Back-up- en herstelplan ter bescherming tegen ransomware

Ransomware-aanvallen versleutelen of wissen opzettelijk gegevens en systemen om uw organisatie te dwingen geld te betalen aan aanvallers. Deze aanvallen zijn gericht op uw gegevens, uw back-ups en ook belangrijke documentatie die u nodig hebt om te herstellen zonder de aanvallers te betalen (als een middel om de kans te vergroten dat uw organisatie betaalt).

In dit artikel wordt beschreven wat u vóór een aanval moet doen om uw kritieke bedrijfssystemen te beschermen en tijdens een aanval om een snel herstel van bedrijfsactiviteiten te garanderen.

Notitie

Het voorbereiden op ransomware verbetert ook de weerbaarheid bij natuurrampen en snelle aanvallen zoals WannaCry&(Not)Petya.

Wat is ransomware?

Ransomware is een soort afpersingsaanval die bestanden en mappen versleutelt, waardoor toegang tot belangrijke gegevens en systemen wordt voorkomen. Aanvallers gebruiken ransomware om geld af te persen van slachtoffers door geld te eisen, meestal in de vorm van cryptovaluta's, in ruil voor een ontsleutelingssleutel of in ruil voor het niet vrijgeven van gevoelige gegevens op het dark web of het openbare internet.

Hoewel vroege ransomware voornamelijk malware gebruikte die zich verspreidde met phishing of tussen apparaten, is er door mensen beheerde ransomware ontstaan waarbij een bende actieve aanvallers, aangedreven door menselijke aanvalsoperators, alle systemen in een organisatie (in plaats van één apparaat of set apparaten) target. Een aanval kan:

  • Uw gegevens versleutelen
  • Uw gegevens exfiltreren
  • Uw back-ups beschadigen

De ransomware maakt gebruik van de kennis van de aanvallers van veelvoorkomende systeem- en beveiligingsfouten en beveiligingsproblemen om de organisatie te infiltreren, door het bedrijfsnetwerk te navigeren en zich aan te passen aan de omgeving en de zwakke plekken ervan.

Ransomware kan worden gefaseerd om uw gegevens eerst te exfiltreren, gedurende enkele weken of maanden, voordat de ransomware daadwerkelijk wordt uitgevoerd op een specifieke datum.

Ransomware kan uw gegevens ook langzaam versleutelen terwijl uw sleutel op het systeem wordt bewaard. Met uw sleutel nog steeds beschikbaar, uw gegevens zijn bruikbaar voor u en de ransomware wordt onopgemerkt. Uw back-ups zijn echter van de versleutelde gegevens. Zodra al uw gegevens zijn versleuteld en recente back-ups ook van versleutelde gegevens zijn, wordt uw sleutel verwijderd, zodat u uw gegevens niet meer kunt lezen.

De echte schade wordt vaak veroorzaakt wanneer de aanval bestanden uitfiltreert terwijl achterdeurtjes in het netwerk achterblijven voor toekomstige schadelijke activiteiten. Deze risico's blijven bestaan, ongeacht of het losgeld wordt betaald of niet. Deze aanvallen kunnen catastrofaal zijn voor bedrijfsactiviteiten en moeilijk op te schonen, waardoor volledige verwijdering van kwaadwillende personen nodig is om bescherming te bieden tegen toekomstige aanvallen. In tegenstelling tot vroege vormen van ransomware waarvoor alleen malwareherstel is vereist, kan door mensen beheerde ransomware uw bedrijfsactiviteiten blijven bedreigen na de eerste ontmoeting.

Impact van een aanval

De impact van een ransomware-aanval op een organisatie is moeilijk nauwkeurig te kwantificeren. Afhankelijk van het bereik van de aanval, kan de impact het volgende omvatten:

  • Verlies van gegevenstoegang
  • Onderbreking van bedrijfsactiviteiten
  • Financieel verlies
  • Diefstal van intellectueel eigendom
  • Gecompromitteerd klantvertrouwen of aangetaste reputatie
  • Juridische kosten

Hoe kun je jezelf beschermen?

De beste manier om te voorkomen dat u slachtoffer wordt van ransomware, is door preventieve maatregelen te implementeren en hulpprogramma's te gebruiken die uw organisatie beschermen tegen elke stap die aanvallers nemen om uw systemen te infiltreren.

