Zijn backups uw beste bescherming tegen ransomware? - ProteQtor IT Security B.V.

Zijn backups uw beste bescherming tegen ransomware?

Je hoort het vaak: de enige remedie tegen een ransomwarebesmetting is het maken van goede back-ups. Dat het hebben van back-ups niet meteen voldoende is, bewees de beruchte hack van de universiteit van Maastricht. Hierbij werden ook de back-upservers van de onderwijsinstelling gegijzeld. Hierdoor zag de directie geen andere optie dan het losgeld te betalen. Volgens ingewijden ligt dit bedrag tussen de 200.000 en 300.000 euro.

More...

​Hoe ​werkt Clop ransomware?

Om ​te weten te komen hoe dit heeft kunnen gebeuren, is het eerst belangrijk om te weten hoe de Clop ransomware werkt.

Het slachtoffer start de ransomware meestal door op een phishinglinkje te klikken. Het eerste wat de Clopmalware doet, is het controleren van de toetsenbordinstellingen. Op het moment dat deze is ingesteld op de Russische of Azerbeidzjaanse taal, sluit de ransomware ogenblikkelijk af. Waarschijnlijk komen de hackers dus uit Rusland, en om de kans op vervolging van de Russische autoriteiten zo klein mogelijk te maken, infecteren ze geen slachtoffers uit dit land.

Daarna schakelt de malware antivirusoplossingen uit en verwijdert deze Windows shadow copies (een technologie in Windows die zorgt dat er automatisch eerdere versies van bestanden gebackupt worden).

Hierna begint het echte werk. Clop begint met het versleutelen van alle bestanden van de computer én alle gedeelde netwerkbestanden, vastgekoppelde schijven, usb sticks en meer. Hier is het waarschijnlijk misgegaan voor de UM. Waarschijnlijk was de back-up apparatuur bereikbaar via het netwerk en zo dus te versleutelen.

Hoe kunnen u en de Universiteit Maastricht wél juiste back-ups maken?

Het is altijd aan te raden om een offsite back-up te maken. Dit is een handmatige back-up, die opgeslagen is op een andere locatie dan waar de IT systemen zijn. Deze is niet te bereiken via het netwerk en dus niet te versleutelen. Ook blijft de bedrijfscontinuïteit gewaarborgd als er bijvoorbeeld een brand uitbreekt op de bedrijfslocatie.

In de IT hanteert men de 3-2-1 regel: voor alle (belangrijke) bestanden heb je drie verschillende versies, twee opslagmedia, en één offsite backup. Een voorbeeld. Je werkt aan een Word document. Je slaat het bestand automatisch op de harde schijf op, een online back-up systeem zoals Acronis maakt daar weer een back-up van. Aan het eind van de dag kopieer je het document naar de off site backup. Zo heb je drie versies (harde schijf, online back-up systeem en off-site backup), twee opslagmedia (harde schijf en het datacenter van de online back-up dienst) en natuurlijk één offsite back-up.

De uitdaging van deze strategie zijn de kosten en het onderhoud. Of je nou informatie opslaat op een harde schijf, online back-up diensten of off-site, elke gigabyte brengt kosten met zich mee die niet kunnen worden terugverdiend. Ook is het, met name als een organisatie groter is, een taak om de informatie goed te houden. Zo moet er elke dag informatie naar de off-site back-up geschreven worden en moeten ict-beheerders periodiek controleren of de informatie niet corrupt is geraakt. Het is waarschijnlijk aan een van deze problemen te wijten dat de UM geen goede back-up heeft gemaakt.

Vertrouw niet alleen op backups

Dit alles geeft aan dat het niet handig is om alleen op backups te vertrouwen. Het wordt duidelijk dat voorkomen beter is dan genezen. Een combinatie van endpoint protection (SentinelOne), e-mail security (Proofpoint) en cybersecurity awareness trainingen (Proofpoint) helpt je een heel stuk met het voorkomen van ransomwareinfecties. SentinelOne zorgt bij een geslaagde ransomware-aanval direct voor een isolatie van de ransonwarevirus en een roll-back naar de situatie vóór de aanval. SentinelOne biedt zelfs - tegen een meerbedrag - ransomware garantie aan. (Lees hier meer: https://www.sentinelone.com/legal/ransomware-warranty/). Neem ook een kijkje bij de Acronis. Deze dienst maakt automatisch online back-ups aan.

Erwin Kuipers