Bestuurlijk advies: backup tegen cryptoware

Vergelijkbare documenten
1 Ransomware Preventie Slachtoffer van ransomware?... 8

RANSOMWARE. Informatiefolder voor melders

Bewustwording Ransomware Virussen

Samenvatting. Aanleiding, vraagstelling en scope

Drie digitale bedreigingen, drie oplossingen

Criminaliteit op internet: Ransomware

INSTRUCT Samenvatting Basis Digiveiligheid, H5 SAMENVATTING HOOFDSTUK 5

1. Uw computer beveiligen

Kwaadaardige software blokkeert PC s van eindgebruikers en lijkt afkomstig van Ecops, FCCU of een andere buitenlandse politiedienst

SurfRight. Veelgestelde vragen. HitmanPro.Kickstart Veelgestelde vragen Page 1

1. Uw computer beveiligen

1. Uw tablet beveiligen

Let op! In dit PDF-bestand wordt voor de voorbeelden gebruikgemaakt van de Instant Messaging-software Windows Live Messenger.

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

0.1 Opzet Marijn van Schoote 4 januari 2016

Agenda. De Cyberwereld. - Cybercrime en Cyber Security - Veilig Zakelijk Internetten. Allianz Cyber

ALLES WAT U MOET WETEN OVER. HUPRA s CLOUDWERKPLEK. Werken waar en wanneer u maar wilt!

Kenmerken Nomadesk Software

Systeembeveiliging inschakelen in Windows 10 ( Heel belangrijk! )

Gerust aan het werk MET ALLE INFORMATIE OVER ONZE CLOUD WERKPLEK.

Almi in de handen van een hacker!!! READ THIS IMPORTANT!!!

DE 5 VERBETERPUNTEN VAN UW SECURITY

Microsoft Office 365 voor bedrijven. Remcoh legt uit

INTRODUCTIE

Over Vest Pioniers in informatiebeveiliging

Computerveiligheid. Welkom

Digitale Veiligheid Presentatie: Naam

3. Programma s opruimen Programma s deïnstalleren Opstartprogramma s uitschakelen... 65

Prijslijst Algemeen. Reparaties. Installaties. Voorrijkosten binnen gemeente Bedum: 5,- Voorrijkosten buiten gemeente Bedum: 20,-

ZAKELIJK HANDBOEK RANSOMWARE ALLES WAT JE MOET WETEN OM JE BEDRIJF DRAAIENDE TE HOUDEN

Cybersecuritybeeld Nederland

DIGITALE VEILIGHEIDSCHECK MKB

Back-up Online van KPN Handleiding Mac OS X 10.6 en hoger. Mac OS X Client built

Wees veilig & beveiligd

Bedrijfszekerheid. Altijd in bedrijf ACHTER ELK SUCCES SCHUILT EEN GOED COMPUTERPLAN

Inhoudsopgave Voorwoord 5 Nieuwsbrief 5 Introductie Visual Steps 6 Wat heeft u nodig? 6 Uw voorkennis 6 Hoe werkt u met dit boek?

Taakklasse 3 ALAb Corné Tintel MB13B Ingeleverd op

mydesktop Anywhere Deze mydesktop Anyhwere oplossing biedt een aantal voordelen:

Terminal Services. Document: Terminal Services T.b.v. relatie: Isaeus Auteur: Martin Waltmans Versie: 2.3 Datum: KB nummer:

Inhoudsopgave Voorwoord 9 Nieuwsbrief 9 Introductie Visual Steps 10 Wat heeft u nodig 11 De website bij het boek 11 Hoe werkt u met dit boek?

Wat te doen tegen ransomware

Bijlage 2: Communicatie beveiligingsincidenten

Cybersecurity in het MKB

Uw gebruiksaanwijzing. SILVERCREST MD-20

Cloud2 Online Backup - CrashplanPRO

Macrium Reflect Free. Mirror Back-up:

Brede Coalitie ter verstoring van Tech Support Scams in Nederland

Factsheet Backup on demand

Cybersecurity awareness en skills in Nederland. Cybersecurity awareness en skills in Nederland (2016)

Installatie Remote Backup

Bewustwording en awareness TIPS EN HANDVATTEN OM HET RISICO OP EEN DATALEK TE VERKLEINEN

Thema-ochtend veiligheid op de pc

Windows Defender. In dit hoofdstuk leert u:

lyondellbasell.com Cyber Safety

2. Installatie Welp op een PC met internet verbinding

VEILIG INTERNET 5 HET PERSPECTIEF PCVO

Cybersecurity: hoe goed is jouw bedrijf beschermd? Inzicht is de sleutel tot de oplossing

Werkplekbeveiliging in de praktijk

Gebruik tweefactorauthenticatie

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers

DigiNotar certificaten

Werken zonder zorgen met uw ICT bij u op locatie

In deze handleiding wordt u uitgelegd hoe u uw oude database van Klankie kunt overzetten naar de nieuwe versie van Klankie.

