Gids Cyberbeveiliging

Ransomware: wat te doen voor, tijdens en na een aanval

Ransomware kwam vorig jaar voor bij 88% van de MKB-inbreuken. De gemiddelde vraag naar losgeld bedraagt ​​nu meer dan £100.000, voordat de herstelkosten worden meegerekend. Deze gids behandelt wat ransomware met uw bedrijf doet, de maatregelen die schade voorkomen of beperken, en de exacte stappen die u moet nemen wanneer een aanval begint.

CT
Cyvra-team
Cyberbeveiliging
27 mei 2026
8 minuten lezen
Belangrijkste afhaalrestaurants
  • Moderne ransomware exfiltreert gegevens voordat deze worden gecodeerd, dus back-ups alleen kunnen het risico op afpersing niet uitsluiten
  • Onveranderlijke, air-gapped back-ups die elk kwartaal worden getest, zijn de meest effectieve herstelcontrole
  • Isoleer getroffen systemen binnen enkele minuten na detectie, maar bewaar forensisch bewijsmateriaal voordat u het wist
  • GDPR Artikel 33 vereist kennisgeving aan de regelgevende instanties binnen 72 uur na ontdekking van een inbreuk op persoonlijke gegevens
  • Het betalen van losgeld zonder professionele onderhandelingen en juridisch advies brengt financiële, juridische en reputatierisico's met zich mee
  • De meeste succesvolle aanvallen maken gebruik van ongepatchte software, zwakke RDP-inloggegevens of phishing, allemaal te voorkomen

Wat ransomware doet

Ransomware is schadelijke software die bestanden op geïnfecteerde systemen versleutelt en betaling vraagt, meestal in cryptocurrency, voor de decoderingssleutel. Die ene zin onderschat hoe destructief een moderne aanval is. De tijdlijn vanaf de eerste toegang tot volledige encryptie binnen een bedrijfsnetwerk kan minder dan vier uur bedragen. Tegen de tijd dat het losgeldbriefje op het scherm verschijnt, is de aanvaller vaak al dagen of weken in de omgeving aanwezig.

De meeste professionele ransomwaregroepen hanteren nu een dubbel afpersingsmodel. Voordat de aanvaller iets versleutelt, exfiltreert hij een kopie van gevoelige bestanden: klantgegevens, financiële gegevens, persoonlijke gegevens van werknemers, intellectueel eigendom, patiëntendossiers in het geval van zorgverleners. De eis om losgeld omvat vervolgens zowel decodering als een belofte om de gestolen gegevens niet te publiceren op de openbare leksite van de groep. Dit betekent dat het herstellen vanaf een back-up de operationele crisis oplost, maar de dreiging niet wegneemt. De gegevens zijn al in vijandige handen.

De aanval begint doorgaans lang vóór de versleuteling. Bedreigingsactoren krijgen initiële toegang via phishing-e-mails, misbruik van ongepatchte software voor externe toegang (Remote Desktop Protocol dat wordt blootgesteld aan internet is een altijd gebruikelijk toegangspunt), gecompromitteerde VPN-referenties gekocht bij initiële toegangsmakelaars, of drive-by-exploitatie van een kwetsbare browser of plug-in. Eenmaal binnen brengt de aanvaller tijd door in de verkennings- en escalatiefase van bevoegdheden: het in kaart brengen van het netwerk, het identificeren van back-upsystemen, het ontdekken van de inloggegevens van de domeinbeheerder en ervoor zorgen dat ze een zo groot mogelijk deel van de omgeving kunnen bereiken voordat de coderingspayload wordt geactiveerd. Back-upsystemen zijn een primair doelwit tijdens deze fase. Aanvallers die back-ups verwijderen of beschadigen voordat ze bestanden coderen, vergroten hun invloed dramatisch.

