Zo ontdek je een ransomware-aanval voor het te laat is

Elke dag krijgen verzekeraars een goede 100 claims binnen over ransomware-aanvallen. Bij de gemiddelde aanval duurt het 60 tot 120 dagen vanaf de eerste beveiligingsinbreuk om de daadwerkelijke ransomware te installeren. Dat betekent dat honderden bedrijven nu al verborgen hackers in hun netwerken hebben die zich klaarmaken hun versleutelende malware te activeren. 

De versleuteling van bestanden door ransomware is de laatste stap in het proces van de aanval. Daarvoor zijn hackers wekenlang (of langer) bezig met het onderzoeken van het netwerk om kwetsbaarheden te ontdekken. Het hele proces kan lang duren. Dat komt deels doordat hackers minder makkelijk zijn om te detecteren als ze langzaam veranderingen aanbrengen in het systeem. 

Door hackers in het systeem tijdig te detecteren en aan te pakken, kunnen berdrijven ergere gevolgen van een ransomware-aanval voorkomen worden. Het is daarom belangrijk om te weten hoe je een ransomware aanval kunt detecteren, voordat de aanval al te veel schade oplevert. Ook is het handig om te weten wat je kunt doen om een dergelijke aanval tegen te houden. 

Signalen van ransomware-aanvallen

Wanneer er onverwachte softwaretools verschijnen in het netwerk kan dat een waarschuwing zijn dat er hackers aanwezig zijn. Hackers gebruiken vaak scanners zoals AngryIP of Advanced Port Scanner. Als je deze vindt in je netwerk, is het tijd om het beveiligingsteam erbij te halen. Dat is een van de eerste tekenen van een ransomware aanval. Ook de tool MimiKatz duidt erop dat er hackers in het systeem zitten. Hackers gebruiken deze tool vaak voor het stelen van logingegevens. 

Zodra een hackers toegang heeft tot een netwerk, probeert hij of zij vaak om het bereik te vergroten door beheerdersaccounts voor zichzelf te maken. Hiervoor gebruiken ze tools als Process Hacker, IOBit Uninstaller, GMER en PC Hunter. Hoewel dit legitieme tools zijn, zouden ze niet zomaar moeten verschijnen.

Hoe houd je hackers tegen?

Wanneer uit een van bovenstaande signalen blijkt dat er hackers aanwezig zijn in het netwerk, is het zaak om snel actie te ondernemen. Het belangrijkste om te doen is controle krijgen over de RDP-sessies. Dat houdt de toegang van aanvallers tegen. 

Een andere stap die je kunt nemen zodra er hackers in een systeem zitten, is het afdwingen van een wachtwoordverandering voor kernsystemen. Het is daarnaast belangrijk om na te gaan of er onverwachte beheerderaccounts verschijnen. Ook moeten bedrijven overwegen om het gebruik van PowerShell te monitoren of beperken. 

Verklein de kans op een ransomware aanval

Eén van de populairste wegen die criminelen nemen om bedrijfsnetwerken binnen te dringen is het Remote Desktop Protocol (RDP). Om te voorkomen dat hackers via deze weg toegang krijgen tot het netwerk, kunnen bedrijven tweefactorauthenticatie aanzetten voor RDP-links. 

Om minder aantrekkelijk te zijn voor ransomware is het belangrijk om software altijd up-to-date te houden. Veel ransomware-aanvallen richten zich op fouten in software. Veel van deze fouten zijn echter allang opgelost door softwarebedrijven in de nieuwste beveiligingsupdate. 

Door personeel te trainen niet op phishing links in e-mails te klikken, verklein je de kans op ransomware aanvallen via e-mail. Ook wordt de kans op aanvallen verkleind door sterke wachtwoorden te combineren met tweefactorauthenticatie in zoveel mogelijk systemen.