Ransomware is strikt genomen geen nieuw fenomeen. Alleen hebben cybercriminelen hun methodes verfijnd en komt datagijzeling steeds vaker voor. Vooral omdat het een gouden business is voor de bad guys.
In Nederland is laatst weer een opzienbarend geval van ransomware-infectie opgedoken. Ditmaal waren drie gemeenten in Friesland de dupe. De gijzelingssoftware legde Ooststellingwerf, Weststellingwerf en Opsterland lam. Of eigenlijk: de alerte it-afdeling van de drie gemeenten gelastte alle medewerkers om hun computers per direct uit te schakelen. Deze noodmaatregel diende om te voorkomen dat de binnengedrongen malware nog veel meer data zou gaan versleutelen.
Hoeveel is je data je waard?
Ransomware is namelijk stiekeme software die na binnenkomst de kostbare bestanden van gebruikers vergrendelt. Het binnenkomen gebeurt meestal middels overtuigende phishingmails en het vergrendelen met krachtige encryptie. Zorgvuldig vooraf geselecteerde bestandstypes op pc’s, maar ook netwerkschijven worden zo versleuteld. Wil je data ooit nog terugzien, dan moet je betalen, zo meldt een dreigend pop-upscherm als de gijzeling eenmaal een feit is.
De gijzelnemers gaan sluw te werk: ze eisen betaling in de virtuele valuta Bitcoin die hen anonimiteit biedt. Bovendien is die betaling relatief bescheiden. Terwijl bepaalde bestanden van enorme waarde kunnen zijn, zoals de bedrijfsboekhouding of de administratie van uitgaande facturen, is de losgeldprijs niet onoverkomelijk hoog. Natuurlijk betekent betalen zwichten voor de afpersers. Daarmee wordt hun malafide businessmodel gevalideerd. Aan de andere kant: als er anders kostbare gegevens verloren gaan, kan de schade enorm zijn. Een duivelsdilemma.
Het belang van goede back-up
De drie Friese gemeenten hebben gelukkig dit dilemma niet hoeven op te lossen. Zij hadden een courante back-up die ze na verwijdering van de ransomware konden terugzetten. Naast enkele uren verloren productiviteit zijn alleen de meest actuele bestanden van die ochtend zelf verloren gegaan.
Een bijkomstig voordeel was dat het gedwongen offline zijn leidde tot een analoge opruimactie: de getroffen ambtenaren hadden alle tijd om hun papierverzameling onder handen te nemen. Op die ene dag werd in totaal 650 kilo oud papier afgevoerd, drie keer meer dan wat normaal is in twee weken.
Criminele ondernemers
Niet elke organisatie heeft echter zoveel papier op te ruimen of kan zich enkele uren verlies van productiviteit plus bestanden veroorloven. De rekensom kan schrikbarend uitpakken. De afpersers daarentegen hebben best lage kosten, zeker nu ransomware op zwarte markten ook als dienst wordt aangeboden: ransomware as a service. Een voorbeeld is het inmiddels beruchte Tox, wat door de maker ervan op dit moment als geheel te koop wordt aangeboden. Kant-en-klaar voor de volgende criminele ondernemer. Dus zorg dat je voorbereid bent, bijvoorbeeld met back-ups en betere security, om die bad business de baas te blijven.
Dit euvel werd overigens veroorzaakt door een medewerker dat op een ongure link drukte en daarmee het virus in het lokale netwerk los liet.
Zelfs Kaspersky software kan geen mensen stoppen om op ongure links te klikken.
Mij advies is om nooit te betalen. En als je door geen backup te hebben zwaar in de problemen komt verdien je het ook om failliet te gaan. Ondernemers Darwinisme zullen we maar zeggen.