U kunt uw on-premises blootstelling verminderen door uw organisatie te verplaatsen naar een cloudservice. Microsoft heeft geïnvesteerd in systeemeigen beveiligingsmogelijkheden die Microsoft Azure bestand maken tegen ransomware-aanvallen en organisaties helpen ransomware aanvalstechnieken te verslaan. Voor een uitgebreide weergave van ransomware en afpersing en hoe u uw organisatie kunt beschermen, gebruikt u de informatie in de PowerPoint-presentatie van het Projectplan voor het risico van door mensen beheerde ransomware .

U moet ervan uitgaan dat u op een bepaald moment het slachtoffer wordt van een ransomware-aanval. Een van de belangrijkste stappen die u kunt nemen om uw gegevens te beschermen en losgeld te voorkomen, is het hebben van een betrouwbaar back-up- en herstelplan voor uw bedrijfskritieke informatie. Omdat ransomware-aanvallers veel hebben geïnvesteerd in het neutraliseren van back-uptoepassingen en functies van het besturingssysteem, zoals volumeschaduwkopieën, is het essentieel om back-ups te hebben die niet toegankelijk zijn voor een kwaadwillende aanvaller.

Azure Backup

Azure Backup biedt beveiliging voor uw back-upomgeving, zowel wanneer uw gegevens in transit als in rust zijn. Met Azure Backup kunt u een back-up maken van:

  • On-premises bestanden, mappen en systeemstatus
  • Volledige Windows-/Linux-VM's
  • Azure Managed Disks
  • Azure-bestandsshares naar een opslagaccount
  • databases SQL Server die worden uitgevoerd op Azure-VM's

De back-upgegevens worden opgeslagen in Azure Storage en de gast of aanvaller heeft geen directe toegang tot back-upopslag of de inhoud ervan. Met back-up van virtuele machines wordt het maken en opslaan van de back-upmomentopname uitgevoerd door azure-infrastructuur, waarbij de gast of aanvaller geen andere betrokkenheid heeft dan het stilzetten van de workload voor toepassingsconsistente back-ups. Met SQL en SAP HANA krijgt de back-upextensie tijdelijke toegang om naar specifieke blobs te schrijven. Op deze manier kunnen bestaande back-ups niet worden gemanipuleerd of verwijderd door de aanvaller, zelfs in een gecompromitteerde omgeving.

Azure Backup biedt ingebouwde bewakings- en waarschuwingsmogelijkheden voor het weergeven en configureren van acties voor gebeurtenissen die betrekking hebben op Azure Backup. Back-uprapporten fungeren als een centrale bestemming voor het bijhouden van gebruik, het controleren van back-ups en herstelbewerkingen en het identificeren van belangrijke trends op verschillende granulariteitsniveaus. Met behulp van de bewakings- en rapportagehulpprogramma's van Azure Backup kunt u worden gewaarschuwd voor niet-geautoriseerde, verdachte of schadelijke activiteiten zodra deze zich voordoen.

Er zijn controles toegevoegd om ervoor te zorgen dat alleen geldige gebruikers verschillende bewerkingen kunnen uitvoeren. Deze omvatten het toevoegen van een extra verificatielaag. Als onderdeel van het toevoegen van een extra verificatielaag voor kritieke bewerkingen, wordt u gevraagd een beveiligingspincode in te voeren voordat u onlineback-ups wijzigt.

Meer informatie over de ingebouwde beveiligingsfuncties in Azure Backup.

Back-ups valideren

Controleer of uw back-up goed is als uw back-up is gemaakt en voordat u herstelt. U wordt aangeraden een Recovery Services-kluis te gebruiken. Dit is een opslagentiteit in Azure waarin gegevens worden opgeslagen. De gegevens bestaan meestal uit kopieën van gegevens of configuratiegegevens voor virtuele machines (VM's), workloads, servers of werkstations. U kunt Recovery Services-kluizen gebruiken om back-upgegevens op te slaan voor verschillende Azure-services, zoals IaaS-VM's (Linux of Windows), Azure SQL databases en on-premises assets. Recovery Services-kluizen maken het eenvoudig om uw back-upgegevens te organiseren en bieden functies zoals:

  • Verbeterde mogelijkheden om ervoor te zorgen dat u uw back-ups kunt beveiligen en gegevens veilig kunt herstellen, zelfs als productie- en back-upservers zijn aangetast. Meer informatie.
  • Bewaking voor uw hybride IT-omgeving (Azure IaaS-VM's en on-premises assets) vanuit een centrale portal. Meer informatie.
  • Compatibiliteit met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC), waardoor back-up- en hersteltoegang wordt beperkt tot een gedefinieerde set gebruikersrollen. Azure RBAC biedt verschillende ingebouwde rollen en Azure Backup heeft drie ingebouwde rollen voor het beheren van herstelpunten. Meer informatie.
  • Bescherming tegen voorlopig verwijderen, zelfs als een kwaadwillende actor een back-up verwijdert (of als back-upgegevens per ongeluk worden verwijderd). Back-upgegevens worden 14 extra dagen bewaard, zodat een back-upitem kan worden hersteld zonder gegevensverlies. Meer informatie.
  • Herstel tussen regio's waarmee u Azure-VM's kunt herstellen in een secundaire regio, een gekoppelde Azure-regio. U kunt de gerepliceerde gegevens in de secundaire regio op elk gewenst moment herstellen. Hierdoor kunt u de secundaire regiogegevens herstellen voor controlenaleving en tijdens storingsscenario's, zonder te wachten tot Azure een noodgeval declareert (in tegenstelling tot de GRS-instellingen van de kluis). Meer informatie.

Notitie

Er zijn twee typen kluizen in Azure Backup. Naast de Recovery Services-kluizen zijn er ook Back-upkluizen die gegevens bevatten voor nieuwere workloads die worden ondersteund door Azure Backup.

Wat u moet doen vóór een aanval

Zoals eerder vermeld, moet u ervan uitgaan dat u op een bepaald moment het slachtoffer wordt van een ransomware-aanval. Door uw bedrijfskritieke systemen te identificeren en best practices toe te passen voordat een aanval wordt uitgevoerd, kunt u zo snel mogelijk weer aan de slag.

Bepalen wat voor u het belangrijkst is

Ransomware kan aanvallen terwijl u een aanval plant, dus uw eerste prioriteit moet zijn om de bedrijfskritieke systemen te identificeren die het belangrijkst voor u zijn en te beginnen met het uitvoeren van regelmatige back-ups op die systemen.

In onze ervaring vallen de vijf belangrijkste toepassingen voor klanten in de volgende categorieën in deze prioriteitsvolgorde:

  • Identiteitssystemen: vereist voor gebruikers om toegang te krijgen tot alle systemen (inclusief alle andere systemen die hieronder worden beschreven), zoals Active Directory, Azure AD Connect, AD-domeincontrollers
  • Menselijk leven – elk systeem dat menselijk leven ondersteunt of in gevaar kan brengen, zoals medische of levensondersteunde systemen, veiligheidssystemen (ambulance, dispatching, verkeerslichtcontrole), grote machines, chemische/biologische systemen, productie van voedsel of persoonlijke producten, en andere
  • Financiële systemen: systemen die monetaire transacties verwerken en het bedrijf operationeel houden, zoals betalingssystemen en gerelateerde databases, financieel systeem voor kwartaalrapportage
  • Product- of service-activering: alle systemen die nodig zijn om de zakelijke services te leveren of fysieke producten te produceren/te leveren waarvoor uw klanten u betalen, fabriekscontrolesystemen, productleverings-/verzendsystemen en dergelijke
  • Beveiliging (minimum): u moet ook prioriteit geven aan de beveiligingssystemen die nodig zijn om op aanvallen te controleren en minimale beveiligingsservices te bieden. Dit moet erop zijn gericht om ervoor te zorgen dat de huidige aanvallen (of eenvoudige opportunistische aanvallen) niet onmiddellijk toegang kunnen krijgen (of herwinnen) tot uw herstelde systemen

Uw back-uplijst met prioriteit wordt ook uw lijst met prioriteit herstellen. Zodra u uw kritieke systemen hebt geïdentificeerd en regelmatig back-ups uitvoert, neemt u stappen om uw blootstellingsniveau te verminderen.

Stappen die moeten worden uitgevoerd vóór een aanval

Pas deze aanbevolen procedures toe vóór een aanval.