Kurzweil 3000 op Windows 7

Web Handleiding. semper vigilant Fall 2014 LOCALBOX 1.1.3

Arrix Automatisering Heideanjer PG DRACHTEN Tel. (0512)

Gebruikershandleiding

Automatische online en lokale backup en recovery van bedrijfsdata

Roy Fijma Project 13 Friesland College Leeuwarden

DUPLICATI (Bestand back-up)

ESET Anti-Ransomware Setup

DATA ERASURE & RISK MANAGEMENT. Infradax Fortranweg 8, 3821 BK Amersfoort, the Netherlands + 31 (0)

Beveiligingsbeleid. Online platform Perflectie

ICT Beveiliging DO s en DON Ts

FerdiWeb Back-up. Installatie FerdiWeb Back-up

Transcriptie:

Bestuurlijk advies: backup tegen cryptoware Opgesteld door: Politie, Landelijke Eenheid, Dienst landelijke Recherche, Team High Tech Crime & het Nationaal Cyber Security Centrum Driebergen, januari 2014 Ontvanger / afdeling / functie (nader in de vullen) info@ncsc.nl

1. Inleiding Het team High Tech Crime van de Nationale Politie geeft bestuurlijke adviezen af wanneer vanuit haar opsporingsactiviteiten zicht wordt verkregen op een een vorm van criminaliteit die om een bestuurlijke of private interventie vraagt. Het doel van een dergelijk advies is om deze vorm van criminaliteit en door de Politie gesignaleerde knelpunten bij de bestrijding ervan onder de aandacht te brengen. Met een bestuurlijk advies wordt de betrokken instantie of branche daarnaast zoveel mogelijk geadviseerd om bepaalde maatregelen te nemen. Ransomware; inmiddels een bekend probleem Het Team High Tech Crime doet al enkele jaren onderzoek naar ransomware. Dit is malware (kwaadaardige software) waarmee de computer van een slachtoffer ontoegankelijk wordt gemaakt. De computer toont een melding dat deze alleen zal worden ontgrendeld als het slachtoffer geld betaalt. Naar schatting 5% van alle slachtoffers betaalt, al leidt dit zelden tot ontgrendeling. Door de malware te verwijderen is de computer wel weer toegankelijk te maken. Deze vorm van cybercrime loont en het aantal criminele organisaties dat zich hiermee bezighoudt stijgt. Tegelijkertijd groeit het maatschappelijk bewustzijn dat men niet moet betalen, maar de computer dient te desinfecteren. In opkomst: Cryptoware Uit zowel open bronnen als uit binnen- en buitenlandse politie- informatie blijkt nu de opkomst van een andere variant: cryptoware 1. Hier is het doel van de gijzeling niet de computer zelf, maar de bestanden op de computer. Het kan gaan om bestanden in alle formaten op de harde schijf van de computer, maar ook een virtual (cloud) disk, externe harde schijf en usb- sticks kunnen tijdens een besmetting worden vergrendeld. Ook (gedeelde) bestanden die zijn opgeslagen in bedrijfsnetwerken kunnen worden versleuteld. Het bereik van de versleuteling hangt af van de privileges van de werknemer in het netwerk. De versleuteling is, in tegenstelling tot die van de meeste ransomware, onomkeerbaar. De encryptie is van een dusdanige kwaliteit dat kraken geen optie is. Soms leidt betaling daadwerkelijk tot ontsleuteling van één of meer gegijzelde bestanden. Dit fenomeen werd tot nu toe nog niet vaak aangetroffen. Inmiddels neemt het aantal slachtoffers wereldwijd toe. De Nederlandse politie heeft al enkele aangiftes ontvangen van particulieren en bedrijven. 1 Zie bijvoorbeeld http://nakedsecurity.sophos.com/2013/10/18/cryptolocker- ransomware- see- how- it- works- learn- about- prevention- cleanup- and- recovery/

2. Doel Door middel van deze bestuurlijke rapportage waarschuwt de politie voor cryptoware. Wij adviseren burgers, overheidsdiensten en bedrijven om alle mogelijke voorzorgmaatregelen te nemen om besmetting te voorkomen en, indien deze toch plaatsvindt, hiervan te kunnen herstellen. De politie waarschuwt in het bijzonder MKB- bedrijven en lagere overheden, die het meest aantrekkelijke doelwit lijken te zijn. De versleuteling van bestanden is een onomkeerbaar proces. Antivirussoftware kan de malware wel van de computer verwijderen, maar de bestanden niet terug brengen; de versleuteling is niet te doorbreken. Het zeer regelmatig maken van complete backups is de enig bekende tegenmaatregel. 3. Knelpunten Businessmodel Wanneer een computer besmet is met cryptoware en de bestanden versleuteld zijn, zijn deze niet te ontsleutelen door iemand anders dan de dader. De versleuteling is onomkeerbaar. Na tijdige betaling worden de bestanden soms ontgrendeld. Daders dreigen echter ook om de ontsleutelcodes binnen enkele dagen weg te gooien. Hierna is ontgrendeling niet meer mogelijk. De meeste slachtoffers zijn financieel wel in staat om de betaling te voldoen en betalen soms dan ook. De doelgroep maakt zichzelf voor de toekomst aantrekkelijker door het criminele businessmodel succesvol te maken. Besmetting Een computer kan op diverse manieren besmet raken. De meest voorkomende wijze van besmetting verloopt via besmette hyperlinks of attachments in spammail. Slachtoffers die deze mails openen besmetten op deze manier ongewild hun eigen computer. Een andere manier is gebruikers omleiden naar een gehackte website, advertentie of pop- up. De gehackte pagina zoekt vervolgens naar zwakheden in de sofware van het slachtoffer. Hier merkt de gebruiker in eerste instantie niets van. Veelgebruikte zwakheden zitten in Java, Flash en PDF. Tot slot wordt gebruik gemaakt van botnets 2. Dit betekent dat cryptoware verspreid wordt via de malware die zich reeds op de computer van het slachtoffer bevindt. Grenze(n)loos Achter een besmetting met cryptoware kunnen diverse criminele organisaties schuilgaan afkomstig uit verschillende landen. Daders hebben veelal online contact en aanvallen kunnen op afstand uitgevoerd worden. Dit maakt het opsporen van de daders lastig voor (Nederlandse) opsporingsdiensten. Dit maakt preventie des te belangrijker. Doelwitten Alle computergebruikers, particulieren of organisaties, kunnen besmet worden met cryptoware. Met name het Windows- besturingssysteem is een doelwit, al is niet uit te sluiten dat andere besturingssystemen in de nabije toekomst hier ook mee te maken krijgen. Aanvallen die in het buitenland zijn waargenomen zijn vooral gericht op het midden- en kleinbedrijf. Deze bedrijven beschikken over voldoende financiën, hebben toegang tot hun bestanden nodig om hun bedrijfsprocessen op gang te houden en willen imagoschade voorkomen. Het grootste verschil met grote organisaties is dat het MKB minder geld kan besteden aan beveiliging. Ze beschikken niet altijd over ICT- beheer, een backupbeleid of autorisatiebeheer. Hierdoor vormen ze een aantrekkelijk doelwit. 2 http://nakedsecurity.sophos.com/2013/10/18/cryptolocker- ransomware- see- how- it- works- learn- about- prevention- cleanup- and- recovery/

Andere mogelijke doelwitten zijn lagere overheden zoals gemeenten. Organisaties met een goed beveiligde ICT- omgeving, waaronder de vitale sectoren, lopen minder risico op besmetting. De gevolgen van een besmetting met cryptoware kunnen wel veel groter zijn. Hoe komt cryptoware op een computer? Bijlagen en links in spam zijn belangrijke aanvalsvectoren. Veel gebruikers downloaden en installeren zelf hun malware. De gebruiker denkt bijvoorbeeld een PDF bestand te openen maar dit blijkt in werkelijkheid het virus te zijn. In de meeste gevallen krijgt de gebruiker een waarschuwing, maar deze wordt door gebruikers vaak weg geklikt. Het gebeurt ook dat websites, of hun advertentienetwerken, worden gehackt waardoor een betrouwbaar ogende site toch bezoekers besmet met malware. Een computer kan al ook langere tijd onderdeel uitmaken van een botnet. In dat geval is het vrij eenvoudig om de cryptoware te installeren via een backdoor. Goed patch management, actuele antivirussoftware en oplettende gebruikers verkleinen de kans op malware, maar bieden geen garanties. Een andere, relatief nieuwe, modus operandi is het gebruik van exploitkits. Advertenties of code in gehackte websites verwijzen naar de webpagina van een exploitkit. De exploitkit heeft een webpagina die allerlei pogingen doet om de webbrowser te compromitteren middels de exploitatie van zwakheden. De meest gebruikte zwakheden zitten in Java, Flash en PDF. Het lijkt er op dat de huidige varianten van cryptoware, na activatie, op het systeem van het slachtoffer op zoek gaan naar documenten, foto's en andere bestanden op schijven voorzien van een schijfletter (inclusief netwerkschijven en virtuele 'cloud'- disks) om deze te versleutelen. Apple producten zijn niet immuun voor exploitkits, er is alleen nog geen ransomware of cryptoware op waargenomen. Ook de andere malware komt (nog) nauwelijks voor op de besturingssystemen OSX en Linux. 4. Maatschappelijke relevantie Het risico om slachtoffer te worden van cryptoware lijkt, afhankelijk van de mate van beveiliging van de ICT- structuur, groot. Bij slachtoffers kan besmetting leiden tot aanzienlijke schade. Bestanden raken ontoegankelijk en bedrijfsprocessen kunnen in gevaar komen. Voor organisaties kan dit leiden tot ernstige imagoschade en financiële schade. Betaling van het losgeld kan voor slachtoffers een oplossing lijken. Maar ontsleuteling van bestanden is niet gegarandeerd. Betaling trekt ook nieuwe aanvallen aan. Dit betekent voor alle potentiele slachtoffers een toename van het risico. Kortom: als er geen voorzorgmaatregelen worden genomen tegen dit fenomeen, is de kans aanwezig dat Nederland hiervan schade zal ondervinden. Wanneer organisaties in een vicieuze cirkel van besmetting en betaling terecht komen, is de kans groot dat het fenomeen sterk zal toenemen. 5. Aanbevelingen / gewenste maatregel Wanneer een computer of netwerk eenmaal besmet is met cryptoware, kunnen er geen tot weinig maatregelen genomen worden. Dit maakt preventie des te belangrijker. Wij adviseren organisaties om hun weerbaarheid tegen malware- aanvallen te vergroten en ook maatregelen te nemen om hiervan, zo nodig, direct weer te herstellen. Hiervoor is een tijdige investering noodzakelijk.

Het maken van backups is het belangrijkste advies. Een backup terugzetten is de beste manier om versleutelde bestanden terug te krijgen. Let op: koppel een backup- systeem niet constant aan, omdat het dan zelf ook besmet of versleuteld kan raken! Bewaar de back ups dus bij voorkeur offline. Voor MKB- bedrijven is het regelmatig wegschrijven van zakelijke documenten op DVD mogelijk een relatief eenvoudige maatregel. Zorg dat het terugzetten van backups getest is. Wanneer versleuteling heeft plaatsgevonden, is gedetailleerde kennis van de eigen systemen van groot belang. Voorlichting van medewerkers is een belangrijk onderdeel van preventie. Het ondoordacht openen van e- mails vormt een risico. Maak medewerkers binnen de organisatie bewust van de risico s van cryptoware en geef instructies over hoe de kans op besmetting verkleind kan worden. De komst van exploitkits maakt echter dat voorlichting alleen niet voldoende is; een besmetting kan immers volgen uit normaal internetgebruik. Minimaliseer de kans dat kritieke systemen worden getroffen. Goede antivirussoftware (en het updaten hiervan!) is onontbeerlijk. Hanteer een goed patch- management voor besturingssystemen en software. Kijk voor preventieve maatregelen op de website van het Nationaal Cyber Security Centrum of bij anti virus bedrijven. Indien mogelijk, isoleer gevoelige of kritieke systemen van het internet. Neem maatregelen om de schade bij besmetting te minimaliseren. Neem de autorisatie- instellingen op het netwerk eens kritisch onder de loep; het waar mogelijk veranderen van schrijfrecht naar leesrecht van schijven of bestanden kan veel schade voorkomen. 6. Afsluitend Het Team High Tech Crime en Nationaal Cyber Security Centrum hopen u middels dit advies voldoende te hebben voorgelicht. Meer informatie over cryptoware kan worden gevonden op onderstaande websites: https://www.ncsc.nl/dienstverlening/expertise- advies/kennisdeling/factsheets/factsheet- 10- vuistregels- voor- veilig- internetten.html (tips voor preventieve maatregelen tegen cryptoware) https://community.mcafee.com/docs/doc- 5473 (McAfee cryptolocker faq "the NSA could probably do it") http://technet.microsoft.com/en- us/library/cc786941(v=ws.10).aspx (Restriction policies) Als uw organisatie slachtoffer is geworden van cryptoware kunt u hiervan aangifte doen bij de politie. Aangifte zal niet leiden tot een oplossing voor uw probleem, maar geeft de politie en het Nationaal Cyber Security Centrum wel meer inzicht in de omvang van het probleem. Illustratie voorpagina: www.computable.nl Illustratie pagina 1: http://nakedsecurity.sophos.com

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback