Hoe Universiteit Maastricht een ransomware-betaling had kunnen voorkomen

Rob Pronk
Op 23 december 2019 ontdekken IT-medewerkers van de Universiteit Maastricht (UM) vroeg in de avond dat verschillende systemen steeds trager werken en uiteindelijk stil komen te vallen. Zij schakelen het eigen crisisteam in, dat al snel vaststelt dat hackers erin geslaagd zijn om het netwerk binnen te dringen. Inmiddels is er een losgeldsom van € 197.000 betaald aan Russische criminelen. Volgens het College van Bestuur was dat de enige manier om de schade zo veel mogelijk te beperken. Om te achterhalen of het bestuur het bij het juiste eind had, nodigden we securityexpert Rob Pronk uit voor een gastopinie.

Het college van bestuur maakte begin februari bekend dat de losgeldsom betaald is. Waardevolle berichtgeving, want van de calamiteit valt een les te leren. Wat de hack bij de UM duidelijk heeft aangetoond, is dat ransomware een organisatie volledig kan verlammen en dat de strijd ertegen een ‘never-ending war’ is. Deze strijd moet echter gevoerd worden en begint met een goede voorbereiding. Hoe je dat doet? 


• Zet patches bovenaan de agenda 

Omdat malware systemen meestal binnenkomt via bekende kwetsbaarheden is een solide patchbeleid een eerste vereiste. Het is niet voor niets dat het SANS Institute patchen als een van de twintig belangrijkste elementen noemt voor effectieve cyberverdediging. Door het elimineren van elke potentiële kwetsbaarheid kan malware veel moeilijker op systemen terechtkomen.    

• Zorg voor goede back-ups 

Ransomware vernietigt backupbestanden en versleutelt gewone bestanden. De laatste zijn pas weer toegankelijk na betaling van losgeld aan cybercriminelen. Daarom is het noodzakelijk om regelmatig back-ups te maken en deze te bewaren op een locatie die niet door ransomware kan worden beïnvloed. Denk aan volledige offline opslag. Het is vervolgens wel zaak om regelmatig te controleren of deze bestanden indien nodig eenvoudig te herstellen zijn. Zelfs netwerkshares of cloudopslag zijn mogelijk niet helemaal veilig, omdat bestanden die al zijn gecodeerd of beschadigd door de ransomware automatisch een back-up kunnen maken naar het netwerk of de cloud, waardoor ook de bestanden op die opslaglocaties onbruikbaar worden. 

• Zorg voor een goed responsplan

Gezien de toename van cybercriminaliteit kan geen enkele organisatie meer zonder een incidentresponsplan, dat expliciet acties bevat met betrekking tot een ransomware-aanval. Het plan moet gedetailleerde informatie bevatten over de specifieke acties, die afdelingen en individuele medewerkers moeten ondernemen zodra blijkt dat een aanval speelt. Zo kan een organisatie sneller reageren en is de impact mogelijk te verkleinen.  

• Zorg voor een goede toegangsstructuur

Een cruciaal aspect bij het verdedigen tegen ransomware is het zorgen voor een goede toegangsstructuur. Veel organisaties kiezen voor een aanpak waarbij bestanden of shares voor iedereen binnen het bedrijf toegankelijk zijn. Bepaalde locaties zijn mogelijk ingesteld als ‘alleen lezen’ of ontoegankelijk voor bepaalde gebruikers, maar veel organisaties werken met een monolithische structuur voor het delen van bestanden. Door dit fijnmaziger in te richten, kan het lastiger worden voor ransomware om zich over het hele netwerk te verspreiden. 

• Zorg voor een goede informatievoorziening

Een ander belangrijk punt is het zorgen voor een goede informatievoorziening. Overheden en securitybedrijven en –dienstverleners brengen regelmatig nieuwsbrieven en alerts uit, waarmee organisaties op de hoogte kunnen blijven van de nieuwste bedreigingen.   

• Bescherm alle eindpunten

Ransomware komt vrijwel altijd binnen via een medewerker die op een kwaadaardige link klikt. Dat betekent dat eindpuntbescherming cruciaal is om de risico´s van malware te verminderen. Er zijn inmiddels tal van tools op de markt om infecties op eindpuntapparatuur vroegtijdig te detecteren en er automatisch en snel op te reageren, zodat het voor hackers moeilijker wordt om systemen met succes aan te vallen. 

• Voorzie in ‘continue monitoring’ van de gehele keten van systemen, applicaties en mensen

Gebruik een alles overziend beveiligingsplatform dat voortdurend en ‘real-time’ een wakend oog houdt op het juiste gebruik van de complete informatieketen zijn dreigende gevaren zeer snel te detecteren (mean-timeto- detect), kan zo de reactietijd ook verkorten (mean-time-to-respond) en zijn eventuele schadelijke effecten hopelijk vóór te zijn. Een dergelijk ‘Security Intelligence Platform’ zal hierbij van Artificial Intelligence en Machine Learning gebruikmaken als hulpmiddelen, om detectie en response snel en volledig te kunnen uitvoeren. Een Security Information & Event Management-platform of service (SIEM) kan hierin voorzien en wordt steeds meer ingezet om ook ransomware vroegtijdig te herkennen en te neutraliseren. 

• Leid gebruikers op 

Veiligheid is een zaak van de hele organisatie. Eén moment van onoplettendheid van één gebruiker kan situaties veroorzaken zoals bij de UM. Daarom is het regelmatig trainen van alle medewerkers in veilig omgaan met data een must. Aanvallers maken gebruik van social engineering-tactieken, die steeds geavanceerder worden. Eindgebruikers moeten daarom weten wat ze kunnen verwachten en waar ze op moeten letten om infectie te voorkomen. Dat vereist regelmatige awarenesstrainingen, die de risico’s van een infectie verminderen. 

De strijd tegen ransomware vraagt uiteindelijk om een samenhangende aanpak van steeds geavanceerdere technologie, training en awareness. Met zo’n aanpak is een organisatie beter voorbereid op een ransomwareaanval en kan zij de impact drastisch verminderen.

afbeelding van Rob Pronk
Door: Rob Pronk

Rob Pronk |

Regional Director Northern Europe, LogRhythm

Bekijk alle artikelen van Rob