Taak Detail
Identificeer de belangrijke systemen die u eerst weer online moet brengen (met behulp van de vijf belangrijkste categorieën hierboven) en begin onmiddellijk met het uitvoeren van regelmatige back-ups van die systemen. Als u na een aanval zo snel mogelijk weer aan de slag wilt gaan, bepaalt u vandaag wat voor u het belangrijkst is.
Migreer uw organisatie naar de cloud.

Overweeg om een Microsoft Unified Support-abonnement aan te schaffen of samen te werken met een Microsoft partner om uw overstap naar de cloud te ondersteunen.
Verminder uw on-premises blootstelling door gegevens te verplaatsen naar cloudservices met automatische back-up en selfservice terugdraaien. Microsoft Azure beschikt over een robuuste set hulpprogramma's waarmee u een back-up kunt maken van uw bedrijfskritieke systemen en uw back-ups sneller kunt herstellen.

Microsoft Unified Support is een ondersteuningsmodel voor cloudservices dat u kan helpen wanneer u het nodig hebt. Unified Support:

Biedt een aangewezen team dat 24x7 beschikbaar is met zo nodig probleemoplossing en kritieke incidentescalatie

Helpt u bij het bewaken van de status van uw IT-omgeving en werkt proactief om ervoor te zorgen dat problemen worden voorkomen voordat ze zich voordoen
Verplaats gebruikersgegevens naar cloudoplossingen zoals OneDrive en SharePoint om te profiteren van versiebeheer en prullenbakmogelijkheden.

Informeer gebruikers over het zelf herstellen van hun bestanden om vertragingen en kosten van herstel te verminderen. Als de OneDrive-bestanden van een gebruiker bijvoorbeeld zijn geïnfecteerd met malware, kunnen ze hun hele OneDrive herstellen naar een eerder tijdstip.

Overweeg een verdedigingsstrategie, zoals Microsoft 365 Defender, voordat gebruikers hun eigen bestanden kunnen herstellen.
Gebruikersgegevens in de Microsoft cloud kunnen worden beveiligd met ingebouwde beveiligings- en gegevensbeheerfuncties.

Het is goed om gebruikers te leren hoe ze hun eigen bestanden moeten herstellen, maar u moet voorzichtig zijn dat uw gebruikers niet de malware herstellen die is gebruikt om de aanval uit te voeren. Moet u:

Zorg ervoor dat uw gebruikers hun bestanden niet herstellen totdat u er zeker van bent dat de aanvaller is verwijderd

Zorg voor een oplossing voor het geval een gebruiker een deel van de malware herstelt

Microsoft 365 Defender maakt gebruik van door AI aangedreven automatische acties en playbooks om getroffen assets weer veilig te herstellen. Microsoft 365 Defender maakt gebruik van de mogelijkheden voor automatisch herstel van de suiteproducten om ervoor te zorgen dat alle betrokken assets met betrekking tot een incident waar mogelijk automatisch worden hersteld.
Implementeer de Microsoft cloudbeveiligingsbenchmark. De Microsoft cloudbeveiligingsbenchmark is ons framework voor beveiligingscontrole op basis van op de branche gebaseerde frameworks voor beveiligingscontrole, zoals NIST SP800-53, CIS Controls v7.1. Het biedt organisaties richtlijnen voor het configureren van Azure- en Azure-services en het implementeren van de beveiligingscontroles. Zie Back-up en herstel.
Oefen regelmatig uw plan voor bedrijfscontinuïteit/herstel na noodgevallen (BC/DR) uit.

Scenario's voor incidentrespons simuleren. Oefeningen die u uitvoert bij het voorbereiden van een aanval, moeten worden gepland en uitgevoerd rond uw lijsten met prioriteit voor back-up en herstel.

Test het scenario 'Herstellen van nul' regelmatig om ervoor te zorgen dat uw BC/DR snel kritieke bedrijfsactiviteiten online kan brengen vanuit nulfunctionaliteit (alle systemen uit).
Zorgt voor een snel herstel van bedrijfsactiviteiten door een ransomware- of afpersingsaanval met hetzelfde belang te behandelen als een natuurramp.

