Ransomware Respons in de Eerste 60 Minuten

Minuut 0–5: Bevestigen en Classificeren

De eerste paar minuten gaan over het bevestigen waarmee u te maken heeft en het activeren van uw responsstructuur. Niet elke verdachte melding is ransomware, en valse positieven verspillen kostbare tijd als u te vroeg escaleert.

• Bevestig de detectie — Controleer op ransomware-indicatoren: versleutelde bestanden met ongewone extensies, loszeldnotities op desktops, massale bestandsnaamwijzigingen in monitoringtools
• Identificeer getroffen systemen — Gebruik uw EDR-console, SIEM of netwerkmonitoring om te bepalen hoeveel endpoints versleutelingsactiviteit vertonen
• Classificeer de omvang — Gaat het om één werkstation, een afdeling of de hele organisatie? De omvang bepaalt uw containmentstrategie

Minuut 5–10: IR-team Activeren

Zodra u ransomware-activiteit heeft bevestigd, activeert u onmiddellijk uw incident response-team. Elke minuut vertraging is een minuut die de aanvaller gebruikt om meer systemen te versleutelen.

• Alarmeer het IR-team — Gebruik uw oproepschema. Stuur geen e-mails — het e-mailsysteem kan gecompromitteerd zijn
• Wijs rollen toe — Incident Commander, Technical Lead, Communications Lead, Scribe. Als u een IR-plan heeft, volg het dan
• Stel een commandokanaal in — Richt een speciaal communicatiekanaal in buiten uw bedrijfsinfrastructuur (Signal, out-of-band telefoonbrug, enz.)

Minuut 10–15: Initiële Informatie Vergaren

Verzamel voldoende informatie om in de volgende fase weloverwogen containmentbeslissingen te nemen.

• Identificeer de ransomware-variant — Losgeldnotities, versleutelde bestandsextensies en procesnamen kunnen helpen de specifieke soort te identificeren. Tools zoals ID Ransomware kunnen hierbij helpen
• Controleer op indicatoren van data-exfiltratie — Veel moderne ransomware-groepen exfiltreren data voordat ze versleutelen. Controleer op ongebruikelijke uitgaande dataoverdrachten in netwerklogboeken
• Beoordeel de back-upstatus — Bepaal of uw back-ups intact, offline of mogelijk gecompromitteerd zijn. Aanvallers richten zich routinematig eerst op back-upsystemen

Minuut 15–20: Netwerk Indammen

Netwerkindamming is doorgaans de snelste manier om laterale verspreiding te stoppen.

• Isoleer getroffen netwerksegmenten — Gebruik firewallregels of netwerkswitches om getroffen VLANs van de rest van het netwerk af te snijden
• Blokkeer bekende C2-communicatie — Als u de command-and-control-infrastructuur heeft geïdentificeerd, blokkeer die IP-adressen en domeinen onmiddellijk aan de perimeter
• Schakel gecompromitteerde accounts uit — Als u de toegangsaccounts van de aanvaller heeft geïdentificeerd, schakel ze uit in Active Directory. Overweeg het krbtgt-account opnieuw in te stellen als domeincompromittering vermoed wordt

Minuut 20–25: Endpoint Indammen

Netwerkisolatie alleen is niet voldoende. U heeft ook endpoint-niveau indamming nodig om versleuteling op individuele systemen te stoppen.

• Gebruik EDR om endpoints te isoleren — De meeste EDR-platforms ondersteunen netwerkisolatie die het endpoint bereikbaar houdt via de EDR-console terwijl alle andere netwerktoegang wordt afgesneden
• Schakel systemen NIET uit — Dit is een kritieke fout. Uitzetten vernietigt vluchtig geheugen, actieve netwerkverbindingen en lopende procesgegevens die essentieel zijn voor forensisch onderzoek
• Als er geen EDR beschikbaar is — Koppel netwerkkabels los (schakel niet uit). Voor draadloze apparaten schakelt u de Wi-Fi-adapter uit

Minuut 25–30: Effectiviteit Containment Beoordelen

• Bewaak op nieuwe versleutelingsactiviteit — Worden er na de containmentacties nog steeds nieuwe systemen getroffen?
• Controleer de status van kritieke systemen — Controleer domeincontrollers, back-upservers en andere Tier 0-assets
• Beslis over externe ondersteuning — Als de omvang de capaciteit van uw team overstijgt, is dit het moment om externe IR-ondersteuning in te schakelen. Wacht niet tot het vierde uur

Minuut 30–40: Bewijsbewaring

Elke actie die u neemt (of nalaat) in dit tijdvenster beïnvloedt uw vermogen om het incident te onderzoeken, aan regelgevende vereisten te voldoen en eventueel juridische stappen te ondernemen.

• Leg eerst vluchtige data vast — Geheugendumps van sleutelsystemen (met name domeincontrollers en het initiële infectiepunt). Gebruik tools zoals winpmem of de geheugenvastleggingsfunctie van uw EDR
• Verzamel kritieke logboeken — Beveiligingsgebeurtenislogboeken, Sysmon-logboeken, PowerShell-logboeken en EDR-telemetrie. Deze kunnen doelwit zijn voor verwijdering door de aanvaller. Zie onze handleiding voor Windows forensische artefacten voor een volledige verzamelchecklist
• Maak forensische images — Prioriteer het maken van images van het initiële infectiepunt en systemen met indicatoren van aanvallersactiviteit
• Bewaar losgeldnotities en versleutelde voorbeelden — Deze bevatten soort-identificatie en mogelijk decryptie-informatie

Minuut 40–50: Communicatie met Stakeholders

Op dit punt moet uw Communications Lead het notificatieproces activeren.

• Brief de directie — Geef informatie over de omvang, huidige status en verwachte vervolgstappen. Vermijd speculatie over attributie of totale impact
• Schakel juridisch advies in — Meldingsverplichtingen bij datalekken variëren per jurisdictie en gegevenstype. Juridische zaken moet de regelgevende verplichtingen vroeg beoordelen
• Informeer uw cyberverzekeringsdekking — De meeste polissen hebben meldingsvensters. Late melding kan de dekking beïnvloeden
• Bereid verklaringen voor — Stel interne en externe communicatie op. Onthul op dit moment geen technische details publiekelijk

Minuut 50–60: De Volgende Fase Plannen

• Stel onderzoeksprioriteiten vast — Initiële toegangsvector, tijdlijn van laterale beweging, omvang van data-exfiltratie
• Resourceplanning — Heeft u extra IR-capaciteit nodig? Forensische specialisten? Juridische ondersteuning?
• Stel een briefingcadans in — Bepaal regelmatige update-intervallen voor de directie (elke 2–4 uur in de eerste 24 uur)
• Documenteer alles — Zorg ervoor dat uw Scribe elke beslissing, actie en observatie heeft vastgelegd. Deze documentatie is cruciaal voor de post-incident review en eventuele juridische procedures