88%
van de MKB-inbreuken in 2025 betrof een ransomware-component
£ 100k+
gemiddelde initiële vraag naar losgeld, vóór herstelkosten
21 dagen
gemiddelde verblijftijd van een aanvaller in het netwerk voordat de codering wordt geactiveerd

Drie sectoren worden geconfronteerd met onevenredige doelwitten: de gezondheidszorg, de financiële dienstverlening en de horeca. Zorgorganisaties bewaren hoogwaardige persoonlijke gegevens onder strikte wettelijke verplichtingen en worden geconfronteerd met enorme operationele druk om systemen snel te herstellen, waardoor ze waarschijnlijk zullen moeten betalen. Financiële instellingen bewaren fondsen en gevoelige klantgegevens. Horecabedrijven verwerken grote hoeveelheden kaartbetalingsgegevens en gebruiken vaak oudere kassasystemen met slecht patchbeheer. Alle drie de sectoren opereren doorgaans ook op meerdere locaties met gedistribueerde netwerken, waardoor aanvallers meer ruimte krijgen om zich eenmaal binnen te verplaatsen.

Vóór een aanval: de verdediging die er toe doet

Preventie gaat niet over het elimineren van alle risico's. Geen enkele technische controle doet dat. Bij preventie gaat het erom dat u van uw organisatie een moeilijker doelwit maakt dan de volgende, en dat u ervoor zorgt dat wanneer een aanvaller toch binnendringt, de schade beperkt blijft in plaats van catastrofaal.

Onveranderlijke, geteste back-ups

De allerbelangrijkste ransomware-controle is een back-up die een aanvaller niet kan verwijderen of versleutelen. Onveranderlijke back-ups maken gebruik van eenmalige opslag, hetzij via objectopslagservices die objectvergrendelingsbeleid afdwingen (AWS S3 Object Lock, Azure Immutable Blob Storage) of via speciale apparaten met onveranderlijke opslagfirmware. De back-up moet ook air-gapped zijn, wat betekent dat deze niet bereikbaar is vanaf uw productienetwerk. Een back-up die is opgeslagen op een netwerkshare waartoe uw domeinbeheerders toegang hebben, is een back-up die de aanvaller kan bereiken.

Testen is niet onderhandelbaar. Een niet-geteste back-up is een hypothese. Voer minimaal elk kwartaal hersteloefeningen uit voor kritieke systemen en minimaal jaarlijks voor de volledige omgeving. Documenteer de hersteltijd voor elk kritiek systeem en vergelijk deze met uw werkelijke bedrijfstolerantie voor downtime. De meeste bedrijven zijn van mening dat het verschil tussen de veronderstelde hersteltijd en de geteste hersteltijd wordt gemeten in dagen en niet in uren.

Patchbeheer volgens een gedefinieerd schema

Het merendeel van de ransomware-aanvallen maakt gebruik van bekende kwetsbaarheden met gepubliceerde patches. De aanvaller heeft geen zero-day nodig. Ze hebben een CVE van zes maanden geleden nodig die door uw patchcyclus nog niet is behandeld. Stel een patchcyclus op met gedefinieerde tijdlijnen op basis van ernst: kritieke patches worden binnen 48 uur na vrijgave aangebracht, hoge ernst binnen 7 dagen, gemiddeld binnen 30 dagen. Diensten voor externe toegang (VPN-gateways, RDP, Citrix, Exchange) garanderen de kortste tijdlijnen omdat ze direct worden blootgesteld aan internet en actief worden gescand door ransomware-exploitanten binnen enkele uren na de openbaarmaking van een kwetsbaarheid.

Multi-factor authenticatie voor elke extern gerichte service

Gecompromitteerde inloggegevens zijn na phishing het meest voorkomende toegangspunt voor ransomware. Dwing MFA af op elke service die zonder uitzondering via internet bereikbaar is: VPN, Remote Desktop Gateway, Microsoft 365, Google Workspace, toegang tot cloudconsoles en elke webtoepassing die gebruikers authenticeert. Gebruik waar mogelijk phishing-bestendige MFA, met name FIDO2/WebAuthn-hardwaresleutels of wachtwoordsleutels, in plaats van op sms gebaseerde eenmalige wachtwoorden, die kunnen worden onderschept via SIM-swapping of realtime phishing-proxy's. Voor een uitgebreide handleiding voor de implementatie van MFA, zie onze MFA-gids.

