Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken omdat werkplekken geïnfecteerd zijn met ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Ben je toch geraakt door ransomware? Dan vind je in deze blog ook een handig stappenplan om de schade zoveel mogelijk te beperken en voor het herstel.

Ransomware is een type malware die een computersysteem aanvalt door de documenten (c.q. Bestanden) te versleutelen, waarna slachtoffers vaak forse bedragen moeten betalen voor een code om weer toegang tot deze bestanden te krijgen.

Vorig jaar waren er veel Amerikaanse gemeenten die last hadden van ransomware aanvallen. Zo was de gemeente Baltimore slachtoffer geworden van ransomware (genaamd RobbinHood) Zij hebben geen losgeld betaald, met het gevolg dat de gehele gemeentelijke dienstverlening niet meer uitgevoerd kon worden. Je kunt hier zelfs op Wikipedia een beschrijving van vinden.

Dit soort incidenten kunnen ook binnen de Nederlandse Gemeenten voorkomen, zoals bij de gemeente Lochem en de gemeente Zutphen. Er zijn verschillende varianten van  ransomware. De encryptie variant is de ergste variant omdat je een sleutel nodig hebt om je bestanden weer toegankelijk te maken. Om deze sleutel te ontvangen worden vaak duizenden euro’s gevraagd door de cybercriminelen, terwijl je niet eens zeker weet of je na betaling wel echt een sleutel krijgt.

Wat kun je tegen ransomware doen?

Er zijn twee manieren waarop je ransomware op je systeem kunt krijgen. De meest voorkomende manier is door middel van een executable-bestand dat de ransomware op het systeem installeert. Het bestand kan binnen komen via een onveilige link, e-mailbijlage, advertentie of (illegale) download. Om deze manier van infectie te voorkomen is goede bewustwording van medewerkers cruciaal. Medewerkers moeten zich bewust zijn dat zij niet zomaar op bijlagen klikken, of op linkjes in e-mails. Je ziet dat binnen gemeenten de laatste tijd veel aan bewustwording wordt gedaan door phishing-mail acties. De organisatie stuurt een bericht rond die lijkt op een legitieme mail, maar is het niet. Hierdoor is er inzicht in hoeveel procent van de medewerkers toch zonder goed te kijken op een fout linkje klikken. Vaak zijn dit meer medewerkers dan oorspronkelijk was gedacht.

Een tweede manier waarop ransomware op je systeem kan komen is via reeds geïnstalleerde programma’s op het systeem. Bijvoorbeeld via flash, je browser of javascript. Om ransomware via deze weg op een systeem te plaatsen moeten hackers wel een lek vinden in de software. Daarom is het belangrijk om altijd de meest actuele versie van software op je systemen te hebben zodat mogelijke kwetsbaarheden met een security-patch van de leverancier worden opgelost.

Welke stappen moet je nemen wanneer je ransomware ontdekt?

Wanneer je een ransomware-besmetting op je systeem hebt, kun je de volgende stappen ondernemen:

1. Detecteren van de ransomware gebeurt als eerste – wanneer je een monitoringsysteem gebruikt kun je vanuit het systeem een melding krijgen. Wanneer je vanuit de gebruikerspopulatie een melding krijg, heeft de ransomware waarschijnlijk al aardig om zich heen gegrepen.
2. Het geïnfecteerde systeem moet vervolgens geïsoleerd worden van het netwerk (zolang deze niet geïsoleerd is zullen er bestanden besmet raken). Verbreek de verbinding met het internet. In deze eerdere blog krijg je tips voor de voorbereiding op een digitaal forensisch onderzoek.
3. Zet de automatische back-up direct uit.
4. Update je virusscanner met de laatste versie en scan de gehele infrastructuur.
5. Je kunt ook kijken bij verschillende websites – zoals NoMoreRansom – waar je in sommige gevallen zelf de ontsleuteling kunt opzoeken – Dit wordt ondersteund door Politie Nederland. Vaak gaat dit om reeds bekende (oude) versies van ransomware.
6. Verwijder alle besmette bestanden.
7. Controleer of er geen afwijkende activiteiten meer zijn op het netwerk.
8. Plaatst de bestanden terug van een schone back-up van voor de besmetting. Plaats de back-up pas terug wanneer je zeker weet dat er geen besmette apparaten meer zijn op het netwerk. Sluit je de back-up eerder aan, dan kan de ransomware de back-up besmetten.

Als de ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek! Voor het melden van een datalek bij de AP kan je deze stappen volgen.

Risico’s beperken – Preventieve maatregelen

Om de risico’s te beperken voor een ransomware-aanval moet je als gemeente de volgende zaken op orde hebben:

• Bewustwording – de beste manier om je te beschermen is door altijd je medewerkers bewust te maken van de risico’s.
• Blijf up-to-date – De Handreiking patchmanagement voor gemeenten van de IBD geeft tips.
• Maak extensies zichtbaar – stel de systemen zo in dat extensies getoond worden, zodat de medewerkers kunnen zien of iets een .exe bestand is.
• Maak back-ups – zorg altijd voor een goede, actuele back-up. De IBD heeft ook hier een handreiking voor die je kan helpen.
• Firewall – Installeer een firewall met een oplossing tegen malware – installeer ook hier de laatste updates en patches.
• Antivirussoftware – Spreekt voor zich.
• Beperk toegangsrechten – omdat ransomware alle bestanden en mappen kan bereiken waar het geïnfecteerde gebruikersaccount toegang tot heeft, kan een deel al voorkomen worden door streng toegangsbeleid.

Heb je naar aanleiding van deze blog nog aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.