Gehackt, wat nu?

Als je bedrijf wordt getroffen door een hack, kan dit ernstige gevolgen hebben. Je bedrijfsvoering kan stil komen te liggen, er kunnen bedrijfsgegevens weg zijn en er kan reputatieschade zijn als klantgegevens zijn buit gemaakt. Vermoed je dat er sprake is van een hack? Kom dan snel in actie.

Hoe herken ik een hack?

Er zijn tientallen manieren om gehackt te worden. Hoe je een hack merkt, is afhankelijk van het soort hack. Van twee veelvoorkomende hacks bij bedrijven lees je hier wat herkenningspunten zijn en wat je kunt doen als je de hack ontdekt.

1. Ransomware-aanval

Ransomware is kwaadaardige code die de volledige computer en/of de bestanden en applicaties die erop staan vergrendelt om de eigenaar te kunnen afpersen. Tegen betaling beloven de cybercriminelen de sleutel te geven om toegang tot de bestanden te herstellen.

Hoe herken je een ransomware-aanval?

• Bestanden, applicaties of volledige systemen zijn niet meer toegankelijk;
• In verschillende folders waar bestanden zijn versleuteld, tref je tekstbestanden aan met informatie over de aanval;
• Door middel van meldingen op je systeem wordt gevraagd om een tegenprestatie om weer toegang te krijgen tot je systemen. Deze 'ransom' is meestal een losgeldbedrag in bitcoins;
• Namen van ransomware-varianten die bestanden versleutelen zijn bijvoorbeeld: Cerber, CTB-locker, Coinvault, CryptoLocker, LockerGoga, Locky, Petya, Ryuk, SamSam, Teslacrypt, TorrentLocker, WannaCry en Wildfire. Uiteraard kunnen er nieuwe varianten bijkomen.

Wat doe je bij een ransomware-aanval?

Bij sommige ransomware varianten kan je worden geconfronteerd met een tijdslimiet waarin je moet besluiten of je toegeeft aan de gevraagde tegenprestatie. Op deze manier wordt geprobeerd om extra druk uit te oefenen. Na de tijdlimiet wordt het gevraagde losgeld meestal hoger, is het verkrijgen van de sleutel niet meer mogelijk of worden gestolen gegevens publiek gemaakt.

• Grijp terug op je incident respons plan als deze beschikbaar is;
• Betrek in een zo vroeg mogelijk stadium een IT-dienstverlener;
• Controleer zo snel mogelijk beschikbare bak-ups en stel deze veilig.
• Isoleer besmette netwerken, computers en apparaten;
• Schakel indien gewenst een extern cybersecuritybedrijf in voor professionele afhandeling en onderzoek;
• Bepaal wie kan en mag communiceren of eventueel onderhandelen met de aanvallers. Overweeg ook hierbij een externe professional.
• Onderzoek of back-ups bruikbaar zijn. Mogelijk kunnen deze niet gebruikt worden voor het herstellen van volledige systemen omdat deze al besmet waren met 'malware'. Voor het herstellen van bestanden en databases kan deze back-up dan nog wel gebruikt worden;
• Controleer op 'No More Ransom' of er sleutels beschikbaar zijn voor het type ransomware dat je hebt;
• Wijzig wachtwoorden van accounts die toegang hebben tot gevoelige gegevens en activeer waar mogelijk tweefactorauthenticatie;
• Neem contact op de Autoriteit Persoonsgegevens. Wanneer er sprake is van een ransomware-aanval, is de kans groot dat er sprake is van een datalek. Hier moet je melding van maken; 
• Meld de ransomware-aanval bij de politie of doe aangifte. Maak daarvoor een afspraak via 0900 - 8844.

2. DDoS-aanval

Cybercriminelen zenden bij een DDoS-aanval opzettelijk grote hoeveelheden aanvragen naar een server of een specifiek onderdeel van je website (bijvoorbeeld de inlogpagina). Hierdoor raakt de bandbreedte of de website applicatie overbelast en wordt de website onbereikbaar ('Denial of Service').

Hoe herken je een DDoS-aanval?

• Je netwerk is niet bereikbaar, ongebruikelijk traag of niet stabiel;
• Je netwerk- of internetverbinding wordt abrupt verbroken; 
• De website is een stuk trager dan normaal;
• Bepaalde functionaliteiten - zoals inloggen - zijn niet meer mogelijk;
• Er verschijnen ten onrechte foutmeldingen als je pagina's bezoekt;
• Je ziet in de webstatistieken of log files mogelijk ongebruikelijke pieken in het websiteverkeer.

Wat doe je bij een DDoS-aanval?

De meeste routers en firewalls die bedrijven gebruiken kunnen maar beperkt wat doen tegen een DDoS-aanval. Dit komt met name doordat kwaadwillenden goedkoop zeer grote DDoS-aanvallen kunnen kopen. Hier worden veelal botnets voor gebruikt waardoor de aanval vanuit verschillende afzenders komt. Dit maakt het extra lastig om dit soort verkeer te stoppen. In veel gevallen ben je daarom afhankelijk van diensten van derden om deze grote hoeveelheden webverkeer aan te kunnen.

• Grijp terug op je incident respons plan als het beschikbaar is;
• Blokker afzender IP-adressen in je firewall wanneer mogelijk;
• Neem contact op met je webhostingleverancier, IT- dienstverlener of internetleverancier afhankelijk van waar je wordt aangevallen;
• Bovengenoemden hebben vaak de mogelijkheid om aan hun kant bepaald verkeer te blokkeren;
• Overweeg voor websites of webapplicaties een externe dienst af te nemen die het verkeer kan filteren voordat het bij jouw servers terecht komt. Denk hierbij bijvoorbeeld aan een CDN (Content Delivery Network)-aanbieder;
• Beheer je zelf je eigen IP-adressen? Overweeg dan een zogenoemde 'wasstraat'. Dit is een dienst waar je al je verkeer tijdelijk langs kunt laten gaan wanneer je getroffen wordt door een aanval. NaWas is hier een voorbeeld van.
• Probeer logfiles van netwerkverkeer te bewaren. Dit kan nodig zijn voor forensisch onderzoek;
• Een DDoS-aanval is strafbaar. Bij de politie kun je aangifte doen. Bel voor een afspraak 0900-4455.

DDoS-aanvallen succesvol afslaan is vaak erg lastig. Preventief maatregelen treffen is noodzakelijk. Een aantal van de hierboven genoemde maatregelen zijn namelijk niet altijd op korte termijn te realiseren.

Andere hacks

Er zijn talloze manieren om gehackt te worden. Voor meer informatie over deze verschillende soorten hacks, kan je terecht bij het digital trust center.

DEZE INFORMATIE KOMT VAN HET DIGITAL TRUST CENTER