Netwerksegmentatie

Een plat netwerk, waarbij elk systeem met elk ander systeem kan communiceren, betekent dat één enkel aangetast werkstation uw back-upservers, domeincontrollers en financiële systemen zonder beperkingen kan bereiken. Segmenteer uw netwerk zodat productiesystemen, back-upinfrastructuur, gast-Wi-Fi en operationele technologie in afzonderlijke zones bestaan, met firewallregels die bepalen wat met wat kan communiceren. Plaats back-upsystemen in ieder geval in een netwerksegment dat geen enkel standaardgebruikerswerkstation kan bereiken, en beperk de toegang tot domeincontrollers tot benoemde beheerhosts.

Eindpuntdetectie en -reactie

Antivirushandtekeningen vangen bekende malware op. Endpoint Detection and Response (EDR)-platforms, waaronder CrowdStrike Falcon, Microsoft Defender for Endpoint en SentinelOne, detecteren gedragspatronen die verband houden met de uitvoering van ransomware: massale bestandsversleuteling, het verwijderen van schaduwkopieën via vssadmin, laterale verplaatsing met behulp van PsExec en het dumpen van inloggegevens via LSASS-toegang. EDR geeft uw beveiligingsteam inzicht en, in sommige configuraties, geautomatiseerde insluiting van gecompromitteerde hosts voordat de versleuteling zich verspreidt. Het platform is slechts zo effectief als het team dat het monitort.

Een schriftelijk, getest incidentresponsplan

Wanneer een aanval begint, heeft je team minuten om beslissingen te nemen. Een plan dat alleen in iemands hoofd bestaat, is geen plan. Documenteer isolatieprocedures voor elk systeemtype, beslissingscriteria voor het escaleren naar leiderschap, contactnummers voor uw incidentresponshouder en cyberverzekeraar, en communicatiesjablonen voor klanten en toezichthouders. Bewaar een kopie offline, omdat ransomware vaak netwerkshares en in de cloud gesynchroniseerde documenten versleutelt.

Wat de meeste bedrijven fout doen

Betalen zonder professionele begeleiding. Bedrijven die losgeld betalen zonder gespecialiseerde onderhandelaars en juridisch adviseurs in te schakelen, betalen vaak het volledige gevraagde bedrag, ontvangen een kapotte of gedeeltelijke decoderingssleutel en worden geconfronteerd met toezicht van de toezichthouder omdat ze mogelijk een gesanctioneerde betaling doen. Sommige ransomwaregroepen zijn onderworpen aan sancties, wat betekent dat betaling door een Brits of EU-bedrijf op zichzelf een wettelijke overtreding kan zijn.

Het ontdekken van back-ups was gecompromitteerd. De meest voorkomende fout bij de reactie op ransomware is de ontdekking dat back-ups ook zijn gecodeerd of verwijderd omdat ze zich op een netwerkshare bevonden die bereikbaar was vanaf geïnfecteerde systemen. Test uw back-ups voordat u ze nodig heeft.

Geen gedocumenteerd reactieplan. Organisaties zonder een schriftelijk incidentresponsplan doen er gemiddeld 15 dagen langer over om een ​​ransomware-incident onder controle te krijgen dan organisaties die er wel één hebben. Het plan hoeft niet lang te zijn. Het moet specifiek en toegankelijk zijn.

Tijdens een aanval: de eerste 24 tot 48 uur

Snelheid is belangrijk. Elke minuut netwerkconnectiviteit na ontdekking geeft de aanvaller meer tijd om zich te verspreiden, meer gegevens te exfiltreren en meer systemen te versleutelen. Het doel in het eerste uur is om de explosieradius te verkleinen, niet om te onderzoeken.