Voer oefenoefeningen uit om teamoverschrijdende processen en technische procedures te valideren, inclusief out-of-band-communicatie tussen werknemers en klanten (stel dat alle e-mail en chat niet beschikbaar zijn).
Overweeg om een risicoregister te maken om mogelijke risico's te identificeren en om te bepalen hoe u bemiddelt door middel van preventieve controles en acties. Voeg ransomware toe aan risicoregister als scenario met hoge waarschijnlijkheid en hoge impact. Een risicoregister kan u helpen bij het prioriteren van risico's op basis van de kans dat dat risico zich voordoet en de ernst van uw bedrijf als dat risico zich voordoet.

Houd de risicobeperkingsstatus bij via de evaluatiecyclus voor Enterprise Risk Management (ERM).
Maak automatisch een back-up van alle kritieke bedrijfssystemen volgens een regelmatig schema (inclusief back-ups van kritieke afhankelijkheden zoals Active Directory).

Controleer of uw back-up goed is als uw back-up is gemaakt.
Hiermee kunt u gegevens herstellen tot de laatste back-up.
Beveilig (of druk) ondersteunende documenten en systemen af die nodig zijn voor herstel, zoals herstelproceduredocumenten, CMDB, netwerkdiagrammen en SolarWinds-exemplaren. Aanvallers richten zich opzettelijk op deze resources omdat dit van invloed is op uw herstelmogelijkheden.
Zorg ervoor dat u over goed gedocumenteerde procedures beschikt voor het inschakelen van ondersteuning van derden, met name ondersteuning van providers van bedreigingsinformatie, antimalwareoplossingsproviders en van de malware-analyseprovider. Deze procedures beveiligen (of afdrukken). Contactpersonen van derden kunnen nuttig zijn als de opgegeven ransomware-variant bekende zwakke punten heeft of als de ontsleutelingshulpprogramma's beschikbaar zijn.
Zorg ervoor dat de back-up- en herstelstrategie het volgende omvat:

Mogelijkheid om een back-up te maken van gegevens naar een bepaald tijdstip.

Meerdere kopieën van back-ups worden opgeslagen op geïsoleerde, offline (air-gapped) locaties.

Hersteltijddoelstellingen die bepalen hoe snel back-upgegevens kunnen worden opgehaald en in de productieomgeving kunnen worden geplaatst.

Snel herstellen van een back-up naar een productieomgeving/sandbox.
Back-ups zijn essentieel voor tolerantie nadat een organisatie is geschonden. Pas de regel 3-2-1 toe voor maximale beveiliging en beschikbaarheid: 3 exemplaren (oorspronkelijke + 2 back-ups), 2 opslagtypen en 1 offsite of cold copy.
Back-ups beveiligen tegen opzettelijke verwijdering en versleuteling:

Sla back-ups op in offline of off-site opslag en/of onveranderbare opslag.

Vereiste out-of-band-stappen (zoals MFA of een beveiligingspincode) voordat een onlineback-up kan worden gewijzigd of gewist.

Maak privé-eindpunten in uw Azure Virtual Network om veilig back-ups te maken en gegevens te herstellen vanuit uw Recovery Services-kluis.
Back-ups die toegankelijk zijn voor aanvallers kunnen onbruikbaar worden gemaakt voor bedrijfsherstel.

Offlineopslag zorgt voor een robuuste overdracht van back-upgegevens zonder gebruik te maken van netwerkbandbreedte. Azure Backup biedt ondersteuning voor offline back-up, waardoor initiële back-upgegevens offline worden overgedragen, zonder gebruik te maken van netwerkbandbreedte. Het biedt een mechanisme voor het kopiëren van back-upgegevens naar fysieke opslagapparaten. De apparaten worden vervolgens verzonden naar een nabijgelegen Azure-datacenter en geüpload naar een Recovery Services-kluis.

Met online onveranderbare opslag (zoals Azure Blob) kunt u bedrijfskritieke gegevensobjecten opslaan in een WORM-status (Write Once, Read Many). Deze status maakt de gegevens niet-uitwisbaar en niet-wijzigbaar voor een door de gebruiker opgegeven interval.

