Hack ontdekt, hoe te handelen?

Vaak is het meteen duidelijk als systemen en data met ransomware zijn besmet. Een instructie op de beeldschermen toont hoe het gevraagde losgeld het gemakkelijkst kan worden betaald. Wat doe je?


Door Kim van Lavieren

Wij adviseren vooral om niet in paniek te raken of het zelf proberen op te lossen. Bel vooral niet eerst de politie. Dat kan namelijk slecht uitpakken omdat de hack dan direct openbaar is. Een degelijk contact kan nooit zonder advocaat plaatsvinden, dus stap één is: vind een goede advocaat en bel met de juiste ICT-partner. Laat vooral ook alle systemen aan. Er kan voor het forensisch onderzoek nog nuttige informatie in het werkgeheugen staan die zou worden gewist als je de computers uit zet. Met behulp van experts moet er een onderzoek volgen naar de aard van de hack en de omvang van het probleem. Misschien kan bepaalde data nog worden gered. Misschien blijken de systemen dubbel geïnfecteerd te zijn: door de hackers in kwestie en door een andere groep die na de eerste aanval zijn kans grijpt.

Typen ransomware-aanvallen
In grote lijnen kun je stellen dat er twee typen ransomware-aanvallen bestaan. De eerste variant versleutelt de data. De schade van deze aanval blijft vaak beperkt als er al voldoende (goede en geteste) backups aanwezig zijn en er geen databestanden zijn buitgemaakt. Het tweede type aanval gaat verder omdat de software ook data wegsluist. Hierdoor kan versleutelde data misschien nog wel worden hersteld met backups, maar bestaat de kans dat aanvallers de gegevens alsnog openbaar maken of verkopen. Dit type aanvallen is complexer. Het kost nu eenmaal tijd en rekenkracht om ongemerkt grote hoeveelheden data weg te sluizen. Hackers zijn er bedreven in geworden om zo min mogelijk aandacht te trekken van detectiemechanismen zoals de monitoring van het C&C-verkeer, data-operaties en de belasting van computers. In veel gevallen is gijzelsoftware in deze situatie ook doorgedrongen tot de backups, waardoor een poging om data te herstellen een nieuwe malware-infectie teweeg kan brengen (vaak pas na een tijdje, als alles weer hersteld is).

Aangifte en betalen?
De afstemming met de hackers kan het beste verlopen via een gespecialiseerde advocaat. Ook heeft het altijd zin om aangifte te doen bij de politie. Daar werken de specialisten van de eenheid High tech crime aan het opsporen van hackers. Een getroffen organisatie kan ervoor kiezen zoveel mogelijk informatie met de opsporingsdiensten te delen om te helpen de hackers te achterhalen. Maar meestal is het goed om toch te overwegen om losgeld te betalen.

Iedereen is geneigd om criminelen te wantrouwen, en dat is gezond. Maar bij gijzelhacks staat ook de geloofwaardigheid van de hacker op het spel. Zou hij zich niet aan zijn eigen voorgestelde afspraak houden, dan weet hij dat hij op termijn helemaal geen medewerking meer krijgt. Dus in de meeste gevallen zien we dat de versleuteling na de betaling weer netjes wordt opgeheven en de operatie van het bedrijf weer verder kan. Hackers zijn gebaat bij een zo soepel mogelijke transactie. Dat is dan ook de reden dat ze het betaalproces ook zo makkelijk mogelijk maken en best bereid zijn om over de hoogte van het bedrag te onderhandelen. In de meeste gevallen is het raadzaam om de hackers zakelijk te benaderen. Het heeft geen zin om ze te bedreigen of te beledigen; dat zal er alleen maar toe leiden dat ze zich ingraven en volharden in hun eis.

Backups? Toch onderhandelen
Wie in het verleden al heeft geïnvesteerd in goede back-ups zal minder snel geneigd zijn te gaan betalen. Toch kan het ook in dit geval verstandig zijn om de onderhandelingen aan te gaan. Bijvoorbeeld om erachter te komen welke bestanden er wel en niet zijn buitgemaakt. Meestal kun je hackers dan verleiden om uittreksels van buitgemaakte data toe te sturen als bewijs. De kunst is om dan zoveel mogelijk van dit soort informatie te ontvangen en zelf zo min mogelijk los te laten. Onderhandelingen voer je in stilte, dus hou je de media zoveel mogelijk buiten de deur. Want zodra de krant erover schrijft, is het gedaan met vriendelijk onderhandelen.

Prioriteit en plan trekken
Betalen of niet, elke hack is een verschrikkelijke situatie waar natuurlijk geen enkel bedrijf graag in terechtkomt. Prioriteit 1 is om meteen juist te handelen zodra een hack wordt geconstateerd. Plan 2 is de organisatie te beschermen voor langere termijn. Daarover meer in de volgende twee blogs.

SimplifyNow maakt IT eenvoudig en begrijpelijk

Meer weten over cybersecurity? Kim kan alle vragen beantwoorden:
kim.vanlavieren@simplifynow.nl of neem contact op met Edgar Kramer (+31 6 40 70 84 10 | Edgar.Kramer@simplifynow.nl).

Meer weten over SimplifyNow, of over werken bij ons? Neem contact op met
Pieter Ruigrok (+31 6 83 06 96 54 | pieter.ruigrok@simplifynow.nl).