Isoleer de getroffen systemen onmiddellijk

Koppel geïnfecteerde systemen los van het netwerk door hun netwerkinterfaces uit te schakelen. Schakel ze niet uit. Uitgeschakelde systemen kunnen coderingssleutels in het geheugen hebben die forensische tools kunnen herstellen, en het uitschakelen vernietigt bewijsmateriaal. Schakel netwerkinterfaces uit via het besturingssysteem of, als het systeem niet reageert, koppelt u fysiek de ethernetkabel los of schakelt u de netwerkswitchpoort uit. Voor draadloos verbonden apparaten schakelt u de draadloze adapter uit of verwijdert u het apparaat uit de verbonden clientlijst van het draadloze toegangspunt.

Als u het initiële toegangspunt identificeert, zoals een gecompromitteerd VPN-account of een blootgestelde RDP-service, schakel dit dan onmiddellijk uit. Wijzig de inloggegevens voor elk account dat mogelijk is gehackt, te beginnen met domeinbeheerdersaccounts, serviceaccounts met brede machtigingen en accounts die zijn gekoppeld aan bekende phishing-doelen.

Betaal niet meteen

Het losgeldbriefje creëert urgentie door het ontwerp. Aanvallers stellen afteltimers in en dreigen gegevens te publiceren of de vraag te vergroten. Het inschakelen van een gespecialiseerde ransomware-onderhandelaar voordat een betalingsbeslissing wordt genomen, koopt tijd en verlaagt het betaalde bedrag in gevallen waarin betaling toch noodzakelijk wordt. Raadpleeg vóór elke betaling een juridisch adviseur over de naleving van de sancties, controleer of uw cyberverzekeringspolis goedkeuring van de verzekeraar vereist vóór betaling, en controleer of de decoderingssleutel die na betaling wordt verstrekt voor soortgelijke aanvallen door deze groep betrouwbare resultaten heeft opgeleverd.

Bewaar forensisch bewijsmateriaal

Voordat u systemen wist en opnieuw opbouwt, moet u forensische beelden van getroffen hosts vastleggen. Verzamel Windows-gebeurtenislogboeken, PowerShell-geschiedenis, browsergeschiedenis en eventuele verdachte bestanden die tijdens het eerste onderzoek zijn geïdentificeerd. Bewaar firewalllogboeken en netwerkstroomgegevens uit de periode die de vermoedelijke verblijftijd bestrijkt. Dit bewijsmateriaal is nodig voor het regelgevend onderzoek dat volgt op elke inbreuk op persoonlijke gegevens, voor verzekeringsclaims en voor de forensische analyse na het incident die vaststelt hoe de aanvaller binnenkwam en of hij nog enige volharding handhaaft.

Informeer relevante partijen

Breng uw cyberverzekeraar binnen de in uw polis aangegeven termijn op de hoogte. Veel polissen vereisen een melding binnen 24 tot 72 uur na ontdekking; Als u niet binnen het vereiste tijdsbestek op de hoogte bent gesteld, kan de dekking ongeldig worden. Neem contact op met uw incidentresponshouder als u die heeft; Als u dat niet doet, schakel dan onmiddellijk een specialist in, in plaats van te proberen een grootschalig incident alleen met interne middelen te beheren.

Als het om persoonlijke gegevens gaat, start dan de 72-uurs notificatieklok van de toezichthouder. Op grond van artikel 33 van GDPR moet u uw toezichthoudende autoriteit binnen 72 uur nadat u zich bewust bent geworden van een inbreuk in verband met persoonsgegevens op de hoogte stellen, tenzij het onwaarschijnlijk is dat de inbreuk tot risico's voor individuen zal leiden. Een ransomware-aanval die persoonlijke gegevens versleutelt of exfiltreert, voldoet vrijwel altijd aan de meldingsdrempel. In Nederland dient u dit te melden bij de Autoriteit Persoonsgegevens. In Groot-Brittannië dient u de ICO op de hoogte te stellen. Voor de eerste melding heeft u geen volledige informatie nodig; de verordening accepteert een eerste rapport en verdere details volgen.