Meervoudige verificatie (MFA) moet verplicht zijn voor alle beheerdersaccounts en wordt sterk aanbevolen voor alle gebruikers. De voorkeursmethode is om waar mogelijk een authenticator-app te gebruiken in plaats van sms of spraak. Wanneer u Azure Backup kunt u uw recovery services configureren om MFA in te schakelen met behulp van een beveiligingspincode die is gegenereerd in de Azure Portal. Dit zorgt ervoor dat er een beveiligingspincode wordt gegenereerd om kritieke bewerkingen uit te voeren, zoals het bijwerken of verwijderen van een herstelpunt.
Wijs beveiligde mappen aan. Maakt het moeilijker voor niet-geautoriseerde toepassingen om de gegevens in deze mappen te wijzigen.
Controleer uw machtigingen:

Ontdek uitgebreide schrijf-/verwijdermachtigingen voor bestandsshares, SharePoint en andere oplossingen. Breed wordt gedefinieerd als veel gebruikers met schrijf-/verwijdermachtigingen voor bedrijfskritieke gegevens.

Verminder brede machtigingen terwijl u voldoet aan de vereisten voor zakelijke samenwerking.

Controleer en controleer om ervoor te zorgen dat brede machtigingen niet opnieuw worden weergegeven.
Vermindert het risico van ransomware-activiteiten die brede toegang mogelijk maken.
Bescherming tegen een phishingpoging:

Voer regelmatig training voor beveiligingsbewustzijn uit om gebruikers te helpen een phishingpoging te identificeren en te voorkomen dat ze op iets klikken dat een eerste ingangspunt voor een inbreuk kan creëren.

Pas besturingselementen voor beveiligingsfilters toe op e-mail om de kans op een geslaagde phishingpoging te detecteren en te minimaliseren.
De meest voorkomende methode die door aanvallers wordt gebruikt om een organisatie te infiltreren, zijn phishingpogingen via e-mail. Exchange Online Protection (EOP) is de cloudgebaseerde filterservice die uw organisatie beschermt tegen spam, malware en andere e-mailbedreigingen. EOP is opgenomen in alle Microsoft 365 organisaties met Exchange Online postvakken.

Een voorbeeld van een besturingselement voor het filteren van beveiliging voor e-mail is Veilige koppelingen. Veilige koppelingen is een functie in Defender voor Office 365 die het scannen en herschrijven van URL's en koppelingen in e-mailberichten tijdens de stroom van binnenkomende e-mail en verificatie van url's en koppelingen in e-mailberichten en andere locaties (Microsoft Teams- en Office-documenten) mogelijk maakt. Het scannen van veilige koppelingen vindt plaats naast de reguliere bescherming tegen spam en malware in binnenkomende e-mailberichten in EOP. Het scannen van veilige koppelingen kan uw organisatie helpen beschermen tegen schadelijke koppelingen die worden gebruikt bij phishing en andere aanvallen.

Meer informatie over bescherming tegen phishing.

Wat te doen tijdens een aanval

Als u wordt aangevallen, wordt uw back-uplijst met prioriteit uw lijst met herstel met prioriteit. Voordat u herstelt, controleert u opnieuw of uw back-up goed is. U kunt mogelijk zoeken naar malware in de back-up.

Stappen die moeten worden uitgevoerd tijdens een aanval

Pas deze aanbevolen procedures toe tijdens een aanval.

Taak Detail
Vroeg in de aanval neemt u contact op met ondersteuning van derden, met name ondersteuning van providers van bedreigingsinformatie, providers van antimalwareoplossingen en van de malware-analyseprovider. Deze contactpersonen kunnen nuttig zijn als de opgegeven ransomware-variant een bekende zwakte heeft of de ontsleutelingstools beschikbaar zijn.

Microsoft Detection and Response Team (DART) kan u helpen beschermen tegen aanvallen. De DART neemt contact op met klanten over de hele wereld, helpt bij het beschermen en beschermen tegen aanvallen voordat deze zich voordoen, en onderzoekt en herstelt wanneer een aanval heeft plaatsgevonden.

Microsoft biedt ook Rapid Ransomware Recovery-services. Services worden uitsluitend geleverd door de Microsoft Global Compromise Recovery Security Practice (CRSP). De focus van dit team tijdens een ransomware-aanval is het herstellen van de verificatieservice en het beperken van de impact van ransomware.

