Cybercriminelen die ransomware inzetten, hebben soms heel uiteenlopende motieven. In de meeste gevallen zijn ze uit op geld. Maar soms is er spionage mee gemoeid, diefstal van intellectuele eigendom of één of andere vorm van 'hacktivisme', waarbij de aanval met de ransomware al dan niet de sporen van andere strafbare feiten moet opruimen. "De branche van de ransomware is doorheen de jaren duidelijk geprofessionaliseerd", zegt Thibaut Roisin, Managing Director Security bij Accenture. "De acties zijn vaak heel nauwkeurig gericht tegen één specifieke organisatie, wat het bijzonder moeilijk maakt om in brede, algemene preventie te voorzien."

Aanvallers met ransomware zijn ook succesvoller dan vroeger, onder meer omdat ze ongezien het nodige voorbereidende werk kunnen doen. "Vandaar dat cybercriminelen ook vaker naar kmo's kijken", zegt Thibaut Roisin. "Kleinere bedrijven investeren doorgaans minder in beveiliging, wat voor de cybercrimineel de kansen op succes verhoogt. Dat maakt de impact van een succesvolle aanval des te groter."

Risico's en kosten

Bij een aanval met ransomware treedt er eerst een schokeffect op. Het bedrijf stelt vast dat het in de tang zit. Om de schade zo veel te beperken, wil het uiteraard zo snel mogelijk weer over de gegijzelde systemen en data beschikken. "Bedrijven wegen in de praktijk risico's en kosten af", zegt Thibaut Roisin. "En de meeste ondernemingen beslissen daarna om het losgeld te betalen. Maar ook dan kan de reputatieschade nog verder oplopen, bijvoorbeeld wanneer blijkt dat de decryptie niet goed verloopt."

Bovendien blijft het lastig om met cybercriminelen spijkerharde garanties af te spreken. "De moeilijkheid is dat je niet weet aan wie je betaalt, of dat wel de juiste persoon is en of je wel alle data terug zult krijgen." Bovendien bestaat het gevaar dat je snel andere hackers over de vloer krijgt, die weten dat het bedrijf kwetsbaar is. "Na een incident moet je alleszins heel snel de securitymaatregelen versterken om nieuwe succesvolle aanvallen te voorkomen." Dat is ook wat de verzekeraars van het bedrijf eisen, wil het een duurdere polis vermijden. In ieder geval zorgt een incident met ransomware zo naast de kosten van een verstoorde productie, een besmeurde reputatie of het betaalde losgeld voor heel wat bijkomende uitgaven.

Thibaut Roisin, Managing Director Security bij Accenture

Plan voor noodgevallen

Stel een plan op voor cyber resilience: over hoe je je back-ups terugzet en hoe je de beschikbaarheid van systemen vrijwaart.

Preventie blijft in de context van ransomware een heel moeilijke oefening, zeker wanneer het om professionele aanvallers gaat die de tijd nemen om heel gericht één specifiek doelwit te bewerken. Net daarom is een grondig voorbereide exitstrategie absoluut onmisbaar. "Je moet een business continuity plan opstellen voor het geval er een cyberaanval plaatsvindt en je moet het inoefenen", zegt Thibaut Roisin. "Stel een plan op voor cyber resilience: over hoe je je back-ups terugzet, hoe je de beschikbaarheid van systemen vrijwaart, enzovoort. Stel een plan op voor het moment dat het bedrijf desnoods weer op papier overstapt." Belangrijk is daarbij dat de onderneming de blik voldoende ruim houdt. "Kijk niet alleen naar jezelf, maar ook naar het ecosysteem waar je deel van uitmaakt. Wanneer externe partners die toegang hebben tot je systemen geïnfecteerd raken, is het mogelijk dat hackers die weg volgen om in jouw netwerk binnen te komen."

Cybercriminelen die ransomware inzetten, hebben soms heel uiteenlopende motieven. In de meeste gevallen zijn ze uit op geld. Maar soms is er spionage mee gemoeid, diefstal van intellectuele eigendom of één of andere vorm van 'hacktivisme', waarbij de aanval met de ransomware al dan niet de sporen van andere strafbare feiten moet opruimen. "De branche van de ransomware is doorheen de jaren duidelijk geprofessionaliseerd", zegt Thibaut Roisin, Managing Director Security bij Accenture. "De acties zijn vaak heel nauwkeurig gericht tegen één specifieke organisatie, wat het bijzonder moeilijk maakt om in brede, algemene preventie te voorzien."Aanvallers met ransomware zijn ook succesvoller dan vroeger, onder meer omdat ze ongezien het nodige voorbereidende werk kunnen doen. "Vandaar dat cybercriminelen ook vaker naar kmo's kijken", zegt Thibaut Roisin. "Kleinere bedrijven investeren doorgaans minder in beveiliging, wat voor de cybercrimineel de kansen op succes verhoogt. Dat maakt de impact van een succesvolle aanval des te groter."Bij een aanval met ransomware treedt er eerst een schokeffect op. Het bedrijf stelt vast dat het in de tang zit. Om de schade zo veel te beperken, wil het uiteraard zo snel mogelijk weer over de gegijzelde systemen en data beschikken. "Bedrijven wegen in de praktijk risico's en kosten af", zegt Thibaut Roisin. "En de meeste ondernemingen beslissen daarna om het losgeld te betalen. Maar ook dan kan de reputatieschade nog verder oplopen, bijvoorbeeld wanneer blijkt dat de decryptie niet goed verloopt."Bovendien blijft het lastig om met cybercriminelen spijkerharde garanties af te spreken. "De moeilijkheid is dat je niet weet aan wie je betaalt, of dat wel de juiste persoon is en of je wel alle data terug zult krijgen." Bovendien bestaat het gevaar dat je snel andere hackers over de vloer krijgt, die weten dat het bedrijf kwetsbaar is. "Na een incident moet je alleszins heel snel de securitymaatregelen versterken om nieuwe succesvolle aanvallen te voorkomen." Dat is ook wat de verzekeraars van het bedrijf eisen, wil het een duurdere polis vermijden. In ieder geval zorgt een incident met ransomware zo naast de kosten van een verstoorde productie, een besmeurde reputatie of het betaalde losgeld voor heel wat bijkomende uitgaven. Preventie blijft in de context van ransomware een heel moeilijke oefening, zeker wanneer het om professionele aanvallers gaat die de tijd nemen om heel gericht één specifiek doelwit te bewerken. Net daarom is een grondig voorbereide exitstrategie absoluut onmisbaar. "Je moet een business continuity plan opstellen voor het geval er een cyberaanval plaatsvindt en je moet het inoefenen", zegt Thibaut Roisin. "Stel een plan op voor cyber resilience: over hoe je je back-ups terugzet, hoe je de beschikbaarheid van systemen vrijwaart, enzovoort. Stel een plan op voor het moment dat het bedrijf desnoods weer op papier overstapt." Belangrijk is daarbij dat de onderneming de blik voldoende ruim houdt. "Kijk niet alleen naar jezelf, maar ook naar het ecosysteem waar je deel van uitmaakt. Wanneer externe partners die toegang hebben tot je systemen geïnfecteerd raken, is het mogelijk dat hackers die weg volgen om in jouw netwerk binnen te komen."