72u
GDPR deadline om uw toezichthoudende autoriteit op de hoogte te stellen na het ontdekken van een inbreuk op persoonlijke gegevens
40%
van de bedrijven die losgeld betalen, wordt binnen twaalf maanden geconfronteerd met een tweede aanval
15 dagen
langere inperkingstijd voor organisaties zonder een schriftelijk incidentresponsplan

Communiceer intern zorgvuldig

Beperk informatie over het incident tot degenen die deze nodig hebben. Voortijdige of onnauwkeurige communicatie met het personeel kan leiden tot verdere vernietiging van bewijsmateriaal (werknemers zetten systemen uit), juridische blootstelling en medialekken. Bereid een korte feitelijke verklaring voor voor het personeel, waarin wordt beschreven wat zij wel en niet mogen doen. Zorg ervoor dat IT-personeel geen details bespreekt over platforms die mogelijk worden gemonitord of gecompromitteerd.

Na een aanval: herstel, forensisch onderzoek en lessen

Insluiting maakt een einde aan de onmiddellijke crisis. Herstel- en post-incidentwerk bepalen of de aanval zich herhaalt.

Volledig forensisch onderzoek vóór de wederopbouw

Als u systemen opnieuw opbouwt voordat het forensische onderzoek is voltooid, bestaat het risico dat u opnieuw wordt geïnfecteerd. Aanvallers zorgen vaak voor persistentie via mechanismen die standaard reimaging overleven: geplande taken die een beroep doen op de command-and-control-infrastructuur, gecompromitteerde inloggegevens die worden hergebruikt op herbouwde systemen, of supply chain-implantaties in software-updates. Het forensisch onderzoek moet de initiële toegangsvector identificeren, de volledige reikwijdte van de systemen waartoe toegang wordt verkregen, de omvang van de data-exfiltratie, eventuele persistentiemechanismen die achterblijven en de accounts die tijdens de laterale verplaatsing zijn gecompromitteerd. Alle gecompromitteerde inloggegevens moeten opnieuw worden ingesteld, niet alleen de inloggegevens die zichtbaar zijn gebruikt tijdens de aanval.

Gefaseerd herstel vanaf schone back-ups

Herstel systemen in prioriteitsvolgorde op basis van bedrijfskritiek, niet op snelheid van herstel. Controleer of elk hersteld systeem schoon is voordat u het opnieuw aansluit op het productienetwerk. Voer uw EDR-platform uit en bekijk de telemetrie ervan op elke herstelde host voordat u deze online brengt. Als back-ups ook in gevaar zijn gebracht, wordt u geconfronteerd met een langer herstelproces vanaf het begin. Documenteer de herbouwprocedures voor elk kritiek systeem vooraf als onderdeel van uw bedrijfscontinuïteitsplanning, zodat het herbouwproces dat onder druk staat niet afhankelijk is van het institutionele geheugen van één enkel teamlid.

Regelgevende kennisgevingsverplichtingen

GDPR Artikel 33 kennisgeving aan de toezichthoudende autoriteit binnen 72 uur heeft betrekking op de initiële melding. De daaropvolgende verplichtingen zijn afhankelijk van welke gegevens zijn benaderd. Artikel 34 vereist directe kennisgeving aan getroffen personen wanneer de inbreuk waarschijnlijk tot een hoog risico voor hen zal leiden, bijvoorbeeld als gezondheidsdossiers, financiële rekeninggegevens of overheidsidentificatienummers worden geëxfiltreerd. Sectorspecifieke verplichtingen bovenop GDPR: gezondheidszorgorganisaties in Nederland worden geconfronteerd met aanvullende NEN 7510-vereisten, financiële instellingen gereguleerd door De Nederlandsche Bank of de FCA worden geconfronteerd met hun eigen tijdlijnen voor het melden van incidenten, en onder PCI DSS vallende entiteiten moeten hun overnemende bank en betalingsmerk binnen gespecificeerde tijdsbestekken op de hoogte stellen na een bevestigde inbreuk op de gegevens van de kaarthouder.