DART en CRSP maken deel uit van Microsoft Industry Solutions Delivery security service line.
Neem contact op met uw lokale of federale wetshandhavingsinstanties. Als u zich in de Verenigde Staten bevindt, neemt u contact op met de FBI om een ransomware-inbreuk te melden met behulp van het IC3-klachtenverwijzingsformulier.
Neem stappen om de nettolading van malware of ransomware uit uw omgeving te verwijderen en de verspreiding te stoppen.

Voer een volledige, huidige antivirusscan uit op alle verdachte computers en apparaten om de nettolading te detecteren en te verwijderen die is gekoppeld aan de ransomware.

Scan apparaten die gegevens synchroniseren of de doelen van toegewezen netwerkstations.
U kunt Windows Defender of (voor oudere clients) Microsoft Security Essentials gebruiken.

Een alternatief dat u ook helpt bij het verwijderen van ransomware of malware is het hulpprogramma voor het verwijderen van schadelijke software (MSRT).
Herstel eerst bedrijfskritieke systemen. Vergeet niet om opnieuw te controleren of uw back-up goed is voordat u herstelt. Op dit moment hoeft u niet alles te herstellen. Richt u op de top vijf bedrijfskritieke systemen uit uw lijst met herstelbewerkingen.
Als u offline back-ups hebt, kunt u de versleutelde gegevens waarschijnlijk herstellen nadat u de ransomware-nettolading (malware) uit uw omgeving hebt verwijderd. Om toekomstige aanvallen te voorkomen, moet u ervoor zorgen dat ransomware of malware zich niet op uw offline back-up bevindt voordat u herstelt.
Identificeer een veilige back-upafbeelding naar een bepaald tijdstip die niet is geïnfecteerd.

Als u een Recovery Services-kluis gebruikt, moet u de tijdlijn van het incident zorgvuldig doornemen om inzicht te hebben in het juiste tijdstip om een back-up te herstellen.
Om toekomstige aanvallen te voorkomen, scant u een back-up op ransomware of malware voordat u herstelt.
Gebruik een veiligheidsscanner en andere hulpprogramma's voor volledig herstel van het besturingssysteem en scenario's voor het herstellen van gegevens. Microsoft-beveiligingsscanner is een scanprogramma dat is ontworpen om malware van Windows-computers te vinden en te verwijderen. Download het gewoon en voer een scan uit om malware te vinden en probeer wijzigingen ongedaan te maken die zijn aangebracht door geïdentificeerde bedreigingen.
Zorg ervoor dat uw oplossing voor antivirus of eindpuntdetectie en -respons (EDR) up-to-date is. U moet ook up-to-date patches hebben. Een EDR-oplossing, zoals Microsoft Defender voor Eindpunt, heeft de voorkeur.
Nadat bedrijfskritieke systemen actief zijn, herstelt u andere systemen.

Wanneer systemen worden hersteld, begint u met het verzamelen van telemetriegegevens, zodat u formatieve beslissingen kunt nemen over wat u herstelt.
Telemetriegegevens moeten u helpen identificeren of er nog malware op uw systemen is.

Na aanval of simulatie

Voer na een ransomware-aanval of een simulatie van een incidentrespons de volgende stappen uit om uw back-up- en herstelplannen en uw beveiligingspostuur te verbeteren:

  1. Leerpunten identificeren waar het proces niet goed werkte (en mogelijkheden om het proces te vereenvoudigen, te versnellen of anderszins te verbeteren)
  2. Hoofdoorzaakanalyse uitvoeren op de grootste uitdagingen (met voldoende details om ervoor te zorgen dat oplossingen het juiste probleem aanpakken, rekening houdend met mensen, processen en technologie)
  3. De oorspronkelijke inbreuk onderzoeken en herstellen (neem contact op met het Microsoft Detection and Response Team (DART) om te helpen)
  4. Werk uw back-up- en herstelstrategie bij op basis van geleerde lessen en kansen , waarbij prioriteit wordt bepaald op basis van de hoogste impact en de snelste implementatiestappen

Volgende stappen

In dit artikel hebt u geleerd hoe u uw back-up- en herstelplan kunt verbeteren om u te beschermen tegen ransomware. Zie Snel beveiligen tegen ransomware en afpersing voor best practices voor het implementeren van ransomwarebeveiliging.

Belangrijke informatie over de branche:

Microsoft Azure:

Microsoft 365:

Microsoft 365 Defender:

blogberichten van Microsoft Security-team: