Back-up- en herstelplan ter bescherming tegen ransomware

  • Artikel

Ransomware-aanvallen versleutelen of wissen opzettelijk gegevens en systemen om uw organisatie te dwingen geld te betalen aan aanvallers. Deze aanvallen richten zich op uw gegevens, uw back-ups en ook op belangrijke documentatie die u nodig hebt om te herstellen zonder de aanvallers te betalen (als een middel om de kans te vergroten dat uw organisatie betaalt).

In dit artikel wordt uitgelegd wat u moet doen vóór een aanval om uw kritieke bedrijfssystemen en tijdens een aanval te beschermen om een snel herstel van bedrijfsactiviteiten te garanderen.

Notitie

Het voorbereiden van ransomware verbetert ook de tolerantie voor natuurrampen en snelle aanvallen zoals WannaCry & (Niet)Petya.

Wat is ransomware?

Ransomware is een soort afpersingsaanval die bestanden en mappen versleutelt, waardoor toegang tot belangrijke gegevens en systemen wordt voorkomen. Aanvallers gebruiken ransomware om geld van slachtoffers af te trekken door geld te eisen, meestal in de vorm van cryptovaluta's, in ruil voor een ontsleutelingssleutel of in ruil voor het niet vrijgeven van gevoelige gegevens op het donkere web of het openbare internet.

Hoewel vroege ransomware voornamelijk malware gebruikte die zich verspreidde met phishing of tussen apparaten, is er door mensen beheerde ransomware ontstaan waar een groep actieve aanvallers, gedreven door operators voor menselijke aanvallen, alle systemen in een organisatie targeten (in plaats van één apparaat of set apparaten). Een aanval kan:

  • Uw gegevens versleutelen
  • Uw gegevens exfiltreren
  • Uw back-ups beschadigen

De ransomware maakt gebruik van de kennis van de aanvallers van veelvoorkomende systeem- en beveiligingsconfiguraties en beveiligingsproblemen om de organisatie te infiltreren, door het bedrijfsnetwerk te navigeren en zich aan te passen aan de omgeving en de zwakke punten wanneer ze gaan.

Ransomware kan worden gefaseerd om uw gegevens eerst, gedurende enkele weken of maanden, te exfiltreren voordat de ransomware daadwerkelijk wordt uitgevoerd op een specifieke datum.

Ransomware kan uw gegevens ook langzaam versleutelen terwijl u uw sleutel op het systeem houdt. Met uw sleutel nog steeds beschikbaar, zijn uw gegevens bruikbaar voor u en de ransomware gaat onopgemerkt. Uw back-ups zijn echter van de versleutelde gegevens. Zodra al uw gegevens zijn versleuteld en recente back-ups ook versleutelde gegevens zijn, wordt uw sleutel verwijderd, zodat u uw gegevens niet meer kunt lezen.

De echte schade wordt vaak gedaan wanneer de aanval bestanden exfiltreert terwijl ze achterdeurtjes in het netwerk verlaten voor toekomstige schadelijke activiteiten- en deze risico's blijven bestaan of het losgeld wordt betaald. Deze aanvallen kunnen catastrofaal zijn voor bedrijfsactiviteiten en moeilijk op te schonen, waardoor volledige verwijdering van kwaadwillende personen nodig is om te beschermen tegen toekomstige aanvallen. In tegenstelling tot vroege vormen van ransomware die alleen malwareherstel vereist, kan door mensen beheerde ransomware uw zakelijke activiteiten blijven bedreigen na de eerste ontmoeting.

Impact van een aanval

De impact van een ransomware-aanval op elke organisatie is moeilijk om nauwkeurig te kwantificeren. Afhankelijk van het bereik van de aanval kan de impact het volgende omvatten:

  • Verlies van gegevenstoegang
  • Onderbreking van bedrijfsactiviteiten
  • Financieel verlies
  • Diefstal van intellectueel eigendom
  • Gecompromitteerd klantvertrouwen of beschadigde reputatie
  • Juridische kosten

Hoe kan je jezelf beschermen?

De beste manier om te voorkomen dat het slachtoffer wordt van ransomware is om preventieve maatregelen te implementeren en hulpprogramma's te hebben die uw organisatie beschermen tegen elke stap die aanvallers nemen om uw systemen te infiltreren.