Beoordeling na incidenten

Voer binnen twee weken na de inperking een gestructureerde beoordeling uit na het incident, terwijl de details nog duidelijk zijn. De beoordeling moet de initiële toegangsvector en de controlefout die dit mogelijk maakte identificeren, de verblijftijd en waarom de detectie niet eerder plaatsvond, of het incidentresponsplan presteerde zoals verwacht en waar het faalde, en welke specifieke veranderingen herhaling zullen voorkomen. Wijs elke herstelactie toe aan een genoemde eigenaar met een deadline. Frame bevindingen niet als individuele fouten: ransomware-incidenten weerspiegelen bijna altijd een combinatie van technische, proces- en resourcefactoren. De beoordeling levert een geprioriteerde herstellijst op, geen schuldtoewijzing.

Elke post-mortem van ransomware brengt ontbrekende controles en lacunes in de dekking aan het licht. Het werk na herstel bestaat uit het identificeren van deze hiaten en het dichten ervan vóór de volgende poging.

Beoordeling van cyberverzekeringen

Controleer uw cyberverzekeringspolis na het incident. Het beleid verschilt aanzienlijk wat betreft de dekking ervan: sommige hebben betrekking op losgeldbetalingen, sommige hebben betrekking op de kosten van forensisch onderzoek, sommige hebben betrekking op boetes van toezichthouders, en de meeste sluiten dekking uit voor incidenten die het gevolg zijn van het niet handhaven van basiscontroles (ongepatchte systemen, ontbrekende MFA). Krijg inzicht in wat uw polis daadwerkelijk dekt en aan welke verplichtingen u moet voldoen om voor claims in aanmerking te blijven komen. Gebruik de periode na het incident om te verifiëren dat uw dekkingslimieten de werkelijke kosten van een volledig herstel weerspiegelen, en niet de kosten die u had ingeschat voordat u er een kreeg.

Wat de meeste bedrijven fout doen

Bepaalde fouten komen consistent voor bij ransomware-incidenten bij het MKB en gereguleerde bedrijven. Het begrijpen ervan vóór een aanval maakt het verschil tussen een ingeperkt incident en een catastrofaal incident.

Back-ups opgeslagen op netwerkshares. Een back-up die is opgeslagen op een gedeelde schijf die toegankelijk is voor domeingebruikers, is een back-up die door de ransomware wordt gecodeerd. De back-up moet onveranderlijk zijn, waarbij schrijfbeveiliging wordt afgedwongen op de opslaglaag, en niet alleen door toegangscontroles die een gecompromitteerd domeinbeheerdersaccount kan omzeilen.

Back-ups nooit getest. Het voltooien van back-uptaken zonder fouten betekent niet dat gegevens kunnen worden hersteld. Beschadigde back-ups, onvolledige taken en gewijzigde systeemconfiguraties veroorzaken regelmatig herstelfouten, precies op het moment dat ze het meest nodig zijn. Test het herstel van individuele bestanden maandelijks, test het herstel van een volledige server elk kwartaal.

RDP staat open voor internet. Remote Desktop Protocol op TCP-poort 3389 dat rechtstreeks aan internet is blootgesteld, wordt voortdurend gescand en aangevallen. Als personeel externe toegang nodig heeft, moet u van hen eisen dat ze verbinding maken via een VPN met MFA voordat ze de RDP-sessie bereiken. Er bestaat geen operationele rechtvaardiging om het POP rechtstreeks aan de kaak te stellen.

Geen segmentatie tussen IT en OT. Productie-, gezondheidszorg- en horecabedrijven met operationele technologie, waaronder gebouwbeheersystemen, medische apparatuur en point-of-sale-systemen, verbinden deze vaak zonder segmentatie met het hoofd-IT-netwerk. Ransomware die OT-systemen bereikt, kan fysieke activiteiten uitschakelen in plaats van alleen datasystemen, en OT-herstel wordt gemeten in weken in plaats van dagen.

