- De meeste organisaties herstellen voordat is bevestigd dat de aanvaller weg is, wat leidt tot herbesmetting binnen 72 uur
- 40% van de organisaties die losgeld betalen, herstelt niet alle gegevens (Sophos 2024)
- Ransomware-groepen richten zich actief op back-upinfrastructuur; valideer elke back-up op geïsoleerde hardware
- Artikel 33 AVG vereist melding aan uw toezichthoudende autoriteit binnen 72 uur na ontdekking van een datalek
- Gemiddeld herstel duurt 21 dagen; organisaties met geteste, air-gapped back-ups herstellen in 13 dagen
Waarom de meeste hersteloperaties mislukken
Drie mislukkingspatronen zijn verantwoordelijk voor de meeste langdurige ransomware-incidenten.
Het eerste is herstellen vóór het verwijderen van de aanvaller. Het team herstelt vanuit back-up, maakt opnieuw verbinding met het netwerk en herbesmetting treedt op binnen uren. De dreigingsactor is nooit vertrokken. Geplande taken, nieuwe beheerdersaccounts, tools voor toegang op afstand en ingeplante inloggegevens overleven het herstel en stellen de aanvaller in staat opnieuw versleuteling in te zetten.
Het tweede is het betalen van losgeld en dat behandelen als herstelplan. Sophos-onderzoek onder 5.000 organisaties toonde aan dat 40% van degenen die betaalden niet alle gegevens herstelde. Decryptors falen op beschadigde bestanden, retourneren gedeeltelijke sleutels of werken niet op nieuwere versleutelingsvarianten.
De derde mislukking is stiller: herbouwen in dezelfde staat die de aanval mogelijk maakte. Als uw omgeving kwetsbaarheden had, maakt het herstellen vanuit een back-up die kwetsbaarheden opnieuw aan.
Stap 1: bevestig dat de aanvaller weg is
De inzet van ransomware vindt doorgaans weken na de eerste toegang plaats. Mandiant M-Trends 2024 stelt de gemiddelde verblijfstijd op 11 dagen vóór de inzet van versleuteling. In de financiële sector is de gemiddelde verblijfstijd meer dan 45 dagen. Sommige groepen handhaafden meer dan 200 dagen aanhoudende toegang. De versleuteling markeert het einde van de aanval, niet het begin.
Voordat er herstelwerk begint, moet uw incidentresponsteam een volledig beeld hebben: elk getroffen systeem, elk gecompromitteerd credential, elk nieuw account dat tijdens de inbreuk is aangemaakt en elk persistentiemechanisme dat is gevonden en bevestigd verwijderd.
Hoe persistentie eruitziet
Ransomware-onderzoeken brengen regelmatig het volgende aan het licht:
- Geplande taken die de loader of callback-payload opnieuw uitvoeren
- Nieuwe lokale beheerdersaccounts aangemaakt tijdens laterale beweging
- Remote monitoring and management-tools die blijven draaien na eerste toegang
- Webshells geïmplanteerd op internetgerichte servers
- Domeingroepsbeleidwijzigingen die aanvallersbevoegdheden handhaven
- Registerwijzigingen die endpoint-beveiligingstools uitschakelen
- OAuth-tokens en API-sleutels aangemaakt voor aanhoudende cloudtoegang
Sommige groepen wachten 30 tot 60 dagen na initieel ontdekking om opnieuw in te gaan, gericht op organisaties die hebben hersteld zonder volledige verwijdering.
Stap 2: valideer uw back-ups
Moderne ransomware-families behandelen back-ups als het primaire obstakel voor betaling. Conti, LockBit 3.0 en BlackCat/ALPHV bevatten allemaal modules die Volume Shadow Copies, back-upsoftwarebestanden en netwerktoegankelijke back-upopslagplaatsen proberen te versleutelen of verwijderen. Als uw back-upsysteem bereikbaar was vanuit de geïnfecteerde omgeving, behandel het dan als mogelijk gecompromitteerd.
Het validatieproces
- Identificeer de laatste schone back-updatum. Dit is vóór de initiële toegang van de aanvaller, niet vóór de versleuteling.
- Monteer de back-up op geïsoleerde hardware zonder netwerkconnectiviteit naar uw productieomgeving of domein.
- Voer uw EDR en bijgewerkte AV-tools uit op de gemonteerde back-up.
- Voer een testherstel uit van een kritiek systeem op die geïsoleerde hardware en controleer of het correct opstart.
- Vertrouw alleen op back-ups die alle vier controles doorstaan.
Stap 3: verwijder eerst, herstel daarna
Probeer geïnfecteerde systemen niet schoon te maken. Herbouw ze. Verifiëren dat een systeem volledig schoon is, kost meer moeite dan herbouwen vanuit een bekende, goede image. Wis gecompromitteerde endpoints, servers en domeincontrollers en herbouw vanuit een gevalideerde baseline.
Active Directory verdient bijzondere aandacht. Als domeincontrollers zijn gecompromitteerd, behandelt u elk account met domeinbeheerdersbevoegdheden als gecompromitteerd. Reset alle geprivilegieerde inloggegevens voordat u herstelde systemen verbindt met het domein.
Veel teams herbouwen werkstations maar behouden gecompromitteerde domeincontrollers. Een schoon werkstation dat verbinding maakt met een gecompromitteerd domein blijft binnen het bereik van de aanvaller. Volledige verwijdering betekent het domein, niet alleen individuele machines.
Stap 4: plan de herstelreeks
Herstel in volgorde van zakelijke prioriteit, niet technisch gemak. Definieer uw niveaus vóór een incident, zodat de volgordebeslissing wordt genomen vanuit een plan in plaats van onder druk.
De drietrapsbenadering
Niveau 1 — Kern bedrijfscontinuïteit: salarisadministratie, klantengerichte diensten, kern-ERP en communicatie. Doel: operationeel binnen 72 uur na het voltooien van de verwijdering.
Niveau 2 — Operationele ondersteuning: secundaire bedrijfsapplicaties, rapportage, analyse en interne tools. Doel: operationeel binnen de eerste week.
Niveau 3 — Niet-kritisch: archieven, ontwikkelomgevingen, testsystemen en weinig gebruikte interne tools. Deze wachten totdat Niveau 2 is bevestigd schoon en stabiel.
Definieer uw handmatige noodprocedures vóór een incident, niet erbij. Papieren of offline werkstromen voor salarisgoedkeuring, klantorderverwerking en financiële autorisatie voorkomen operationele verlamming in de eerste 48 tot 72 uur.
Stap 5: voldoe aan wettelijke meldingsplichten
Meldingsverplichtingen lopen gelijktijdig met herstelwerk, niet erna. Een gemiste meldingsdeadline terwijl u gefocust bent op herstel is een aparte regelgevingsovertreding.
AVG: het 72-uursvenster
Artikel 33 van de AVG vereist dat u uw toezichthoudende autoriteit binnen 72 uur na ontdekking van een datalek in kennis stelt. Bij een ransomware-aanval begint deze klok wanneer uw beveiligingsteam vaststelt dat persoonsgegevens betrokken zijn, niet wanneer versleuteling voor het eerst werd gedetecteerd. Ransomware versleutelt vrijwel altijd persoonsgegevens omdat het willekeurig versleutelt over bestandssystemen.
De melding moet bevatten: de aard van de inbreuk, de categorieën en het geschatte aantal betrokken personen, de waarschijnlijke gevolgen en de maatregelen die zijn genomen of gepland. U hoeft niet te wachten op een volledig onderzoek. Meld binnen 72 uur en werk de melding bij naarmate uw inzicht groeit.
NIS2: 24 uur voor significante incidenten
Op grond van artikel 23 NIS2 moeten essentiële en belangrijke entiteiten binnen 24 uur na ontdekking van een significant incident een vroegtijdige waarschuwing indienen bij hun bevoegde autoriteit. Een ransomware-aanval die uw dienstverlening verstoort, kwalificeert als significant. Een volledige melding volgt binnen 72 uur, en een eindrapport is verschuldigd binnen één maand.
Schakel een advocaat voor gegevensbescherming in aan het begin van de incidentrespons, niet aan het einde. Vroege juridische betrokkenheid geeft u privilege-bescherming voor onderzoeksmaterialen en vermindert het risico op meldingsfouten die een tweede regelgevingsblootstelling creëren.
Stap 6: versterk tijdens het opbouwen
Uw vorige staat had kwetsbaarheden die de aanvaller heeft gevonden en gebruikt. Herbouwen naar dezelfde configuratie geeft de volgende groep identieke omstandigheden om mee te werken.
Terwijl elk systeem opnieuw online komt:
- Forceer MFA op alle geprivilegieerde accounts voordat ze verbinding maken met het netwerk
- Implementeer of verifieer EDR-dekking op elk endpoint voordat het in productie gaat
- Controleer en implementeer Active Directory-tiering: de meeste ransomware beweegt lateraal via te geprivilegieerde domeinaccounts
- Schakel gecentraliseerde auditlogging in voordat een systeem live gegevens verwerkt
- Pas alle uitstaande patches toe voordat het systeem in productie gaat
Uw laatste systeem dat opnieuw online komt, is niet de eindstreep. Een betere beveiligingspositie dan vóór de aanval is dat wel.
Hoe lang duurt herstel?
Sophos State of Ransomware 2024 geeft een gemiddelde hersteltijd van 21 dagen voor volledig herstel van bedrijfsoperaties. Grote enterprise-incidenten gemiddeld 38 dagen. Organisaties met geteste, air-gapped back-ups herstelden gemiddeld in 13 dagen.
Snellere hersteloperaties hadden drie dingen gemeen: een geoefend incidentresponsplan, back-ups die binnen de voorgaande zes maanden waren getest, en een gesegmenteerd netwerk dat beperkte hoever de aanvaller kon bewegen.
Hoe Cyvra helpt
Cyvra ondersteunt ransomware-herstel van initieel onderzoek en forensics tot post-incident versteviging. We werken naast uw interne teams of nemen het voortouw waar capaciteit beperkt is.
- Incidentonderzoek en forensics: identificeer elk getroffen systeem, gecompromitteerd credential en persistentiemechanisme vóór het herstel begint
- Back-upvalidatie: onafhankelijke beoordeling van back-upintegriteit op geïsoleerde infrastructuur voordat uw team erop vertrouwt
- Clean room herbouw: herstel kritieke systemen vanuit gevalideerde images in een geïsoleerde omgeving vóór ze naar productie gaan
- Wettelijke meldingen: stel AVG- en NIS2-meldingen op en dien ze in binnen de vereiste termijnen
- Post-incident versteviging: AD-tiering, MFA-uitrol, EDR-implementatie, logarchitectuur en netwerksegmentatie
- Tabletop-oefeningen: oefen uw respons voordat u die nodig heeft, zodat beslissingen worden genomen vanuit een plan
Neem contact op met onze cyberbeveiligingspraktijk of lees meer over onze compliance- en incidentresponsdiensten.