U kunt uw on-premises blootstelling verminderen door uw organisatie te verplaatsen naar een cloudservice. Microsoft heeft geïnvesteerd in systeemeigen beveiligingsmogelijkheden die Microsoft Azure tolerant maken tegen ransomware-aanvallen en helpt organisaties ransomware-aanvalstechnieken te verslaan. Voor een uitgebreide weergave van ransomware en afpersing en hoe u uw organisatie kunt beveiligen, gebruikt u de informatie in de PowerPoint-presentatie van het Projectplan voor het beperken van door mensen beheerde ransomware.

U moet aannemen dat u op een bepaald moment het slachtoffer wordt van een ransomware-aanval. Een van de belangrijkste stappen die u kunt ondernemen om uw gegevens te beschermen en te voorkomen dat u losgeld betaalt, is om een betrouwbaar back-up- en herstelplan te hebben voor uw bedrijfskritieke informatie. Omdat ransomware-aanvallers sterk hebben geïnvesteerd in het neutraliseren van back-uptoepassingen en besturingssysteemfuncties zoals volumeschaduwkopie, is het essentieel om back-ups te hebben die niet toegankelijk zijn voor een kwaadwillende aanvaller.

Azure Backup

Azure Backup biedt beveiliging voor uw back-upomgeving, zowel wanneer uw gegevens worden overgedragen als at rest. Met Azure Backup kunt u een back-up maken van:

  • On-premises bestanden, mappen en systeemstatus
  • Volledige Virtuele Windows-/Linux-machines
  • Azure Managed Disks
  • Azure-bestandsshares naar een opslagaccount
  • SQL Server-databases die worden uitgevoerd op Virtuele Azure-machines

De back-upgegevens worden opgeslagen in Azure Storage en de gast of aanvaller heeft geen directe toegang tot back-upopslag of de inhoud ervan. Met back-up van virtuele machines wordt het maken en opslaan van de back-upmomentopname uitgevoerd door Azure-infrastructuur, waarbij de gast of aanvaller geen andere betrokkenheid heeft dan het stilzetten van de workload voor toepassingsconsistente back-ups. Met SQL en SAP HANA krijgt de back-upextensie tijdelijke toegang tot schrijven naar specifieke blobs. Op deze manier kunnen bestaande back-ups, zelfs in een gecompromitteerde omgeving, niet worden gemanipuleerd of verwijderd door de aanvaller.

Azure Backup biedt ingebouwde bewakings- en waarschuwingsmogelijkheden voor het weergeven en configureren van acties voor gebeurtenissen met betrekking tot Azure Backup. Back-uprapporten fungeren als een eenmalige bestemming voor het bijhouden van gebruik, het controleren van back-ups en herstelbewerkingen en het identificeren van belangrijke trends op verschillende granulariteitsniveaus. Met behulp van de bewakings- en rapportagehulpprogramma's van Azure Backup kunt u waarschuwen voor onbevoegde, verdachte of schadelijke activiteiten zodra deze zich voordoen.

Er zijn controles toegevoegd om ervoor te zorgen dat alleen geldige gebruikers verschillende bewerkingen kunnen uitvoeren. Dit omvat het toevoegen van een extra verificatielaag. Als onderdeel van het toevoegen van een extra verificatielaag voor kritieke bewerkingen, wordt u gevraagd een beveiligingspincode in te voeren voordat u onlineback-ups wijzigt.

Meer informatie over de beveiligingsfuncties die zijn ingebouwd in Azure Backup.

Back-ups valideren

Controleer of uw back-up goed is als uw back-up wordt gemaakt en voordat u deze herstelt. U wordt aangeraden een Recovery Services-kluis te gebruiken, een opslagentiteit in Azure die gegevens bevat. De gegevens bestaan meestal uit kopieën van gegevens of configuratiegegevens voor virtuele machines (VM's), workloads, servers of werkstations. U kunt Recovery Services-kluizen gebruiken voor het opslaan van back-upgegevens voor verschillende Azure-services, zoals IaaS-VM's (Linux of Windows) en Azure SQL-databases, evenals on-premises assets. Met Recovery Services-kluizen kunt u uw back-upgegevens eenvoudig ordenen en functies bieden zoals:

