Eerste hulp bij een cyberaanval! Stop criminelen in 7 stappen

Dit webinar van het Center for Cyber Security Belgium geeft advies om de aanval te stoppen. Bekijk de video of leer met dit artikel hoe je een cyberattack stopt in 7 stappen. 

Stap 1. Waarschuw iedereen 

Waarschuw iedereen die jouw IT-systemen beheert over de infectie, zodat alle aangetaste computers en servers van het netwerk ontkoppeld kunnen worden. Ontkoppel ook externe harde schijven om verdere infectie te voorkomen.

Schakel de computers niet uit. Wie dat wel doet, kan belangrijke data verliezen die nodig is om de aanval te stoppen.

Stap 2. Zoek de oorzaak

Probeer vervolgens zo snel mogelijk te begrijpen waar de aanval vandaan komt. Stel jezelf de volgende vragen:

• Heeft een medewerker op een link in een e-mail geklikt? 
• Zijn het besturingssysteem, de applicaties of andere software niet up-to-date? 
• Heeft iemand bewust of onbewust een virus geïnstalleerd?

 
Vraag je collega's wat er gebeurde vlak voor ze de cyberattack ontdekten. Probeer te begrijpen hoe de aanvaller binnen geraakte. Het webinar over cyberdreigingen lijst de opties op.

Stap 3. Ruim de infectie op 

Zoek naar sporen op het systeem. Doe bijvoorbeeld een virusscan. Als je een virus ontdekt, kan je beter begrijpen waar het bestand vandaan komt.

Deel je bevindingen met je collega's, zodat ze de infectie niet opnieuw binnenhalen. Als de infectie bijvoorbeeld via een e-mail binnenkwam, waarschuw hen dan zo snel mogelijk.

Ga na of hetzelfde incident op alle andere systemen in je IT-omgeving voorkomt. Vind je bijvoorbeeld software die externe toegang geeft, maar die niemand in je team installeerde? Dan check je of deze ook op andere computers of servers staat. 

Als je hebt gevonden waar de infectie vandaan komt, voeg dan een virusscan uit. Doe vervolgens een update van besturingssystemen en software op alle systemen in je netwerk.

Stap 4. Herinstalleer en herstart 

Het is risicovol om geïnfecteerde systemen terug aan het netwerk te hangen. Als de infectie zich nog verder kan verspreiden, zoals bij ransomware , doe je dit beter niet. 

Een volledige herinstallatie en herstart van geïnfecteerde systemen is vaak nodig. Herinstalleer de laatste versie van de software. Let wel op! Als je geen back-up maakte van alle bestanden ben je jouw bestanden kwijt na een herinstallatie. 

Stap 5. Verander wachtwoorden 

Controleer vervolgens de toegangen. Het is belangrijk om alle accounts na te kijken en eventueel toegang te weigeren.
Laat de wachtwoorden van alle accounts veranderen. Aanvallers gebruiken soms oude accounts met zwakke wachtwoorden om binnen te geraken. Wis deze.
 
Maak vervolgens volledig nieuwe accounts aan. Bekijk zeker welke gebruikers toegang hebben tot de clouddiensten waarop je organisatie een abonnement heeft.

Stap 6. Monitor je omgeving

Is de aanval gestopt? Wees nu extra waakzaam en monitor je IT-omgeving. Als je merkt dat de aanval opnieuw start, is de infectie niet volledig verwijderd. 

Je IT-omgeving monitoren doe je door te loggen. Bekijk de webinar over monitoren en loggen.

Stap 7. Verwittig de autoriteiten

Als het incident ernstig is, meld je dit bij de autoriteiten.

Doe zo snel mogelijk aangifte van de computercriminaliteit bij de lokale politie, is het advies van het Ministerie van Justitie. Verzamel hiervoor zoveel mogelijk bewijzen.

Geef vervolgens het nummer van het proces-verbaal door aan je bank en je verzekeraar.

Vul ook dit uitgebreid invulformulier van de CERT in. Zo zijn de diensten die in België onderzoek doen naar cybercriminaliteit meteen en gedetailleerd op de hoogte.