Ransomware-aanvallen lijken weer de kop op te steken. Is het een goed idee om losgeld te betalen als je slachtoffer bent van een ransomware-aanval? Wat gebeurt er als je niet betaalt en wat als je wel betaalt? Het advies van de overheid is daarentegen duidelijk: betaal geen losgeld.
Uiteraard zijn er zowel juridische als ethische aspecten die meespelen, afhankelijk van de organisatie en het land waarin deze opereert. Maar buiten dergelijke algemene aspecten zijn het vooral de risico’s voor systemen en/of data die door de cybercriminelen zijn buitgemaakt die het zwaarst meetellen. De druk om snel te moeten kiezen tussen het vermijden van een lange periode van downtime of om niet een enorme som losgeld te betalen is enorm.
Geen garantie op een goede afloop
De keuze om tot de betaling van het losgeld over te gaan, om zo de decryptiesleutel te krijgen en de bestanden en systemen te kunnen herstellen, wordt over het algemeen sneller gekozen wanneer de aanval grote gevolgen heeft voor medewerkers, klanten en/of aandeelhouders. De aanval melden bij politie en justitie is in ieder geval een ‘must’.
Helaas bestaat er ook de mogelijkheid dat de cybercriminelen hun afspraken niet nakomen, nadat het losgeld is betaald. Dan ben je niet alleen het losgeld, maar ook de gestolen data kwijt. Het is belangrijk om hier rekening mee te houden bij het maken van een keuze tussen wel of niet betalen.
In sommige gevallen blijken de cybercriminelen achteraf helemaal geen sleutel te hebben voor de decryptie van de bestanden. En soms geven ze simpelweg geen antwoord meer na de betaling. Dat zag je tijdens de uitbraak van WannaCry. Daar werd vaak geen sleutel, of de verkeerde sleutel gegeven na het betalen van het losgeld.
Andere afwegingen zijn uiteraard de mogelijke reputatieschade en het risico op nog meer aanvallen. Wordt je reputatie beschadigd als je betaalt, of juist als je niet betaalt? En als je wel betaalt, is dat dan een uitnodiging voor andere criminelen? En wat is de kans dat hun succes deze criminelen aanmoedigt om hetzelfde te doen bij andere organisaties?
Wat gebeurt er als je betaalt (of niet)?
Als je ervoor kiest om niet te betalen, verandert er niet veel aan de situatie: de bestanden blijven versleuteld en de gegevens en systemen ontoegankelijk. Afhankelijk van de infectie bestaat er soms een kleine kans dat een decryptiesleutel al verkrijgbaar is.
Sommige ransomware is slecht geschreven en slecht uitgevoerd, waardoor het goed mogelijk is dat er minder verloren is gegaan dan in eerste instantie wordt gedacht. Het ‘NoMoreRansomware’ Project is een voorbeeld van organisaties die zijn ontstaan om slachtoffers te helpen hun gegevens te herstellen en ransomware te bestrijden.
Het slechte nieuws is dat er in veel gevallen weinig gedaan kan worden om de bestanden na een besmetting te redden als er geen goede back-ups aanwezig zijn. Daarom is het goed om te inventariseren waar mogelijke back-ups en andere herstelopties beschikbaar zijn.
De meeste onzekerheid zit in het betalen van het losgeld
Als je niet betaalt, dan ben je alles sowieso kwijt. Wat er daarna gebeurt heb je zelf in de hand. Diezelfde zekerheid heb je niet bij de keuze om te betalen. De cybercriminelen hebben controle over de situatie, totdat de ‘juiste’ decryptiesleutel is overhandigd. Daarom is het verstandig een ervaren adviseur in te schakelen voordat je een volgende stap neemt.
Het overgrote gedeelte van het losgeld wordt met bitcoin betaald, wat traceerbaar is. De (internationale) politie kan de betalingen traceren. Ondanks de agressieve taal van cybercriminelen, zijn ze soms best bereid om te onderhandelen als ze denken dat het hun kansen op een uitbetaling vergroot. Strategieën als het onderhandelen over ‘proof of life’ waarbij een deel van de omgeving als bewijs wordt ontsleuteld voordat het losgeld wordt betaald of een tweede helft pas uitbetalen na decryptie, kunnen soms goed werken. Maar niet altijd.
Endpoint bescherming: voorkomen is beter dan genezen
Ben je slachtoffer van ransomware geweest, of wil je dat graag voorkomen, dan is het verstandig om te onderzoeken waar de aanval vandaan is gekomen en welke andere zwakke punten aanwezig zijn in de huidige beveiligingsinfrastructuur.
Daarnaast is het belangrijk om te investeren in een complete cybersecurityoplossing die toekomstige ransomware aanvallen zowel kan blokkeren en terugdraaien. (En daarbij kan helpen een einde te maken aan deze criminele activiteiten!)
Houd rekening met de volgende risico’s.
- Slechts gedeeltelijk herstel of geen herstel van data en systemen;
- Geen herstel na betaling losgeld door onvolledige decryptiesleutel;
- Onzichtbare backdoor toegang die de aanvallers achterlaten;
- Aanvallen die in meerdere tranches komen.
Het is belangrijk dat je up-to-date kennis hebt over hoe deze cybercriminelen te werk gaan om data en systemen te beschermen tegen ransomware. Bij SentinelOne begrijpen we welke impact ransomware op de organisatie kan hebben en daarom kunnen we zelfs garanderen dat onze beveiligingsoplossing zowel bekende als onbekende ransomware activiteiten kan blokkeren en endpoints kan herstellen zonder back-ups of langdurige installaties.
Dit artikel is gesponsord door SentinelOne.