  • Verbeterde mogelijkheden om ervoor te zorgen dat u uw back-ups kunt beveiligen en gegevens veilig kunt herstellen, zelfs als productie- en back-upservers zijn aangetast. Meer informatie.
  • Bewaking voor uw hybride IT-omgeving (Azure IaaS-VM's en on-premises assets) vanuit een centrale portal. Meer informatie.
  • Compatibiliteit met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC), waarmee back-up- en hersteltoegang tot een gedefinieerde set gebruikersrollen wordt beperkt. Azure RBAC biedt verschillende ingebouwde rollen en Azure Backup heeft drie ingebouwde rollen voor het beheren van herstelpunten. Meer informatie.
  • Beveiliging tegen voorlopig verwijderen, zelfs als een kwaadwillende actor een back-up verwijdert (of back-upgegevens per ongeluk worden verwijderd). Back-upgegevens worden 14 extra dagen bewaard, zodat een back-upitem zonder gegevensverlies kan worden hersteld. Meer informatie.
  • Herstellen tussen regio's, waarmee u Virtuele Azure-machines in een secundaire regio kunt herstellen, een gekoppelde Azure-regio. U kunt de gerepliceerde gegevens in de secundaire regio op elk gewenst moment herstellen. Hiermee kunt u de secundaire regiogegevens herstellen voor auditcompatibiliteit en tijdens storingsscenario's, zonder te wachten tot Azure een noodgeval moet declareren (in tegenstelling tot de GRS-instellingen van de kluis). Meer informatie.

Notitie

Er zijn twee typen kluizen in Azure Backup. Naast de Recovery Services-kluizen zijn er ook Backup-kluizen die gegevens bevatten voor nieuwere workloads die worden ondersteund door Azure Backup.

Wat u moet doen vóór een aanval

Zoals eerder vermeld, moet u ervan uitgaan dat u op een bepaald moment het slachtoffer zult worden van een ransomware-aanval. Door uw bedrijfskritieke systemen te identificeren en aanbevolen procedures toe te passen voordat een aanval zo snel mogelijk weer aan de slag gaat.

Bepalen wat voor u het belangrijkst is

Ransomware kan aanvallen terwijl u van plan bent voor een aanval, zodat uw eerste prioriteit moet zijn om de bedrijfskritieke systemen te identificeren die voor u het belangrijkst zijn en beginnen met het uitvoeren van regelmatige back-ups op deze systemen.

In onze ervaring vallen de vijf belangrijkste toepassingen voor klanten in de volgende categorieën in deze prioriteitsvolgorde:

  • Identiteitssystemen: vereist voor gebruikers om toegang te krijgen tot systemen (inclusief alle andere die hieronder worden beschreven), zoals Active Directory, Microsoft Entra Verbinding maken, AD-domeincontrollers
  • Menselijk leven – elk systeem dat het menselijk leven ondersteunt of het in gevaar kan brengen, zoals medische of levensondersteuningssystemen, veiligheidssystemen (ambulance, verzendingssystemen, verkeerslichtcontrole), grote machines, chemische/biologische systemen, productie van voedsel of persoonlijke producten, en andere
  • Financiële systemen – systemen die monetaire transacties verwerken en het bedrijf operationeel houden, zoals betalingssystemen en gerelateerde databases, financieel systeem voor kwartaalrapportage
  • Product- of service-activering: systemen die nodig zijn om de zakelijke services te leveren of fysieke producten te produceren/leveren waarvoor uw klanten u betalen, fabriekscontrolesystemen, productleverings-/verzendsystemen en soortgelijke
  • Beveiliging (minimum) – U moet ook prioriteit geven aan de beveiligingssystemen die nodig zijn om te controleren op aanvallen en minimale beveiligingsservices te bieden. Dit moet erop gericht zijn ervoor te zorgen dat de huidige aanvallen (of eenvoudige opportunistische aanvallen) niet onmiddellijk toegang kunnen krijgen (of opnieuw kunnen krijgen) tot uw herstelde systemen

Uw lijst met back-ups met prioriteit wordt ook uw lijst met prioriteit terugzetten. Zodra u uw kritieke systemen hebt geïdentificeerd en regelmatig back-ups uitvoert, voert u stappen uit om uw blootstellingsniveau te verminderen.

Stappen die moeten worden uitgevoerd vóór een aanval

Pas deze aanbevolen procedures toe vóór een aanval.

