Afpersing hoort steeds vaker bij ransomware-aanval

Ransomware-aanvallen vormen een steeds grotere bedreiging omdat organisaties afhankelijker worden van digitaal werken en aanvallers professioneler opereren. Criminele organisaties vragen na een aanval om geld, om de gegevens te ontsleutelen, en dat wordt steeds vaker gecombineerd met afpersing: wordt er niet betaald, dan worden gegevens gepubliceerd. De Informatiebeveiligingsdienst (IBD) zet de mogelijke maatregelen op een rij.

Aanvallers zoeken in eerste instantie een manier om bij gemeenten binnen te komen, proberen vervolgens om toegang tot alles te krijgen binnen het netwerk en de fase waarin de gemeente de impact merkt, waarin de gegevens bijvoorbeeld worden versleuteld. Daarna eisen ze losgeld.

Hardening

Eén manier om binnen te komen is het misbruiken van kwetsbaarheden. Maatregelen die gemeenten daartegen kunnen nemen zijn goed patchmanagement, waarschuwingen aanzetten voor verschillende logbronnen (zoals virusscanners en firewalls) en die inzichtelijk maken, en ‘hardening’: zet in ieder geval het Remote Desktop Protocol uit, waarmee een computer op afstand bediend kan worden.

Bij ‘hardening’ worden overbodige functies uitgeschakeld. Enkele andere stappen in dit proces zijn, volgens het Centrum Informatiebeveiliging en Privacybescherming: het verwijderen van onnodige gebruikersaccounts, het deactiveren van onnodige services en poorten en het gebruiken van uitsluitend versleutelde dataverbindingen.

Privileges

Voor de fase waarin aanvallers de toegang proberen uit te breiden, suggereert de IBD ook verschillende maatregelen: goed patchmanagement, netwerksegmentatie, multifactorauthenticatie, waarschuwingen van logbronnen en het ‘least privilege-principe’: de accounts met adminprivileges loskoppelen van gewone gebruikersaccounts en zorgen dat eindgebruikers die privileges niet hebben op de door de gemeente beheerde apparaten.

In de laatste fase kunnen gegevens worden gestolen, versleuteld en vernietigd. Het aanzetten van waarschuwingen op logbronnen kan helpen tegen het stelen of versleutelen. En het ‘whitelisten’ van applicaties (het identificeren van objecten met een privilege of toestemming) kan helpen tegen het versleutelen van gegevens. Tot slot kunnen back-ups worden gebruikt als gegevens zijn vernietigd.