Ransomware is een gevaarlijke cyberbedreiging die de afgelopen jaren een enorme ontwikkeling heeft doorgemaakt. Weten hoe je ransomware moet detecteren is niet langer optioneel, maar van vitaal belang voor zowel kleine als grote bedrijven.

Volgens een onderzoek van Kaspersky uit 2021 gaf bijna de helft van de ondervraagde Nederlandse organisaties die in 2020 getroffen waren door ransomware aan dat ze het gevraagde losgeld betaald hadden. Zo was dat ook te zien bij Colosseum Dental Benelux. Zij betaalde de geijsde som, om weertoegang te krijgen tot systemen en patiënten data. Dierentuin Artis, dat in juni van dit jaar werd getroffen door ransomware, besloot niet te betalen. Zij herstelde met behulp van back-ups zelf hun data.

Wat is een ransomeware aanval? 

Bij een ransomware aanval is een systeem besmet met malware. De malware vergrendelt vertrouwelijke gegevens, bestanden of systemen waar legitieme gebruikers geen toegang meer toe hebben. De schade is aangericht en de aanvaller eist nu losgeld in ruil voor herstelde toegang. Op dat moment moeten de leidinggevenden en belanghebbenden van het bedrijf beslissen of ze al dan niet op de eis ingaan.

De risico's

Er zijn altijd risico's, of je het losgeld nu betaalt of niet. Het is een moeilijke en genuanceerde beslissing voor organisaties, dus alle aspecten moeten worden overwogen. Natuurlijk is de beste manier om deze risico's te vermijden, te weten hoe je ransomware-aanvallen in de eerste plaats kunt voorkomen. Dit kun je doen door data encrypt te maken, accounts te beschermen met twee-factor-authenticatie en medewerkers bewust te maken van phising.

Maar dat is niet altijd een waterdichte oplossing. Het helpt ook niet veel als jouw bedrijf midden in een aanval zit. Als je weet hoe je ransomware in actie kan stoppen, kan je de schade beperken. Als je echter geen andere keuze hebt, moet je de risico's van het al dan niet betalen van het losgeld afwegen.

Maar voor je de keuze nog zelf maakt is de eerste stap (na het afsluiten van de computer van het internet) contact opnemen met ons. Wij begeleiden je door de stappen heen en zullen je een indicatie geven van de eventuele schade.

Wanneer je betaalt

Ten eerste moet je weten dat het betalen van het losgeld niet per se betekent dat jouw organisatie weer toegang krijgt tot de versleutelde gegevens. Zelfs als de aanvaller de gegevens vrijgeeft, bestaat de kans dat je met corrupte bestanden komt te zitten. Of ze kunnen andere malware invoegen voor toekomstige aanvallen.

Een typisch voorbeeld was de ProLock ransomware strain in mei 2020. Bleeping Computer meldde dat de FBI ontdekte dat ProLock decryptor waarschijnlijk bestanden groter dan 64MB corrumpeert. Er werd ook gemeld dat slachtoffers waarschijnlijk een integriteitsverlies leden van ongeveer 1 byte per KB voor bestanden van meer dan 100KB.

In een recent gepubliceerd Cybereason ebook getiteld Ransomware: The TrueCost to Business, kreeg maar 46% van de respondenten die het losgeld betaald en toegang tot hun gegevens.  Sommige (zo niet alle) gegevens waren beschadigd. Ook beweerde 51% dat zij al hun versleutelde gegevens met succes hadden hersteld na betaling, terwijl 3% beweerde dat de aanvaller de toegang niet herstelde na betaling.

Wanneer je niet betaalt

Betaling van ransomware moedigt aanvallers aan omransomware-aanvallen te blijven uitvoeren omdat ze het als een winstgevendeonderneming zien. Daarom dringt de overheid (en wij) erop aan dat je ransomware-aanvallers niet betaalt.

Maar wat gebeurt er als je de ransomware-eis niet betaalt?De volgende stap ligt in jouw handen. Ten eerste kunnen aanvallers dreigen jevertrouwelijke informatie openbaar te maken of te verkopen op het dark web. Ditkan de reputatie van jou, of jouw organisatie schaden en de vertrouwensrelatiemet je klanten en zakenpartners beïnvloeden.

Wanneer de versleutelde gegevens essentieel zijn voor jouw bedrijfsprocessen,kunnen deze stil te komen liggen totdat de toegang is hersteld. Dit gebeurdalleen als je over een bijgewerkt back-upherstelplan beschikt. Om deze reden is het erg belangrijk om regelmatig updates van back-ups uit te voeren.

De ethiek

Er is geen zekere methode om van ransomware af te komen zonder te betalen. Naast de risico's moet je verschillende ethische kwesties overwegen voordat je beslist of je het losgeld betaalt of niet.

Eén ethische kwestie doet zich met name voor wanneer je een ransomware betaling doet. Het moedigt cybercriminelen aan. Zodra zij weten dat jouw organisatie bereid is het cyber losgeld te betalen, kunnen toekomstige aanvallen plaatsvinden.

De beslissing om te betalen kan zijn om de activiteiten te herstellen, zoals in het geval van Colonial Pipeline CEO Joseph Blount Hij betaalde 4,4 miljoen dollar losgeld voor een decoderingstool om de oliewerkzaamheden te herstellen. Hij zei dat de verlammende effecten op het land zijn beslissing hebben bepaald. Hoewel dit in sommige omstandigheden waar kan zijn, kan een betaling van ransomware de aanvallers er ook toe aanzettenslachtoffers te chanteren en een tweede betaling te eisen.

Volgens ZDNet krijgt 80% van de organisaties die ermee instemmen het losgeld te betalen, te maken met latere aanvallen, waarbij 46%gelooft dat deze afkomstig zijn van dezelfde aanvaller.

Wanneer je wel betaald

Hoewel er momenteel nog niet wettelijk verboden is, deed de overheid in het najaar van 2021 wel onderzoek naar het verboden maken van het vergoeden door verzekeraars van losgeld dat slachtoffers een cybercriminelen hebben betaald. Maar er is op dit moment nog geen voornemen om losgeldbetalingen wettelijk te verbieden.

Wanneer een ransomware-aanval kritieke gegevens blokkeert, moeten individuen en organisaties vaak beslissen of ze het losgeld betalen of niet. De realiteit is echter dat ransomware-aanvallen altijd een mogelijkheid zijn, dus voorbereiding is cruciaal. Hoewel je maatregelen kunt nemen om ransomware-aanvallen op te sporen, te voorkomen en af te handelen, kun je nog steeds voor de beslissing komen te staan om het losgeld wel of niet te betalen. Overweeg zorgvuldig de risico's, ethiek en juridische aspecten van beide scenario's voordat je beslist.  

Voorkomen beter dan genezen

Zoals eerder genoemd is het van uiterst belang dat je eerst jouw ict-provider raadpleegt wanneer je een ransomware aanval verdenkt. Wij adviseren je over het proces en brengen de aanval in kaart. Voorkomen is altijd beter dan genezen, daarom raden wij je aan gebruik te maken van sterke wachtwoorden, phishing te leren herkennen en er voor te zorgen dat jouw medewerkers veilig online werken.