Opdracht Details
Identificeer de belangrijke systemen die u nodig hebt om eerst weer online te komen (met behulp van de vijf belangrijkste categorieën hierboven) en begin onmiddellijk met het uitvoeren van regelmatige back-ups van deze systemen. Om zo snel mogelijk weer aan de slag te gaan na een aanval, bepaalt u vandaag wat voor u het belangrijkst is.
Migreer uw organisatie naar de cloud.

Overweeg om een Microsoft Unified Support-plan aan te schaffen of samen te werken met een Microsoft-partner om u te helpen bij de overstap naar de cloud.		 Verminder uw on-premises blootstelling door gegevens naar cloudservices te verplaatsen met automatische back-up en selfservice terugdraaien. Microsoft Azure heeft een robuuste set hulpprogramma's waarmee u een back-up kunt maken van uw bedrijfskritieke systemen en uw back-ups sneller kunt herstellen.

Microsoft Unified Support is een ondersteuningsmodel voor cloudservices dat u helpt wanneer u dit nodig hebt. Geïntegreerde ondersteuning:

Biedt een aangewezen team dat 24x7 beschikbaar is met de benodigde probleemoplossing en kritieke incidentescalatie

Helpt u bij het bewaken van de status van uw IT-omgeving en werkt proactief om ervoor te zorgen dat problemen worden voorkomen voordat ze plaatsvinden
Verplaats gebruikersgegevens naar cloudoplossingen zoals OneDrive en SharePoint om te profiteren van de mogelijkheden voor versiebeheer en prullenbakken.

Informeer gebruikers over het zelf herstellen van hun bestanden om vertragingen en kosten van herstel te verminderen. Als de OneDrive-bestanden van een gebruiker bijvoorbeeld zijn geïnfecteerd door malware, kunnen ze hun hele OneDrive terugzetten naar een vorige keer.

Overweeg een verdedigingsstrategie, zoals Microsoft Defender XDR, voordat gebruikers hun eigen bestanden kunnen herstellen.		 Gebruikersgegevens in de Microsoft-cloud kunnen worden beveiligd door ingebouwde beveiligings- en gegevensbeheerfuncties.

Het is goed om gebruikers te leren hoe ze hun eigen bestanden kunnen herstellen, maar u moet voorzichtig zijn dat uw gebruikers de malware die wordt gebruikt om de aanval uit te voeren niet herstellen. U moet het volgende doen:

Zorg ervoor dat uw gebruikers hun bestanden pas herstellen als u zeker weet dat de aanvaller is verwijderd

Er is een beperking ingesteld voor het geval een gebruiker een deel van de malware herstelt

Microsoft Defender XDR maakt gebruik van door AI aangedreven automatische acties en playbooks om betrokken assets terug te herstellen naar een veilige status. Microsoft Defender XDR maakt gebruik van automatische herstelmogelijkheden van de suiteproducten om ervoor te zorgen dat alle betrokken assets met betrekking tot een incident waar mogelijk automatisch worden hersteld.
Implementeer de Microsoft Cloud Security-benchmark. De Microsoft Cloud Security Benchmark is ons framework voor beveiligingscontrole op basis van branchegebaseerde frameworks voor beveiligingscontrole, zoals NIST SP800-53, CIS Controls v7.1. Het biedt organisaties richtlijnen voor het configureren van Azure- en Azure-services en het implementeren van de beveiligingscontroles. Zie Back-up en herstel.
Oefen regelmatig uw plan voor bedrijfscontinuïteit/herstel na noodgevallen (BC/DR).

Scenario's voor incidentrespons simuleren. Oefeningen die u uitvoert bij het voorbereiden van een aanval, moeten worden gepland en uitgevoerd rond uw lijsten met back-ups en herstel met prioriteit.

Test regelmatig het scenario 'Herstellen van nul' om ervoor te zorgen dat uw BC/DR snel kritieke bedrijfsactiviteiten online kan brengen vanuit nulfunctionaliteit (alle systemen zijn niet beschikbaar).		 Zorgt voor snel herstel van bedrijfsactiviteiten door een ransomware- of afpersingsaanval te behandelen met hetzelfde belang als een natuurramp.

Oefenoefeningen uitvoeren om processen en technische procedures voor meerdere teams te valideren, inclusief out-of-band werknemers- en klantcommunicatie (stel dat alle e-mail en chat is uitgeschakeld).
Overweeg een risicoregister te maken om potentiële risico's te identificeren en te bepalen hoe u door preventieve controles en acties gaat mediaatiseren. Voeg ransomware toe om te registreren als hoge waarschijnlijkheid en scenario met hoge impact. Een risicoregister kan u helpen bij het prioriteren van risico's op basis van de waarschijnlijkheid van dat risico dat zich voordoet en de ernst van uw bedrijf.

Volg de risicobeperkingsstatus via de EVALUATIEcyclus van Enterprise Risk Management (ERM ).
Maak automatisch een back-up van alle kritieke bedrijfssystemen volgens een regelmatig schema (inclusief back-up van kritieke afhankelijkheden zoals Active Directory).

Controleer of uw back-up goed is als uw back-up wordt gemaakt.		 Hiermee kunt u gegevens tot de laatste back-up herstellen.
Beveilig (of druk) ondersteunende documenten en systemen af die nodig zijn voor herstel, zoals herstelproceduredocumenten, CMDB, netwerkdiagrammen en SolarWinds-exemplaren. Aanvallers richten zich bewust op deze resources omdat dit van invloed is op uw vermogen om te herstellen.
Zorg ervoor dat u goed gedocumenteerde procedures hebt voor het betrekken van ondersteuning van derden, met name ondersteuning van bedreigingsinformatieproviders, antimalwareoplossingsproviders en van de provider van malwareanalyse. Beveilig (of druk) deze procedures af. Contactpersonen van derden kunnen nuttig zijn als de opgegeven ransomware-variant bekende zwakke punten of ontsleutelingshulpprogramma's beschikbaar zijn.
Zorg ervoor dat back-up- en herstelstrategie het volgende omvat:

Mogelijkheid om een back-up te maken van gegevens naar een bepaald tijdstip.

Meerdere kopieën van back-ups worden opgeslagen op geïsoleerde, offlinelocaties (air-gapped).

Hersteltijddoelstellingen die bepalen hoe snel een back-up van gegevens kan worden opgehaald en in een productieomgeving kunnen worden geplaatst.

Snel herstellen van back-ups naar een productieomgeving/sandbox.		 Back-ups zijn essentieel voor tolerantie nadat een organisatie is geschonden. Pas de regel 3-2-1 toe voor maximale beveiliging en beschikbaarheid: 3 kopieën (originele + 2 back-ups), 2 opslagtypen en 1 offsite of koude kopie.
Bescherm back-ups tegen opzettelijke verwijdering en versleuteling:

Sla back-ups op in offline- of off-siteopslag en/of onveranderbare opslag.

Schakel out-of-bandstappen (zoals MFA of een beveiligingspincode) in voordat een onlineback-up kan worden gewijzigd of gewist.

Maak privé-eindpunten in uw Virtuele Azure-netwerk om veilig een back-up te maken van en gegevens te herstellen vanuit uw Recovery Services-kluis.		 Back-ups die toegankelijk zijn voor aanvallers, kunnen onbruikbaar worden gemaakt voor bedrijfsherstel.

Offlineopslag zorgt voor een robuuste overdracht van back-upgegevens zonder gebruik te maken van netwerkbandbreedte. Azure Backup biedt ondersteuning voor offlineback-up, waarmee de eerste back-upgegevens offline worden overgedragen, zonder gebruik te maken van netwerkbandbreedte. Het biedt een mechanisme voor het kopiëren van back-upgegevens naar fysieke opslagapparaten. De apparaten worden vervolgens verzonden naar een nabijgelegen Azure-datacenter en geüpload naar een Recovery Services-kluis.

Met online onveranderbare opslag (zoals Azure Blob) kunt u bedrijfskritieke gegevensobjecten opslaan in een WORM-status (Write Once, Read Many). Met deze status kunnen de gegevens niet worden verwijderd en kunnen ze niet worden gewijzigd voor een door de gebruiker opgegeven interval.

