Wij maken gebruik van cookies op onze website, in onze privacy statement & cookieverklaring lees je hier meer over.

"De criminelen vragen vaak een gedeelte van de jaarlijkse omzet"

Het probleem met hackers die ransomware installeren bij grote bedrijven is niet nieuw. In het afgelopen jaar steeg het aantal ransomware-aanvallen met 150%, zo meldt Group-IB in hun onderzoek naar ransomware in 2020 en 2021. Het probleem wordt steeds groter en steeds meer (bekende) bedrijven krijgen te maken met deze dreiging. Hoe kan dat?

Laatst zagen we dat Mediamarkt het zoveelste bedrijf was dat werd aangevallen met ransomware. De hackers installeerden een gijzelsoftware en eisten 50 miljoen voordat ze alle bestanden en systemen veilig terug zouden geven. Betaalde Mediamarkt niet, dan zouden alle buitgemaakte gegevens, worden verkocht op het dark web.

Hoe werkt ransomware?

Maar hoe werkt ransomware nu precies? En hoe zorg je ervoor dat jouw bedrijf goed beveiligd is tegen kwaadwillende hackers? Om daar antwoord op te geven, is het allereerst belangrijk om te weten hoe de hackers te werkt gaan.

Het begint eigenlijk allemaal bij het samenstellen van een team. Want als je misschien denkt dat hackers ICT’ers zijn die hun duistere praktijken organiseren vanaf een donkere zolderkamer, heb je het mis. Deze hackers zijn van een heel ander kaliber. Vaak worden deze aanvallen georganiseerd door grote, anonieme criminele organisaties die voor elk stukje van het proces een specialist hebben aangesteld. Vaak hebben beveiligingsspecialisten het bij dit soort groepen over de ransomware kill chain: een keten van specialisten die jouw bedrijfsnetwerk helemaal plat kunnen leggen.

Waar zitten de gaten?

Ze beginnen met het zoeken van gaten in de beveiliging van een bedrijf. Vaak zoeken ze naar een fout in de digitale beveiliging of naar een onhandige, goedgelovige medewerker om toegang te krijgen tot het netwerk. Dit doen ze bijvoorbeeld door middel van de bekende phishingmails, door wachtwoorden te kopen op het dark web of door te zoeken naar gaten in het netwerk.

Als het gat gevonden is proberen de hackers toegang krijgen tot de hoogste ‘digitale rank’ in het systeem. De hackers willen namelijk toegang tot het admin-account: het account dat alle andere apparaten op het netwerk beheert en toegang heeft tot de servers.

De toegang tot zo’n account kan op verschillende manieren worden verkregen, bijvoorbeeld door een phisingmail te sturen naar een medewerker. Deze klikt op een link in de mail waardoor de hackers toegang krijgen tot zijn of haar computer. Ze kunnen nu ongezien de computer besturen, opnemen of aanpassen. Dit doen ze allemaal veilig vanuit hun eigen locatie.

Je weet het pas wanneer het te laat is

De medewerker is dus nu gehackt zonder dat hij of zij het doorheeft en dat is precies de bedoeling. De hack moet namelijk pas duidelijk worden voor het bedrijf als de schade al is aangericht. Maar op dit moment ervaart de medewerker alleen dat bijvoorbeeld de e-mail niet meer werkt en die meldt dat bij de netwerkbeheerder (of iemand met een hogere ‘digitale rank’ in het netwerk). Deze meldt zich bij de betreffende computer en op het moment dat deze ICT’er op de computer inlogt met zijn eigen credentials, hebben de hackers alles klaarstaan om de controle over te nemen. De inloggegevens worden netjes geregistreerd en de hackers zijn weer een stap omhoog in het netwerk. Dit gaat door tot ze toegang hebben tot een admin-account, wat soms wel weken kan duren. Maar soms ook niet. 

Andere methodes die hackers kunnen toepassen, zijn e-mails sturen uit naam van een medewerker, of de ransomware installeren op een USB-stick die van computer naar computer gaat.

Zodra de hackers toegang hebben tot een admin-account, begint de misère pas voor het bedrijf: de hackers installeren ransomware op alle computers en servers. De ransomware zorgt ervoor dat alle informatie, op de computers én op server(s), op slot gaat. Niemand kan de informatie dus meer inzien. Als dit geïnstalleerd is, krijgen alle apparaten en computers in het netwerk een bericht op hun computer dat ze gehackt zijn. Alle computer, bestanden en informatie staan op slot en er moet contact opgenomen worden met de hackers.

Betalen of niet betalen?

Het “project” wordt nu doorgegeven aan de volgende soort criminelen: de onderhandelaars. Het bedrijf dat zijn bestanden niet wil verliezen, neemt contact op met de criminelen die zoveel mogelijk geld willen loskrijgen. De criminelen vragen vaak een gedeelte van de jaarlijkse omzet. Bij Mediamarkt was dit 50 miljoen euro, ongeveer 0,01% van de jaaromzet (2020). Vaak huren de getroffen bedrijven specialisten in om te onderhandelen met de criminelen. Het bedrijf moet namelijk kiezen wat de gestolen informatie ze waard is en of ze het risico willen lopen dat de gegevens van hun klanten of gevoelige bedrijfsinformatie verkocht worden op het dark web.

Als ze het losgeld betalen, zullen de criminelen vaak daadwerkelijk de informatie teruggeven en de computers weer ontgrendelen. Echter betekent dit dat andere criminelen nu ook weten dat het netwerk van het bedrijf niet goed beveiligd is en dat er losgeld betaald wordt. Betalen ze het bedrag niet zal alle informatie die gestolen is, digitaal worden doorverkocht aan andere hackers via het dark web.

Voorkomen van ransomware

Nu je weet hoe de criminelen te werk gaan, is de belangrijkste vraag natuurlijk hoe je deze problemen kan vermijden. 

Hackers richten hun digitale pijlen voornamelijk op grote bedrijven met veel omzet. Dit betekent natuurlijk meer geld en informatie om te stelen, en vaak mogelijkheden om in te breken in het netwerk. Dit betekent echter niet dat je als MKB-bedrijf geen voorzorgsmaatregelen moet nemen.

Een van de belangrijkste dingen is ervoor zorgen dat jouw medewerkers geen links openen van e-mails waarvan ze de afzender niet kennen. Als ze twijfelen moeten ze eerst contact opnemen met hun ICT-specialist om te checken of het een veilige link is. Daarnaast is het natuurlijk belangrijk om te kijken of de servers en het netwerk goed beveiligd zijn, en regelmatig te kijken of er dingen geupdate of vernieuwd moeten worden.

Disclaimer: als je deze voorzorgsmaatregelen neemt, ben je niet automatisch veilig. Je moet begrijpen dat deze hackers echte specialisten zijn en altijd zoeken naar nieuwe manieren om een bedrijf te hacken. Daarom is het belangrijkste dat er regelmatig backups worden gemaakt van álle informatie en bestanden. Het is natuurlijk belangrijk dat deze backups niet op hetzelfde netwerk staan maar op externe harde schrijven/SSD’s, of door ze op een totaal ander netwerk te zetten. Zo weet je altijd dat je de informatie in ieder geval nooit kwijt bent.

Meer weten over het voorkomen van ransomware?

Heb je nog vragen over dit onderwerp of wil je zelf tips toevoegen aan dit artikel? Laat het ons weten, ook wij leren graag verder.

+2,50%