Gids Cyberbeveiliging Incidentrespons

Ransomware-herstel: systemen herstellen zonder herbesmetting

De meeste organisaties herstellen vanuit back-up voordat is bevestigd dat de dreigingsactor weg is. Het gevolg is herbesmetting binnen 72 uur. Zes stappen scheiden ransomware-inzet van een schone omgeving: breng de compromittering in kaart, valideer back-ups, verwijder de aanvaller, plan het herstel, haal uw meldingsdeadlines en versterk de omgeving voordat u opnieuw verbinding maakt.

Actief ransomware-incident?
Wij starten incidentrespons binnen uren, overal in Europa.
Nu hulp krijgen
Belangrijkste aandachtspunten
  • De meeste organisaties herstellen voordat is bevestigd dat de aanvaller weg is, wat leidt tot herbesmetting binnen 72 uur
  • 40% van de organisaties die losgeld betalen, herstelt niet alle gegevens (Sophos 2024)
  • Ransomware-groepen richten zich actief op back-upinfrastructuur; valideer elke back-up op geïsoleerde hardware
  • Artikel 33 AVG vereist melding aan uw toezichthoudende autoriteit binnen 72 uur na ontdekking van een datalek
  • Gemiddeld herstel duurt 21 dagen; organisaties met geteste, air-gapped back-ups herstellen in 13 dagen

Waarom de meeste hersteloperaties mislukken

Drie mislukkingspatronen zijn verantwoordelijk voor de meeste langdurige ransomware-incidenten.

Het eerste is herstellen vóór het verwijderen van de aanvaller. Het team herstelt vanuit back-up, maakt opnieuw verbinding met het netwerk en herbesmetting treedt op binnen uren. De dreigingsactor is nooit vertrokken. Geplande taken, nieuwe beheerdersaccounts, tools voor toegang op afstand en ingeplante inloggegevens overleven het herstel en stellen de aanvaller in staat opnieuw versleuteling in te zetten.

Het tweede is het betalen van losgeld en dat behandelen als herstelplan. Sophos-onderzoek onder 5.000 organisaties toonde aan dat 40% van degenen die betaalden niet alle gegevens herstelde. Decryptors falen op beschadigde bestanden, retourneren gedeeltelijke sleutels of werken niet op nieuwere versleutelingsvarianten.

De derde mislukking is stiller: herbouwen in dezelfde staat die de aanval mogelijk maakte. Als uw omgeving kwetsbaarheden had, maakt het herstellen vanuit een back-up die kwetsbaarheden opnieuw aan.

Stap 1: bevestig dat de aanvaller weg is

De inzet van ransomware vindt doorgaans weken na de eerste toegang plaats. Mandiant M-Trends 2024 stelt de gemiddelde verblijfstijd op 11 dagen vóór de inzet van versleuteling. In de financiële sector is de gemiddelde verblijfstijd meer dan 45 dagen. Sommige groepen handhaafden meer dan 200 dagen aanhoudende toegang. De versleuteling markeert het einde van de aanval, niet het begin.

Voordat er herstelwerk begint, moet uw incidentresponsteam een volledig beeld hebben: elk getroffen systeem, elk gecompromitteerd credential, elk nieuw account dat tijdens de inbreuk is aangemaakt en elk persistentiemechanisme dat is gevonden en bevestigd verwijderd.

Hoe persistentie eruitziet

Ransomware-onderzoeken brengen regelmatig het volgende aan het licht:

  • Geplande taken die de loader of callback-payload opnieuw uitvoeren
  • Nieuwe lokale beheerdersaccounts aangemaakt tijdens laterale beweging
  • Remote monitoring and management-tools die blijven draaien na eerste toegang
  • Webshells geïmplanteerd op internetgerichte servers
  • Domeingroepsbeleidwijzigingen die aanvallersbevoegdheden handhaven
  • Registerwijzigingen die endpoint-beveiligingstools uitschakelen
  • OAuth-tokens en API-sleutels aangemaakt voor aanhoudende cloudtoegang

Sommige groepen wachten 30 tot 60 dagen na initieel ontdekking om opnieuw in te gaan, gericht op organisaties die hebben hersteld zonder volledige verwijdering.

Stap 2: valideer uw back-ups

Moderne ransomware-families behandelen back-ups als het primaire obstakel voor betaling. Conti, LockBit 3.0 en BlackCat/ALPHV bevatten allemaal modules die Volume Shadow Copies, back-upsoftwarebestanden en netwerktoegankelijke back-upopslagplaatsen proberen te versleutelen of verwijderen. Als uw back-upsysteem bereikbaar was vanuit de geïnfecteerde omgeving, behandel het dan als mogelijk gecompromitteerd.

Het validatieproces

  1. Identificeer de laatste schone back-updatum. Dit is vóór de initiële toegang van de aanvaller, niet vóór de versleuteling.
  2. Monteer de back-up op geïsoleerde hardware zonder netwerkconnectiviteit naar uw productieomgeving of domein.
  3. Voer uw EDR en bijgewerkte AV-tools uit op de gemonteerde back-up.
  4. Voer een testherstel uit van een kritiek systeem op die geïsoleerde hardware en controleer of het correct opstart.
  5. Vertrouw alleen op back-ups die alle vier controles doorstaan.
37%
Sneller herstel voor organisaties met geteste, air-gapped back-ups (Sophos 2024)
13
Gemiddeld herstel in dagen met geteste back-ups, versus 21 dagen zonder

Stap 3: verwijder eerst, herstel daarna

Probeer geïnfecteerde systemen niet schoon te maken. Herbouw ze. Verifiëren dat een systeem volledig schoon is, kost meer moeite dan herbouwen vanuit een bekende, goede image. Wis gecompromitteerde endpoints, servers en domeincontrollers en herbouw vanuit een gevalideerde baseline.

Active Directory verdient bijzondere aandacht. Als domeincontrollers zijn gecompromitteerd, behandelt u elk account met domeinbeheerdersbevoegdheden als gecompromitteerd. Reset alle geprivilegieerde inloggegevens voordat u herstelde systemen verbindt met het domein.

Veelgemaakte fout

Veel teams herbouwen werkstations maar behouden gecompromitteerde domeincontrollers. Een schoon werkstation dat verbinding maakt met een gecompromitteerd domein blijft binnen het bereik van de aanvaller. Volledige verwijdering betekent het domein, niet alleen individuele machines.

Stap 4: plan de herstelreeks

Herstel in volgorde van zakelijke prioriteit, niet technisch gemak. Definieer uw niveaus vóór een incident, zodat de volgordebeslissing wordt genomen vanuit een plan in plaats van onder druk.

De drietrapsbenadering

Niveau 1 — Kern bedrijfscontinuïteit: salarisadministratie, klantengerichte diensten, kern-ERP en communicatie. Doel: operationeel binnen 72 uur na het voltooien van de verwijdering.

Niveau 2 — Operationele ondersteuning: secundaire bedrijfsapplicaties, rapportage, analyse en interne tools. Doel: operationeel binnen de eerste week.

Niveau 3 — Niet-kritisch: archieven, ontwikkelomgevingen, testsystemen en weinig gebruikte interne tools. Deze wachten totdat Niveau 2 is bevestigd schoon en stabiel.

Bedrijfscontinuïteit tijdens herstel

Definieer uw handmatige noodprocedures vóór een incident, niet erbij. Papieren of offline werkstromen voor salarisgoedkeuring, klantorderverwerking en financiële autorisatie voorkomen operationele verlamming in de eerste 48 tot 72 uur.

Stap 5: voldoe aan wettelijke meldingsplichten

Meldingsverplichtingen lopen gelijktijdig met herstelwerk, niet erna. Een gemiste meldingsdeadline terwijl u gefocust bent op herstel is een aparte regelgevingsovertreding.

AVG: het 72-uursvenster

Artikel 33 van de AVG vereist dat u uw toezichthoudende autoriteit binnen 72 uur na ontdekking van een datalek in kennis stelt. Bij een ransomware-aanval begint deze klok wanneer uw beveiligingsteam vaststelt dat persoonsgegevens betrokken zijn, niet wanneer versleuteling voor het eerst werd gedetecteerd. Ransomware versleutelt vrijwel altijd persoonsgegevens omdat het willekeurig versleutelt over bestandssystemen.

De melding moet bevatten: de aard van de inbreuk, de categorieën en het geschatte aantal betrokken personen, de waarschijnlijke gevolgen en de maatregelen die zijn genomen of gepland. U hoeft niet te wachten op een volledig onderzoek. Meld binnen 72 uur en werk de melding bij naarmate uw inzicht groeit.

NIS2: 24 uur voor significante incidenten

Op grond van artikel 23 NIS2 moeten essentiële en belangrijke entiteiten binnen 24 uur na ontdekking van een significant incident een vroegtijdige waarschuwing indienen bij hun bevoegde autoriteit. Een ransomware-aanval die uw dienstverlening verstoort, kwalificeert als significant. Een volledige melding volgt binnen 72 uur, en een eindrapport is verschuldigd binnen één maand.

Juridisch advies

Schakel een advocaat voor gegevensbescherming in aan het begin van de incidentrespons, niet aan het einde. Vroege juridische betrokkenheid geeft u privilege-bescherming voor onderzoeksmaterialen en vermindert het risico op meldingsfouten die een tweede regelgevingsblootstelling creëren.

Stap 6: versterk tijdens het opbouwen

Uw vorige staat had kwetsbaarheden die de aanvaller heeft gevonden en gebruikt. Herbouwen naar dezelfde configuratie geeft de volgende groep identieke omstandigheden om mee te werken.

Terwijl elk systeem opnieuw online komt:

  • Forceer MFA op alle geprivilegieerde accounts voordat ze verbinding maken met het netwerk
  • Implementeer of verifieer EDR-dekking op elk endpoint voordat het in productie gaat
  • Controleer en implementeer Active Directory-tiering: de meeste ransomware beweegt lateraal via te geprivilegieerde domeinaccounts
  • Schakel gecentraliseerde auditlogging in voordat een systeem live gegevens verwerkt
  • Pas alle uitstaande patches toe voordat het systeem in productie gaat

Uw laatste systeem dat opnieuw online komt, is niet de eindstreep. Een betere beveiligingspositie dan vóór de aanval is dat wel.

Hoe lang duurt herstel?

Sophos State of Ransomware 2024 geeft een gemiddelde hersteltijd van 21 dagen voor volledig herstel van bedrijfsoperaties. Grote enterprise-incidenten gemiddeld 38 dagen. Organisaties met geteste, air-gapped back-ups herstelden gemiddeld in 13 dagen.

Snellere hersteloperaties hadden drie dingen gemeen: een geoefend incidentresponsplan, back-ups die binnen de voorgaande zes maanden waren getest, en een gesegmenteerd netwerk dat beperkte hoever de aanvaller kon bewegen.


Hoe Cyvra helpt

Cyvra ondersteunt ransomware-herstel van initieel onderzoek en forensics tot post-incident versteviging. We werken naast uw interne teams of nemen het voortouw waar capaciteit beperkt is.

  • Incidentonderzoek en forensics: identificeer elk getroffen systeem, gecompromitteerd credential en persistentiemechanisme vóór het herstel begint
  • Back-upvalidatie: onafhankelijke beoordeling van back-upintegriteit op geïsoleerde infrastructuur voordat uw team erop vertrouwt
  • Clean room herbouw: herstel kritieke systemen vanuit gevalideerde images in een geïsoleerde omgeving vóór ze naar productie gaan
  • Wettelijke meldingen: stel AVG- en NIS2-meldingen op en dien ze in binnen de vereiste termijnen
  • Post-incident versteviging: AD-tiering, MFA-uitrol, EDR-implementatie, logarchitectuur en netwerksegmentatie
  • Tabletop-oefeningen: oefen uw respons voordat u die nodig heeft, zodat beslissingen worden genomen vanuit een plan

Neem contact op met onze cyberbeveiligingspraktijk of lees meer over onze compliance- en incidentresponsdiensten.

Veelgestelde vragen

Moeten we losgeld betalen om het herstel te versnellen?

Het betalen van losgeld garandeert geen herstel. Sophos-onderzoek toonde aan dat 40% van de organisaties die betaalden niet alle gegevens herstelde. Decryptors werken vaak niet op beschadigde bestanden of geven slechts gedeeltelijke sleutels terug. Betaling is een zakelijke beslissing over kosten en urgentie, geen vervanging voor een herstelproces. Het verwijdert de aanvaller ook niet uit uw omgeving.

Hoe controleren we of onze back-ups zijn gecompromitteerd?

Monteer uw back-up op hardware die geïsoleerd is van uw productienetwerk en domein. Voer actuele EDR- en AV-tools uit op de gemonteerde back-up. Voer een testherstel uit van een kritiek systeem op die geïsoleerde hardware en controleer of het correct opstart en nauwkeurige gegevens retourneert. Uw laatste schone back-up is de meest recente die dateert van vóór de initiële toegang van de aanvaller.

Zijn we verplicht de toezichthouder te melden na een ransomware-aanval?

Ja, in de meeste gevallen. Onder artikel 33 AVG, als persoonsgegevens betrokken waren, moet u uw toezichthoudende autoriteit binnen 72 uur informeren. Ransomware versleutelt vrijwel altijd persoonsgegevens. Onder artikel 23 NIS2 moeten essentiële en belangrijke entiteiten hun bevoegde autoriteit binnen 24 uur informeren. Het missen van deze deadlines is zelf een aparte regelgevingsovertreding.

Wat is een clean room-herstel?

Een clean room-herstel herstelt en test kritieke systemen in een volledig geïsoleerde omgeving voordat ze worden verbonden met uw productienetwerk. U gebruikt hardware of een cloudomgeving zonder connectiviteit naar uw bestaande infrastructuur, monteert gevalideerde back-ups, herbouwt vanuit schone images en verifieert elk systeem voordat het in productie gaat.

Neem contact op met Cyvra

Bereid u voor vóór een incident, niet erbij

We helpen u een herstelklare omgeving te bouwen: gevalideerde back-uparchitectuur, geteste incidentresponsplannen en de verstevigingsmaatregelen die de straal van een aanval beperken.

Disclaimer: Dit artikel is uitsluitend bedoeld voor algemene informatiedoeleinden en vormt geen juridisch, regelgevend of professioneel advies. Cyvra geeft geen garantie voor de juistheid of volledigheid van deze inhoud. Lezers dienen onafhankelijk advies in te winnen dat geschikt is voor hun specifieke omstandigheden.