Meervoudige verificatie (MFA) moet verplicht zijn voor alle beheerdersaccounts en wordt sterk aanbevolen voor alle gebruikers. De voorkeursmethode is om waar mogelijk een verificator-app te gebruiken in plaats van sms of spraak. Wanneer u Azure Backup instelt, kunt u uw recovery services configureren om MFA in te schakelen met behulp van een beveiligingspincode die is gegenereerd in Azure Portal. Dit zorgt ervoor dat er een beveiligingspincode wordt gegenereerd om kritieke bewerkingen uit te voeren, zoals het bijwerken of verwijderen van een herstelpunt.
Beveiligde mappen aanwijzen. Maakt het moeilijker voor niet-geautoriseerde toepassingen om de gegevens in deze mappen te wijzigen.
Controleer uw machtigingen:

Ontdek uitgebreide schrijf-/verwijdermachtigingen voor bestandsshares, SharePoint en andere oplossingen. Breed wordt gedefinieerd als veel gebruikers met schrijf-/verwijdermachtigingen voor bedrijfskritieke gegevens.

Verminder brede machtigingen terwijl u voldoet aan de vereisten voor zakelijke samenwerking.

Controleren en controleren om ervoor te zorgen dat brede machtigingen niet opnieuw worden weergegeven.		 Vermindert het risico van brede toegangs-inschakelende ransomware-activiteiten.
Bescherming tegen een phishingpoging:

Voer regelmatig training voor beveiligingsbewustzijn uit om gebruikers te helpen een phishingpoging te identificeren en te voorkomen dat ze op iets klikken dat een eerste toegangspunt voor een inbreuk kan maken.

Pas besturingselementen voor beveiligingsfilters toe op e-mail om de kans op een geslaagde phishingpoging te detecteren en te minimaliseren.		 De meest voorkomende methode die door aanvallers wordt gebruikt om een organisatie te infiltreren, is phishingpogingen via e-mail. Exchange Online Protection (EOP) is de cloudfilterservice die uw organisatie beschermt tegen spam, malware en andere e-mailbedreigingen. EOP is opgenomen in alle Microsoft 365-organisaties met Exchange Online-postvakken.

Een voorbeeld van een besturingselement voor beveiligingsfilters voor e-mail is Veilige koppelingen. Veilige koppelingen is een functie in Defender voor Office 365 die het scannen en herschrijven van URL's en koppelingen in e-mailberichten biedt tijdens de inkomende e-mailstroom, en het controleren van de tijd van klikken op URL's en koppelingen in e-mailberichten en andere locaties (Microsoft Teams en Office-documenten). Het scannen van veilige koppelingen vindt plaats naast de reguliere antispam- en antimalwarebeveiliging in binnenkomende e-mailberichten in EOP. Met het scannen van veilige koppelingen kunt u uw organisatie beschermen tegen schadelijke koppelingen die worden gebruikt bij phishing en andere aanvallen.

Meer informatie over bescherming tegen phishing.

Wat u moet doen tijdens een aanval

Als u wordt aangevallen, wordt uw lijst met back-ups met prioriteit uw lijst met prioriteit terugzetten. Voordat u herstelt, controleert u nogmaals of uw back-up goed is. Mogelijk kunt u zoeken naar malware in de back-up.

Stappen die moeten worden uitgevoerd tijdens een aanval

Pas deze aanbevolen procedures toe tijdens een aanval.

Opdracht Details
Neem vroeg in de aanval contact op met ondersteuning van derden, met name ondersteuning van bedreigingsinformatieproviders, antimalwareoplossingsproviders en van de provider van malwareanalyse. Deze contacten kunnen nuttig zijn als de opgegeven ransomware variant een bekende zwakte of ontsleuteling tools beschikbaar zijn.

Microsoft Detection and Response Team (DART) kan u helpen beschermen tegen aanvallen. De DART neemt contact op met klanten over de hele wereld, helpt om aanvallen te beschermen en te beveiligen voordat ze plaatsvinden, en onderzoekt en herstelt wanneer er een aanval is opgetreden.

Microsoft biedt ook Rapid Ransomware Recovery-services. Services worden uitsluitend geleverd door de Microsoft Global Compromise Recovery Security Practice (CRSP). De focus van dit team tijdens een ransomware-aanval is om de verificatieservice te herstellen en de impact van ransomware te beperken.

