Niet betalen om het businessmodel onderuit te halen

© Getty Images
PwC
Information Services

Information Services verbindt organisaties met de lezers van en doet een beroep op de specialisten van Roularta Brand Studio voor tekst en illustraties. De inhoud wordt eventueel aangebracht door de partner en valt buiten de verantwoordelijkheid van de redactie.

1 oktober 2020, 22:59 Bijgewerkt op: 17 augustus 2022, 07:43

Iedereen is een mogelijk doelwit voor een aanval met ransomware. Net daarom is het belangrijk dat organisaties samenwerken, op sectorniveau en met de overheid, en dat getroffenen ook communiceren over wat ze meemaakten. Zo kunnen we ons gezamenlijk beter wapenen tegen toekomstige aanvallen.

“We zien een duidelijke toename in het aantal aanvallen met ransomware”, zegt Vito Rallo, Director Threat & Response Management bij PwC. “Tegelijk is er ook een verschuiving. Vroeger zagen we vooral geautomatiseerde aanvallen. Vandaag gebeurt het meer manueel, op maat en met een veel hoger niveau van complexiteit.” De aanvallen zijn bewust op bedrijven gericht. Geldgewin blijft in veel gevallen het belangrijkste motief. “Vandaar de trend om ook meer kmo’s te viseren. Die zijn doorgaans minder goed beveiligd en makkelijker te misleiden met social engineering.”

Cybercriminelen maken niet alleen gebruik van social engineering, maar ook van de zwakke plekken in de beveiliging van IT-systemen. En eenmaal de ransomware in werking treedt, bevindt de onderneming zich tussen hamer en aambeeld. Vito Rallo: “Wanneer je betaalt, krijg je je data terug. De hackers helpen je bij de recovery. Daarop is het businessmodel gebaseerd. Mocht je betalen en niets terugkrijgen, dan houdt het model niet stand.” Diverse hackergroepen pakken de zaken intussen zo professioneel aan dat een helpdesk ondersteuning biedt aan de slachtoffers.

Een of twee keer betalen?

Maar is snel betalen de enige optie? “Het alternatief is dat je een response team inschakelt die de data probeert te recupereren zonder losgeld te betalen”, zegt Vito Rallo. “Een andere mogelijkheid bestaat erin te onderhandelen over de prijs en garanties te vragen. Je kunt bijvoorbeeld de hackers vragen om te bewijzen dat ze de decryptie correct kunnen uitvoeren. Maar dan nog. Je weet nooit of ze daarna echt weg zijn uit je bedrijf. Of ze misschien terugkomen, dan wel of er andere hackers je netwerk binnendringen met de credentials die de eerste aanvallers intussen op de zwarte markt hebben verkocht.”

Met name dat laatste is een belangrijke vaststelling. “Wanneer je beslist niet op de eisen van de cybercriminelen in te gaan en geen losgeld te betalen, is een rebuild van de IT-omgeving nodig”, zegt Vito Rallo. “Kiest de organisatie ervoor wel te betalen en krijgt ze zo al haar data terug, dan blijft ze nog altijd achter met een gecompromitteerde omgeving. Om zeker te zijn dat er geen nieuwe aanval komt, is hier evenzeer een rebuild nodig. Anders gezegd: wie het losgeld betaalt, mag ook de kosten van de rebuild niet vergeten – en betaalt dus twee keer.”

Wie bij een aanval met ransomware het losgeld betaalt, mag daarna ook de kosten van de rebuild van de IT-omgeving niet vergeten – en betaalt dus twee keer.

Vito Rallo, Director Threat & Response Management bij PwC
Vito Rallo, Director Threat & Response Management bij PwC

Informatie delen

Tegelijk is de weigering om losgeld te betalen een belangrijke manier om het businessmodel achter ransomware onderuit te halen. “En er is nog meer dat een slachtoffer kan doen”, zegt Vito Rallo. “Door informatie te delen en in alle openheid samen te werken kunnen bedrijven elkaar helpen om mogelijke aanvallen met ransomware sneller op te merken en tegen te houden.” Met name de vele nauwe connecties – ook op het vlak van IT – die er tussen bedrijven bestaan, zijn hier cruciaal. “Heel wat aanvallen met ransomware gebeuren via die connecties met andere bedrijven, zowel klanten als leveranciers.”

Incidenten met ransomware – en met malware in het algemeen – tonen aan dat cybersecurity vandaag niet langer van tactisch, maar van strategisch belang is. “Security begint bij een goede e-mailbeveiliging”, zegt Vito Rallo. “De mens blijft de zwakste schakel en veel malware probeert nog altijd via e-mail in een netwerk binnen te dringen. Zorg daarnaast voor een goede, moderne endpoint bescherming.” Het is belangrijk dat de IT-teams zich goed voorbereiden, mogelijke scenario’s uitwerken en die ook inoefenen. Wanneer er een incident is, moeten ze bijvoorbeeld onmiddellijk weten welke servers tijdens de recovery prioriteit krijgen. “Tegelijk moet ook de business werk maken van crisisbeheer en een plan voor bedrijfscontinuïteit.”

Zelf op jacht gaan

Ook bij ransomware is het vaak zaak er zo snel mogelijk bij te zijn. Intrusion detection en intrusion prevention blijven dus nog altijd aan de orde. Malware zorgt voor beweging op het netwerk. Door dat netwerk goed in de gaten te houden, kan de netwerkbeheerder veel te weten komen. “Een goede threat hunter merkt het wanneer een aanval begint”, besluit Vito Rallo. “Door dan meteen in te grijpen, heb je meer kans dat je de aanval kunt stoppen voor het te laat is.”