Betalen zonder decoderingsgarantie. Decoderingssleutels die na betaling worden verstrekt, zorgen vaak voor beschadigd of onvolledig herstel, vooral bij grote bestandensets. Sommige groepen verdwijnen na betaling zonder sleutel. Schakel een gespecialiseerde onderhandelaar in die de reputatie van de groep op het gebied van het honoreren van betalingen kan verifiëren voordat een transactie wordt goedgekeurd.

Geen gedocumenteerd escalatiepad. Wanneer de aanval op zaterdag om 02.00 uur begint, wat niet ongebruikelijk is omdat aanvallers de encryptie timen voor perioden met een lage dekking, moet de IT-manager van wacht weten wie wakker moet worden, wie de bevoegdheid heeft om kritieke systemen offline te halen en waar het verzekeringspolisnummer is. Die informatie moet aanwezig zijn in een gedrukt document op een fysieke locatie, en niet alleen in een bestand op het netwerk dat momenteel gecodeerd is.

Voor bedrijven in gereguleerde sectoren geldt de Autoriteit Persoonsgegevens publiceert richtlijnen over de meldingsplicht van inbreuken. De NCSC Nederland houdt via het No More Ransom-project een ransomware-dreigingsanalyse bij en een openbaar register van bekende decoderingstools voor bepaalde ransomware-varianten.

Veelgestelde vragen

Moeten wij het losgeld betalen?

Wetshandhavingsinstanties, waaronder Europol, het NCSC en de FBI, raden af ​​om te betalen. Betalingen bevorderen criminele activiteiten, garanderen geen decodering en markeren uw organisatie als bereid te betalen, wat vervolgaanvallen kan veroorzaken. Ongeveer 40% van de bedrijven die betalen, krijgt binnen twaalf maanden te maken met een tweede aanval, vaak van dezelfde groep. Decoderingssleutels die na betaling worden verstrekt, zorgen vaak voor beschadigd of onvolledig bestandsherstel. Als u over schone, geteste back-ups beschikt, is betaling zelden nodig. Als u geen werkbare back-ups heeft, schakel dan een incidentresponsspecialist in voordat u een beslissing neemt: gespecialiseerde onderhandelaars kunnen soms de gevraagde bedragen verlagen, en wetshandhavingsinstanties publiceren af ​​en toe decoderingssleutels voor bekende ransomwarevarianten via het No More Ransom-project.

Wanneer verplicht GDPR ons om de toezichthouder op de hoogte te stellen na een ransomware-aanval?

Op grond van artikel 33 van GDPR moet u uw leidende toezichthoudende autoriteit binnen 72 uur nadat u zich bewust bent geworden van een inbreuk in verband met persoonsgegevens op de hoogte stellen, tenzij het onwaarschijnlijk is dat de inbreuk tot risico's voor individuen zal leiden. Een ransomware-aanval die persoonlijke gegevens versleutelt of exfiltreert, voldoet vrijwel altijd aan de meldingsdrempel. In Nederland betekent dit het melden bij de Autoriteit Persoonsgegevens. In Groot-Brittannië betekent dit dat de ICO op de hoogte moet worden gesteld. Start de 72-uursklok vanaf het moment dat u bevestigt dat het incident persoonlijke gegevens betreft. Artikel 34 vereist bovendien directe kennisgeving aan getroffen personen wanneer de inbreuk waarschijnlijk een hoog risico voor hen met zich meebrengt, bijvoorbeeld als gezondheidsdossiers of financiële rekeninggegevens worden geëxfiltreerd. Regelgevende onderzoeken naar ransomware-inbreuken onderzoeken doorgaans of er adequate technische en organisatorische maatregelen zijn genomen en of de deadline van 72 uur is gehaald.

Hoe lang duurt het herstel na een ransomware-aanval?

De hersteltijd is sterk afhankelijk van de voorbereiding. Organisaties met actuele, geteste, onveranderlijke back-ups en een gedocumenteerd incidentresponsplan kunnen kritieke systemen binnen 24 tot 72 uur herstellen en binnen één tot twee weken volledig operationeel herstel bereiken. Organisaties zonder geteste back-ups, of waarvan de back-ups ook zijn gecodeerd, zijn routinematig vier tot acht weken bezig met het opnieuw opbouwen van hun back-ups. Het forensische onderzoek dat nodig is om te bevestigen dat de aanvaller volledig is uitgezet, voegt nog meer tijd toe: het opnieuw opbouwen van systemen zonder het forensisch onderzoek te voltooien, riskeert herinfectie als de aanvaller volhardt door middel van geplande taken, gecompromitteerde inloggegevens of een achterdeur die vóór de versleutelingsgebeurtenis is geïnstalleerd. Grote organisaties die getroffen zijn door enterprise-ransomwaregroepen hebben hersteltijden van drie tot zes maanden gerapporteerd, wanneer alle factoren worden meegerekend.

Wat is dubbele afpersing-ransomware?

Dubbele afpersing is het standaardmodel voor de meeste professionele ransomwaregroepen. Voordat de bestanden worden gecodeerd, exfiltreert de aanvaller een kopie van gevoelige gegevens, meestal zakelijke financiële gegevens, klantgegevens, intellectueel eigendom of persoonlijke gegevens van werknemers. De eis om losgeld omvat vervolgens zowel decodering als een belofte om de gestolen gegevens niet te publiceren op de leksite van de groep. Dit betekent dat zelfs organisaties met perfecte back-ups te maken krijgen met een tweede bedreiging: de blootstelling van vertrouwelijke gegevens. Sommige groepen hebben dit uitgebreid tot drievoudige afpersing en dreigen ook klanten, toezichthouders of perscontacten rechtstreeks op de hoogte te stellen, tenzij ze worden betaald. Controles ter voorkoming van gegevensverlies, netwerksegmentatie en monitoring van grote uitgaande gegevensoverdrachten blijven essentieel, zelfs als de back-upstrategie sterk is.

Wat moet er in een responsplan voor ransomware-incidenten staan?

Een werkbaar plan heeft het volgende nodig: benoemde rollen met contactnummers buiten kantooruren, omdat aanvallers niet wachten op kantooruren; isolatieprocedures voor elke systeemklasse die kunnen worden uitgevoerd zonder toegang te krijgen tot gecompromitteerde eindpunten; criteria voor het melden van een groot incident en het escaleren naar het leiderschap; een lijst met kritieke systemen in volgorde van prioriteit voor herstel; contactgegevens van uw incidentresponshouder, juridisch adviseur, cyberverzekeringsaanbieder en relevante toezichthouders; en communicatiesjablonen voor klanten, personeel en pers. Het plan moet offline bestaan. Ransomware versleutelt vaak netwerkshares en in de cloud gesynchroniseerde documenten, zodat een responsplan dat alleen in SharePoint is opgeslagen of een toegewezen netwerkstation niet toegankelijk is wanneer u dit het meest nodig heeft. Test het plan minstens één keer per jaar met een tabletop-oefening waarbij de belangrijkste belanghebbenden door een gesimuleerd aanvalsscenario worden geleid.

Praat met Cyvra

Bouw uw ransomware-verdediging op voordat u deze nodig heeft

We helpen bedrijven in Nederland en Groot-Brittannië de veerkracht van back-ups te beoordelen, responsplannen voor incidenten te testen en de gaten te dichten waar aanvallers het vaakst misbruik van maken.

Neem contact op Cyberbeveiligingsdiensten

Vrijwaring: Dit artikel is uitsluitend bedoeld voor algemene informatiedoeleinden en vormt geen juridisch, regelgevend of professioneel advies. Cyvra geeft geen garantie met betrekking tot de juistheid of volledigheid van deze inhoud, die mogelijk niet de meest recente ontwikkelingen op regelgevingsgebied weerspiegelt. Lezers moeten onafhankelijk juridisch en regelgevend advies inwinnen dat geschikt is voor hun specifieke omstandigheden. Cyvra aanvaardt geen aansprakelijkheid voor enig verlies dat voortvloeit uit het vertrouwen op deze inhoud.