DART en CRSP maken deel uit van de beveiligingsserviceregel Industry Solutions Van Microsoft.
Neem contact op met uw lokale of federale rechtshandhavingsinstanties. Als u zich in de Verenigde Staten bevindt, neemt u contact op met de FBI om een ransomware-inbreuk te melden via het IC3-verwijzingsformulier voor klachten.
Voer stappen uit om malware of ransomware-nettolading uit uw omgeving te verwijderen en de verspreiding te stoppen.

Voer een volledige, huidige antivirusscan uit op alle verdachte computers en apparaten om de nettolading te detecteren en te verwijderen die is gekoppeld aan de ransomware.

Scan apparaten die gegevens synchroniseren of de doelen van toegewezen netwerkstations.		 U kunt Windows Defender of (voor oudere clients) Microsoft Security Essentials gebruiken.

Een alternatief dat u ook helpt bij het verwijderen van ransomware of malware is het hulpprogramma voor het verwijderen van schadelijke software (MSRT).
Herstel eerst bedrijfskritieke systemen. Vergeet niet om opnieuw te valideren dat uw back-up goed is voordat u herstelt. Op dit moment hoeft u niet alles te herstellen. Richt u op de vijf belangrijkste bedrijfskritieke systemen uit uw herstellijst.
Als u offline back-ups hebt, kunt u waarschijnlijk de versleutelde gegevens herstellen nadat u de ransomware-nettolading (malware) uit uw omgeving hebt verwijderd. Om toekomstige aanvallen te voorkomen, moet u ervoor zorgen dat ransomware of malware niet op uw offline back-up staat voordat u herstelt.
Identificeer een veilige back-upinstallatiekopieën van een bepaald tijdstip die bekend zijn dat ze niet zijn geïnfecteerd.

Als u Recovery Services-kluis gebruikt, bekijkt u de tijdlijn voor incidenten zorgvuldig om inzicht te hebben in het juiste tijdstip om een back-up te herstellen.		 Om toekomstige aanvallen te voorkomen, scant u back-up op ransomware of malware voordat u herstelt.
Gebruik een veiligheidsscanner en andere hulpprogramma's voor volledig herstel van het besturingssysteem en scenario's voor gegevensherstel. Microsoft-beveiligingsscanner is een scanprogramma dat is ontworpen om malware van Windows-computers te vinden en te verwijderen. Download deze en voer een scan uit om malware te vinden en probeer wijzigingen die zijn aangebracht door geïdentificeerde bedreigingen te omkeren.
Zorg ervoor dat uw antivirus- of eindpuntdetectie en -respons -oplossing (EDR) up-to-date is. U moet ook up-to-date patches hebben. Een EDR-oplossing, zoals Microsoft Defender voor Eindpunt, heeft de voorkeur.
Nadat bedrijfskritieke systemen actief zijn, herstelt u andere systemen.

Wanneer systemen worden hersteld, begint u met het verzamelen van telemetriegegevens, zodat u formatieve beslissingen kunt nemen over wat u herstelt.		 Met telemetriegegevens kunt u vaststellen of malware zich nog op uw systemen bevindt.

Post-aanval of simulatie

Na een ransomware-aanval of een simulatie van reacties op incidenten voert u de volgende stappen uit om uw back-up- en herstelplannen en uw beveiligingspostuur te verbeteren:

  1. Identificeer lessen die zijn geleerd waar het proces niet goed werkte (en mogelijkheden om het proces te vereenvoudigen, te versnellen of anderszins te verbeteren)
  2. Voer hoofdoorzaakanalyse uit op de grootste uitdagingen (op voldoende detail om ervoor te zorgen dat oplossingen het juiste probleem aanpakken, rekening houdend met mensen, processen en technologie)
  3. Onderzoek en herstel de oorspronkelijke inbreuk (neem contact op met het Microsoft Detection and Response Team (DART) om u te helpen)
  4. Werk uw strategie voor back-up en herstel bij op basis van geleerde lessen en kansen: prioriteit geven op basis van de hoogste impact en de snelste implementatiestappen eerst

Volgende stappen

In dit artikel hebt u geleerd hoe u uw back-up- en herstelplan kunt verbeteren om te beschermen tegen ransomware. Zie Snel beschermen tegen ransomware en afpersing voor aanbevolen procedures voor het implementeren van ransomwarebeveiliging.

Belangrijke informatie over de branche:

Microsoft Azure:

Microsoft 365:

Microsoft Defender XDR:

Blogberichten van het Microsoft Security-team: