Gehackt, wat nu?
Als je bedrijf wordt getroffen door een hack, kan dit ernstige gevolgen hebben. Je bedrijfsvoering kan stil komen te liggen, er kunnen bedrijfsgegevens weg zijn en er kan reputatieschade zijn als klantgegevens zijn buit gemaakt. Vermoed je dat er sprake is van een hack? Kom dan snel in actie.
Hoe herken ik een hack?
Er zijn tientallen manieren om gehackt te worden. Misschien merk je het simpelweg omdat je niet meer bij een online account kunt. Hoe herstel je een gehackt account?
Hoe je een hack merkt, is afhankelijk van het soort hack. Van twee veelvoorkomende hacks bij bedrijven lees je hier wat herkenningspunten zijn en wat je kunt doen als je de hack ontdekt.
Bereid je voor op een cyberincident
De kans is groot dat ook jouw onderneming een keer getroffen wordt. Wees erop voorbereid: maak een incident response plan en gebruik als hulpmiddel de incidentkaarten.
1. Ransomware-aanval
Ransomware is kwaadaardige code die de volledige computer en/of de bestanden en applicaties die erop staan vergrendelt om de eigenaar te kunnen afpersen. Tegen betaling beloven de cybercriminelen de sleutel te geven om toegang tot de bestanden te herstellen.
Hoe herken je een ransomware-aanval?
- Bestanden, applicaties of volledige systemen zijn niet meer toegankelijk;
- In verschillende folders waar bestanden zijn versleuteld, tref je tekstbestanden aan met informatie over de aanval;
- Door middel van meldingen op je systeem wordt gevraagd om een tegenprestatie om weer toegang te krijgen tot je systemen. Deze 'ransom' is meestal een losgeldbedrag in bitcoins;
- Namen van ransomware-varianten die bestanden versleutelen zijn bijvoorbeeld: Cerber, CTB-locker, Coinvault, CryptoLocker, LockerGoga, Locky, Petya, Ryuk, SamSam, Teslacrypt, TorrentLocker, WannaCry en Wildfire. Uiteraard kunnen er nieuwe varianten bijkomen.
Wat doe je bij een ransomware-aanval?
Bij sommige ransomware varianten kan je worden geconfronteerd met een tijdslimiet waarin je moet besluiten of je toegeeft aan de gevraagde tegenprestatie. Op deze manier wordt geprobeerd om extra druk uit te oefenen. Na de tijdlimiet wordt het gevraagde losgeld meestal hoger, is het verkrijgen van de sleutel niet meer mogelijk of worden gestolen gegevens publiek gemaakt.
- Grijp terug op je incident respons plan als deze beschikbaar is;
- Betrek in een zo vroeg mogelijk stadium een IT-dienstverlener;
- Controleer zo snel mogelijk beschikbare back-ups en stel deze veilig.
- Isoleer besmette netwerken, computers en apparaten;
- Schakel indien gewenst een extern cybersecuritybedrijf in voor professionele afhandeling en onderzoek;
- Bepaal wie kan en mag communiceren of eventueel onderhandelen met de aanvallers. Overweeg ook hierbij een externe professional.
- Onderzoek of back-ups bruikbaar zijn. Mogelijk kunnen deze niet gebruikt worden voor het herstellen van volledige systemen omdat deze al besmet waren met 'malware'. Voor het herstellen van bestanden en databases kan deze back-up dan nog wel gebruikt worden;
- Controleer op 'No More Ransom' of er sleutels beschikbaar zijn voor het type ransomware dat je hebt;
- Wijzig wachtwoorden van accounts die toegang hebben tot gevoelige gegevens en activeer waar mogelijk tweefactorauthenticatie;
- Neem contact op de Autoriteit Persoonsgegevens. Wanneer er sprake is van een ransomware-aanval, is de kans groot dat er sprake is van een datalek. Hier moet je melding van maken;
- Meld de ransomware-aanval bij de politie of doe aangifte. Maak daarvoor een afspraak via 0900 - 8844.
2. DDoS-aanval
Cybercriminelen zenden bij een DDoS-aanval opzettelijk grote hoeveelheden aanvragen naar een server of een specifiek onderdeel van je website (bijvoorbeeld de inlogpagina). Hierdoor raakt de bandbreedte of de website applicatie overbelast en wordt de website onbereikbaar ('Denial of Service').
Hoe herken je een DDoS-aanval?
- Je netwerk is niet bereikbaar, ongebruikelijk traag of niet stabiel;
- Je netwerk- of internetverbinding wordt abrupt verbroken;
- De website is een stuk trager dan normaal;
- Bepaalde functionaliteiten - zoals inloggen - zijn niet meer mogelijk;
- Er verschijnen ten onrechte foutmeldingen als je pagina's bezoekt;
- Je ziet in de webstatistieken of log files mogelijk ongebruikelijke pieken in het websiteverkeer.
Wat doe je bij een DDoS-aanval?
De meeste routers en firewalls die bedrijven gebruiken kunnen maar beperkt wat doen tegen een DDoS-aanval. Dit komt met name doordat kwaadwillenden goedkoop zeer grote DDoS-aanvallen kunnen kopen. Hier worden veelal botnets voor gebruikt waardoor de aanval vanuit verschillende afzenders komt. Dit maakt het extra lastig om dit soort verkeer te stoppen. In veel gevallen ben je daarom afhankelijk van diensten van derden om deze grote hoeveelheden webverkeer aan te kunnen.
- Grijp terug op je incident respons plan als het beschikbaar is;
- Blokker afzender IP-adressen in je firewall wanneer mogelijk;
- Neem contact op met je webhostingleverancier, IT- dienstverlener of internetleverancier afhankelijk van waar je wordt aangevallen;
- Bovengenoemden hebben vaak de mogelijkheid om aan hun kant bepaald verkeer te blokkeren;
- Overweeg voor websites of webapplicaties een externe dienst af te nemen die het verkeer kan filteren voordat het bij jouw servers terecht komt. Denk hierbij bijvoorbeeld aan een CDN (Content Delivery Network)-aanbieder;
- Beheer je zelf je eigen IP-adressen? Overweeg dan een zogenoemde 'wasstraat'. Dit is een dienst waar je al je verkeer tijdelijk langs kunt laten gaan wanneer je getroffen wordt door een aanval. NaWas is hier een voorbeeld van.
- Probeer logfiles van netwerkverkeer te bewaren. Dit kan nodig zijn voor forensisch onderzoek;
- Een DDoS-aanval is strafbaar. Bij de politie kun je aangifte doen. Bel voor een afspraak 0900-4455.
DDoS-aanvallen succesvol afslaan is vaak erg lastig. Preventief maatregelen treffen is noodzakelijk. Een aantal van de hierboven genoemde maatregelen zijn namelijk niet altijd op korte termijn te realiseren.
Cyberwijzer Chatbot
Denk je als ondernemer slachtoffer te zijn geworden van cybercriminaliteit? Kijk direct welke eerste stappen je kunt zetten en chat met de Cyberwijzer via Hackhelpdesk.nl. De Cyberwijzer is een AI bot van de Hackhelpdesk, waarin betrouwbare informatie van onder andere het Digital Trust Center, het NCSC, de politie en PVO gebundeld is. Op basis van deze informatie biedt de Cyberwijzer advies over de te nemen stappen bij een cyberincident.
Check je hack
De politie neemt tijdens het bestrijden van cybercriminaliteit soms datasets in beslag waarin buitgemaakte inloggegevens kunnen staan. Om schade te voorkomen, kun je op de website van de politie controleren of jouw inloggegevens in de inbeslaggenomen datasets staan. Als je e-mailadres voorkomt in de datasets, krijg je een e-mail met uitleg van de politie over hoe je de eventuele malware kunt verwijderen.