Het voorkomen en genezen van ransomware

Het kan iedereen overkomen, je wordt door ransomware getroffen waardoor bedrijfsgegevens alleen tegen betaling aan criminelen terug te halen zijn. Ransomware is schadelijke software, ofwel malware, die bestanden, computers of zelfs hele netwerken versleutelen of blokkeren. Het CBS heeft onderzocht dat bijna de helft van de Nederlandse bedrijven jaarlijks slachtoffer is van cybercrime. In deze blog vertellen wij, aan de hand van een klantcase, wat je kunt doen tegen ransomware en wat je moet doen als je toch de dupe bent van een aanval.

Wat zijn redenen en type ransomware?

Voor criminelen is de belangrijkste reden om (veel) geld verdienen. Ze gebruiken verschillende varianten van ransomware: Cryptomalware, Lockers, Scareware, Doxware en Ransomware as a Service (RaaS). De schadelijke software wordt op een slinkse manier aangeboden zodat jij niet weet of denkt dat het om ransomware gaat. Zo wordt er gebruik gemaakt van social engineering, Malvertising, exploitkits of drive-by downloads.

Social engineering

Social engineering is een mooi woord voor trucs om mensen te laten klikken op een valse bijlage of koppeling. Deze kunnen verstopt zitten in een nepbericht van een bedrijf met een goede reputatie.

Malvertising

Malvertising maakt gebruik van hetzelfde principe, alleen dan via advertentieruimte op bekende websites.

Exploitkits

Exploitkits is een stukje code die zwakke plekken in verouderde software opspoort en uitbuit.

Drive-by downloads

Drive-by downloads gebeurt op verouderde browsers of apps, hier wordt op de achtergrond malware gedownload terwijl er een onschuldig lijkende website of app bezocht wordt.

Klantcase

Na het pinksterweekend kwam een partij, inmiddels een klant, naar ons toe. Ze waren getroffen door ransomware en wilden beslist geen losgeld betalen, ‘zo houd je het alleen maar in stand’ zeiden ze. Wij hebben ze geïnterviewd over de aanval, hoe het waarschijnlijk is gebeurd, de keuze om niet te betalen en de oplossing in samenwerking met ons.

'betaal niet! Door te betalen houd je dit criminele circuit alleen maar in stand.'

Help! Wij zijn getroffen door ransomware

Maandagochtend kwam de klant erachter dat ze waren getroffen door ransomware. De criminelen hadden een goed moment uitgekozen om de aanval in te zetten, vrijdagmiddag rond een uur of 6. Zo hadden zij heel het weekend de tijd om zo veel mogelijk data te verzamelen en te versleutelen. Het was hen zelfs gelukt om een deel van de back-up te versleutelen. In ruil voor een bitcoin, toen nog een stuk meer waard dan nu, kon de klant het terugkrijgen.

De klant vermoedt dat de ransomware is binnengekomen via social engineering, het downloaden van een bijlage uit een mail. Hiervoor is waarschijnlijk een heel proces voorafgegaan om zo vakkundig en onopvallend mogelijk werknemers te manipuleren, het kan echt iedereen overkomen. Doordat criminelen meerdere keren bellen & mailen, en doen alsof ze een betrouwbare partij zijn, wordt nieuwsgierigheid & vertrouwen opgewekt. Dit maakt het uiteindelijk makkelijker om te zorgen dat de malware het bedrijf binnenkomt.

De impact van een ransomware aanval

De eerste paar dagen lagen de werkzaamheden van het bedrijf volledig stil, er werd meteen actie ondernomen om het zoveel mogelijk te herstellen. Gelukkig was er een groot deel van de back-up nog wel beschikbaar en kon dit teruggezet worden. Dit was de eerste stap terug naar de dagelijkse bedrijvigheid. De directeur, die DirectVPS nog kende van vroeger, schakelde ons in om te helpen alles weer op de rit te krijgen. Daarnaast had de klant de vraag om te migreren naar de cloud, dit waren zij al langer van plan en kon nu goed gecombineerd worden. Wij hebben er alles aan gedaan om zo veel mogelijk terug te halen waarna we alle systemen opnieuw, in de cloud, hebben ingericht. De klant is ongeveer 2 maanden ontregeld geweest maar de wens om naar de cloud te verhuizen is wel meteen in een stroomversnelling gekomen. ‘DirectVPS was vanaf het begin af aan kundig en gedreven om ons te helpen een goede oplossing te vinden. Wij hadden dagelijks contact en alles werd stap voor stap op een duidelijke manier uitgelegd met goede onderbouwing voor elke keuze.’

De geleerde lessen

‘Wat wij mee willen geven is dat het iedereen kan overkomen: de vraag is niet of, maar wanneer. Wees voorbereid op ransomware, tref vooraf maatregelen, wees altijd alert en als laatst: betaal niet! Door te betalen houd je dit criminele circuit alleen maar in stand. Neem bij twijfel altijd contact op met partijen als DirectVPS met veel kennis en ervaring die ervoor zorgen dat jij met vertrouwen IT-oplossingen kunt gebruiken.’

Back-up strategie

Zorg voor een goede en veilige back-up strategie. Dit kan veel ellende voorkomen wanneer je wordt getroffen door malware.

Voorlichting

De oplettendheid bij kleine dingen als het openen van mails, delen van WiFi, etc. kan een enorme impact hebben op het voorkomen van een ransomware aanval.

Wees alert

Een ongeluk zit in een klein hoekje, zo ook de kans om getroffen te worden door ransomware. Blijf altijd opletten. Zie je iets verdachts? Check de bron, haal collega's of externe hulp erbij of verwijder het direct zonder te openen.

Door vooraf goede maatregelen te treffen kunnen veel catastrofes worden voorkomen. Beveilig jouw IT-systeem tegen ransomware. Ook getroffen of hulp nodig met het voorkomen hiervan? Neem contact met ons op!

Klantcase: Hoe Scope scholengroep technische oplossingen inzet om verstoring in online lessen te voorkomen

De Scope scholengroep begon bij de eerste lockdown periode, tijdens de Covid-19 pandemie, met online lesgeven via de video conferencing tool Jitsi. De keuze voor DirectVPS was vlot gemaakt in de zoektocht naar een aanbieder die kan garanderen dat de data van de leerlingen binnen Nederland zou blijven. Maar al snel bedachten zij ook dat enkele pubers de lessen zullen verstoren zolang zij anoniem deelnemen... In deze blog leggen we uit hoe wij samen met IT-er Martijn een veilige Jitsi omgeving hebben gemaakt.

Het bouwen van een Jitsi cluster

Martijn bouwde zelf een Jitsi cluster bij ons, op meerdere VPS-en. Dankzij de clustersetup (met onder andere meerdere bridges) was hij in staat om snel te schalen mocht het drukker worden. De volgende stap werd een veilige en eenvoudige authenticatie methode. Daarop begon Martijn met het opzetten van een LDAP-koppeling tussen de VPS-en en de actieve directory op school. Daar heeft tenslotte elke leerling een eigen account om op schoolcomputers in te kunnen loggen.

De verbinding met het schoolnetwerk

Omdat de LDAP-server intern staat wilde de school dat het authenticatieproces tussen de Jitsi server en de Active Directory op school over een beveiligde VPN-verbinding ging, zodat er geen inloggegevens afgetapt zouden kunnen worden. Om dit te bereiken schakelde Martijn onze hulp in. De VPN-cliënt op de VPS had een kernel module voor de VPN-verbinding nodig die niet in de standaard cloudkernelversie bleek te zitten. Na enig speurwerk bleek de benodigde module wel in de standaard kernel van de distributie zelf te zitten. Wij hebben de andere kernel geïnstalleerd en voilà; de VPN-verbinding was online. De LDAP-koppeling kon nu veilig gebruikt worden.

Vanaf dat moment konden alle leerlingen en docenten bij Jitsi inloggen met hun gebruikersaccount zoals ze die ook op school gebruiken. Elke leerling kon nu eenvoudig uit de klas gehaald worden. Sindsdien gedragen zij zich voorbeeldig.

De verschillende mogelijkheden op onze infrastructuur

Steeds vaker verschijnen er nieuwsberichten over het 'onveilig' gebruiken van de cloud op scholen en universiteiten, recentelijk schreven security.nl en het FD erover. Veiligheid en soevereiniteit van data zijn bij ons prioriteit nummer 1. Wij leveren de infrastructuur en hebben jarenlange ervaring op het gebied van cloud toepassingen.

Online klaslokaal

Zoals hierboven beschreven is het erg belangrijk om de infrastructuur van een online klaslokaal goed en veilig in te richten, voor zowel interne als externe oponthoud. Neem contact op met onze engineers voor alle mogelijkheden.

Online samenwerken

Online samenwerken is niet meer weg te denken uit de dagelijkse werkzaamheden. DirectVPS biedt infrastructuur voor verschillende, 100% veilige oplossingen, van Jitsi tot kopano.

Online opslag

Bij samenwerken op afstand hoort ook online opslag die vanaf verschillende plekken te benaderen is. Ook hier hebben wij verschillende mogelijkheden, van het bekende onedrive tot nextcloud.

Neem contact met ons op en we helpen je graag op weg.

Het belang van een back-up

Iedereen heeft het wel eens meegemaakt: je hebt een paar uur aan een document gewerkt maar de volgende dag kan je de laatste wijzigingen niet meer terugvinden. Of je hebt als programmeur op een productieomgeving live de code aangepast en komt erachter dat je aanpassing niet werkt, maar je weet niet meer precies wat je gewijzigd had. Het kost je veel tijd om je document te herschrijven of je configuratiebestand te herstellen. Daarnaast kan jouw bedrijf worden getroffen door ransomware, gijzelsoftware die de gegevens versleutelt. Een back-up voorkomt dat belangrijke gegevens op een server verloren gaan door een kopie te maken van de data. In deze blog behandelen wij tips om dataverlies te voorkomen en beschrijven wij verschillende strategieën om een goede back-up te maken van jouw systeem.

Voorkom dataverlies

Voorkomen is beter dan genezen, daarom hier een aantal tips om dataverlies te voorkomen.

Update regelmatig je besturingssysteem
Voor zowel Windows, Apple als Linux besturingssystemen worden regelmatig belangrijke updates uitgebracht waarin kwetsbaarheden worden verholpen. Heb je een server bij ons, dan kan je met de UpdateS add-on geautomatiseerd door ons wekelijks je systeem laten bijwerken. Is er een kritieke patch die direct moet worden uitgevoerd, dan voeren wij deze voor je uit. De UpdateS add-on is inbegrepen bij een SLA.

Gebruik goede beveiligingssoftware
Up-to-date antivirus/antimalwaresoftware helpt in het voorkomen van een ransomware- of virusbesmetting. Scan met regelmaat zowel Windows, Apple als Linux systemen om een besmetting voor te blijven. Installeer een firewall om binnendringers buiten de deur te houden en eventuele verdere verspreiding te voorkomen.
Laat je niet foppen, vetrouw je gezonde verstand
Lees zorgvuldig en bewust je berichten. Via sms, whatsapp & e-mails sturen cybercriminelen berichten om jou te verleiden gegevens af te staan, ook wel phishing genoemd. Mal- of ransomware komt vaak via een phishing of spam aanval binnen. Monitor je eigen e-mailadressen via bijvoorbeeld haveibeenpowned.com. Mochten je gegevens in een data lek terechtgekomen zijn, wijzig dan direct je wachtwoorden om te voorkomen dat net dat ene wachtwoord de sleutel is voor cybercriminelen om bij je binnen te dringen.

Wat is dan een goede back-up strategie? Een paar tips op een rijtje

Gebruik je een VPS, activeer dan de Diskback-up add-on in het control panel. Hiermee verleng je de retentie van de standaard snapshots. Na 48 uur houden we nog 30 dagen een volledige back-up voor je achter. Je kunt hiermee verder terug in de tijd en dus sneller herstellen van een ransomware aanval. Vergeet niet om achteraf je beveiligingsbeleid zorgvuldig onder de loop te nemen, anders zijn ze zo opnieuw binnen.

Voorkom dat lokaal opgeslagen back-ups versleuteld worden en sla je back-ups offsite op. Met een FTP Back-upaccount of Windows back-upaccount kan je de data opslaan in een andere omgeving, in ons andere datacenter.

Test regelmatig of je back-ups volledig en compleet zijn. Maak eens een handmatige back-up of draai een gemaakte back-up eens terug en controleer of hetgeen je in je back-ups verwacht er wel is.

Hulp nodig bij het uitwerken van een goede back-up strategie? Onze engineers hebben ruime ervaring met de verschillende mogelijkheden. Neem vrijblijvend contact op voor een passend advies.

Cookie	Duration	Description
adOtr	session	Used in order to detect spam and improve the website's security. Does not store visitor specific data.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
PRLST	session	Used in order to detect spam and improve the website's security. Does not store visitor specific data.
sbtsck	1 day	Used in order to detect spam and improve the website's security. Does not store visitor specific data.
sp_lit	5 minutes	Used in order to detect spam and improve the website's security. Does not store visitor specific data.
spcsrf	2 hours	This cookie is used for ensuring the security of the website and visitors. This cookie ensures visitor browsing security by preventing cross-site request forgery.
SPSE	session	Used in order to detect spam and improve the website's security. Does not store visitor specific data.
UTGv2	5 months 27 days	Used in order to detect spam and improve the website's security. Does not store visitor specific data.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
XSRF-TOKEN	1 day	This cookie is set by Wix and is used for security purposes.

Cookie	Duration	Description
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_pk_id.1.b4b0	1 year 27 days	Matomo website analytics.
_pk_ses.1.b4b0	30 minutes	Matomo website analytics.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
prism_225628673	1 month	ActiveCampaign marketing tracker
SPSI	session	This cookie is used for setting a unique ID for the session and it collects user behaviour on the website during the session. This collected information is used for statistical purposes.

Cookie	Duration	Description
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.