfsnetwerk. Deze software zoekt zonder dat u daar erg in heeft een weg door het gehele netwerk en kopieert zichzelf ook naar alle apparaten waar dat mogelijk is. Daarna zal deze software al uw bestanden versleutelen. Dit duurt altijd even en in de meeste gevallen merkt niemand hier iets van. Soms is de ransomeware al enige maanden actief zonder dat u dat door heeft. 

Nadat alle pc’s, servers en andere hardware compleet versleuteld zijn, zal de hacker de software laten ingrijpen. De systemen gaan op zwart. Een bericht dat u losgeld, vaak in bitcoins, moet betalen om weer bij uw bestanden te komen zal op de beeldschermen verschijnen. 

Back-up

Veel bedrijven denken: Ik heb een goede back-up en maak mij geen zorgen. Dat lijkt een legitiem argument maar de realiteit is anders. De ransomeware is in sommige gevallen al maanden actief op het netwerk, waarbij ook uw back-up servers geïnfecteerd kunnen zijn. Dat kan zijn door de versleuteling van uw back-up server, maar ook door de back-ups zelf. 

Uw back-up server maakt primair back-ups van uw bestanden. Als hier al een versleuteling op zit door de ransomeware, dan kopieert u deze versleutelde versies ook naar de back-up. Bij het herstellen van een back-up zijn uw bestanden dan nog steeds niet te gebruiken. Grote universiteiten hebben dit eerder ondervonden en waren genoodzaakt om de losgeld te betalen omdat ook de back-ups niet meer leesbaar waren. 

Kan ik ransomeware voorkomen?

Om deze vraag te beantwoorden is het belangrijk om te kijken naar de manier waarop deze software uw netwerk binnen kan komen. We zien daarbij de volgende oorzaken van infecties:

  • Open poorten op uw firewall
  • Via een medewerker die media (zoals een geïnfecteerde USB) aansluit op een computer
  • Via e-mail waarbij de software in een bijlage zit verwerkt geopend is.

Firewall

Het is belangrijk om goed naar uw firewall te kijken. Welke poorten staan er open? Waarom staan deze open? Zijn ze nog van toepassing? Sluit zoveel mogelijk poorten af, zowel inkomend als uitgaand. In een zwaar beveiligde omgeving is inkomend en uitgaand alleen poort 80 en 443 geopend. In de praktijk zijn er vaak poorten standaard open die niet gebruikt worden. Ook kunnen dit poorten zijn die doorverbinden naar applicaties die niet goed beveiligd zijn en daarmee toegang kunnen geven tot uw netwerk. Laat uw IT afdeling de poorten goed nalopen en ze afsluiten!

Segmentatie

Net als de toegang tot uw kantoor en de verschillende ruimtes in het bedrijf, is het van belang ook uw netwerk zodanig in te richten dat deze in afdelingen worden opgesplitst (segmentatie). Door het netwerk in stukjes op te knippen kan de software moeilijk of helemaal niet verspreiden. Door het segmenteren van uw netwerk voorkomt u dat infecties kunnen verspreiden. Het is vergelijkbaar met een brand. Heeft u geen deuren in uw bedrijf, dan zal een brandje bij de receptie al snel met rook door het hele pand trekken. Zit er in elke gang en bij elke afdeling een deur, dan zal de verspreiding van de rook stoppen bij de eerste dichte deur!

BYOD, VPN en overige media

Infecties komen voor door medewerkers die eigen thuis apparatuur (Bring your own device) meenemen. Denk hier aan bijvoorbeeld een privé laptop. Deze laptop kan thuis geïnfecteerd zijn geraakt. Na het aansluiten van de laptop op uw netwerk kan de software zich verspreiden. Het kan ook zijn dat uw medewerker een ander soort media gebruikt zoals een geïnfecteerde USB stick. Na aansluiten van de usb stick en het openen van bijvoorbeeld het bestand zal de software actief worden op de computer en zich daarna verspreiden.

De hoofdregel is: laat geen privé apparaten toe op uw netwerk of sluit uw netwerk dermate af dat onbekende apparaten in een zogenoemd DMZ netwerk komen. Doormiddel van een afgeschermd gasten netwerk (segmentatie) kan de privé apparatuur alleen verbinding maken met internet maar niet bij uw bedrijfsnetwerk. Tevens is het handig om USB en CD-ROM onbruikbaar te maken via een policy. Uw systeembeheerder kan usb poorten uit schakelen of alleen bepaalde usb’s van het bedrijf toelaten. Dit voorkomt dat medewerkers uw systeem infecteren. 

VPN

In de corona periode zijn veel medewerkers thuis aan het werk. Om verbinding te maken met het bedrijf zijn er in de meeste gevallen VPN verbindingen actief. Laat alleen bedrijfsapparatuur verbinding maken met de VPN. Laat nooit privé computers verbinden met uw bedrijfsnetwerk. 

Awareness

Breng uw medewerkers op de hoogte van de risico’s van het openen van e-mails van onbekenden. Het gebruik van USB en andere media op de bedrijfshardware en het downloaden van software via internet! Het is raadzaam om uw IT afdeling op te dragen dat medewerkers geen software mogen installeren of uitvoeren anders dan de software die nodig is voor uw bedrijfsvoering. 

De belangrijkste maatregel zijn nog steeds de updates. Microsoft, Apple en Linux publiceren met enige regelmaat updates die moeten voorkomen dat ransomeware toegang kan krijgen tot uw pc. Daarnaast is het belangrijk om de virusscanners up to date te houden. Zorg dat updates met enige regelmaat geïnstalleerd worden op uw systemen. Voorkomen is beter dan genezen!