Ransomware voorkomen: 7 stappen voor KMO's

Ransomware versleutelt je bestanden en eist losgeld. Voor grote bedrijven is het vervelend. Voor KMO’s kan het het einde betekenen. Volgens het CCB heeft een derde van de getroffen kleine bedrijven moeite om volledig te herstellen. De gemiddelde downtime na een aanval: drie weken.

Het goede nieuws: de meeste ransomware-aanvallen zijn te voorkomen met maatregelen die je vandaag kunt nemen. Geen dure systemen, geen security-team — zeven concrete stappen.

Hoe ransomware binnenkomt

Ransomware verschijnt niet uit het niets. Er zijn drie veelvoorkomende ingangen bij KMO’s:

1. Phishing. Een medewerker opent een bijlage of klikt op een link in een nep-mail. De malware installeert zich en begint met versleutelen. Dit is veruit de meest gebruikte methode
2. Onbeveiligde remote toegang. RDP (Remote Desktop Protocol) zonder MFA is een open deur. Aanvallers scannen het internet continu op open RDP-poorten en proberen standaardwachtwoorden
3. Ongepatchte software. Bekende kwetsbaarheden in software die niet is bijgewerkt, worden actief misbruikt. De tijd tussen het publiceren van een patch en het misbruik ervan wordt steeds korter

In veel gevallen zitten aanvallers al dagen tot weken in je netwerk voordat ze de ransomware activeren. Ze brengen eerst je systemen in kaart, zoeken naar backups en stelen gegevens. Die gestolen data gebruiken ze als extra drukmiddel: betaal je niet, dan publiceren ze je bedrijfsdata.

Stap 1: maak en test offline backups

Backups zijn je belangrijkste bescherming. Niet tegen de aanval zelf, maar tegen de gevolgen. Met een werkende backup kun je herstellen zonder losgeld te betalen.

Maar: ransomware zoekt actief naar backups om die mee te versleutelen. Een backup op dezelfde server of in een gesynchroniseerde cloudmap is dus waardeloos bij een aanval.

Concreet:

• Volg de 3-2-1 regel: 3 kopieën, 2 verschillende media, 1 offsite
• Minimaal één backup moet offline zijn — losgekoppeld van je netwerk. Een externe harde schijf die je na de backup loskoppelt, of een cloudbackup met aparte inloggegevens die niet via je netwerk bereikbaar zijn
• Test je backup maandelijks. Kun je daadwerkelijk bestanden herstellen? De meeste bedrijven testen hun backups nooit en ontdekken het probleem pas wanneer ze die nodig hebben
• Bewaar meerdere versies. Als ransomware ongemerkt dagen actief is, kan je meest recente backup al versleutelde bestanden bevatten. Bewaar backups van minimaal 30 dagen terug

Stap 2: schakel MFA in overal

Multifactorauthenticatie (MFA) blokkeert het overgrote deel van aanvallen met gestolen wachtwoorden. Zonder MFA is één gelekt wachtwoord genoeg om je hele omgeving binnen te komen.

Concreet:

• Schakel MFA in voor alle accounts, niet alleen admin-accounts. Begin met e-mail, cloudopslag en remote toegang
• Gebruik een authenticatie-app, geen SMS. SMS is beter dan niets, maar kwetsbaarder voor SIM-swapping
• Remote Desktop (RDP) zonder MFA is onacceptabel. Gebruik een VPN met MFA als tussenlaag, of schakel RDP volledig uit als je het niet nodig hebt

Stap 3: houd software up-to-date

Ongepatchte software is een van de drie hoofdingangen voor ransomware. De tijd tussen het verschijnen van een patch en het eerste misbruik bedraagt soms nog maar uren.

Concreet:

• Schakel automatische updates in op alle werkstations en servers
• Prioriteer beveiligingsupdates voor systemen die aan het internet hangen: firewalls, VPN-concentrators, mailservers
• Inventariseer je software. Je kunt niet patchen wat je niet weet te hebben. Het CyFun Identify-domein vraagt hier expliciet om
• Vervang end-of-life software. Windows 10 bereikt in oktober 2025 het einde van de ondersteuning. Systemen zonder beveiligingsupdates zijn een open doelwit

Stap 4: segmenteer je netwerk

Als ransomware één apparaat besmet, verspreidt het zich lateraal door je netwerk. Netwerksegmentatie beperkt de schade: het houdt de besmetting in één segment en beschermt de rest.

Concreet:

• Scheid minimaal je wifi-netwerk voor gasten van je bedrijfsnetwerk
• Zet servers (als je die hebt) in een apart netwerksegment, gescheiden van werkstations
• Beperk admin-rechten. Niet elke medewerker heeft admin-toegang nodig op zijn laptop. Ransomware met admin-rechten richt veel meer schade aan
• Schakel bestandsdeling tussen werkstations uit als dat niet nodig is

Stap 5: bescherm je e-mail

Phishing via e-mail is de meest gebruikte ransomware-vector. Je e-mailbeveiliging is daarmee je eerste verdedigingslijn.

Concreet:

• Stel DMARC, SPF en DKIM in voor je e-maildomein. Dit voorkomt dat aanvallers e-mails versturen die van jou lijken te komen, en helpt je spamfilter beter te werken
• Blokkeer gevaarlijke bijlagetypen (.exe, .js, .vbs, .scr) op serverniveau. De meeste bedrijven hebben geen reden om deze via e-mail te ontvangen
• Train je medewerkers. Technische filters vangen veel op, maar niet alles. Medewerkers die phishing herkennen zijn je tweede verdedigingslijn. Onze phishing-gids helpt daarbij

Stap 6: gebruik endpoint-beveiliging

Traditionele antivirus herkent bekende malware op basis van signatures. Dat is niet genoeg tegen nieuwe ransomware-varianten. Modern endpoint-beveiliging detecteert verdacht gedrag: massale bestandsversleuteling, ongebruikelijke netwerkactiviteit, verdachte processen.

Concreet:

• Upgrade van traditionele antivirus naar EDR (Endpoint Detection and Response) als je budget het toelaat. Microsoft Defender for Business biedt basis-EDR en is inbegrepen bij Microsoft 365 Business Premium
• Zorg dat elke laptop, desktop en server een actieve en bijgewerkte beveiligingsoplossing draait. Geen uitzonderingen
• Schakel tamper protection in — dit voorkomt dat ransomware je beveiligingssoftware uitschakelt

Stap 7: maak een incidentplan

Als ransomware toeslaat, telt elke minuut. Een voorbereid plan voorkomt paniekbeslissingen en beperkt de schade.

Concreet:

• Schrijf op — op papier, niet alleen digitaal — wie je belt (IT-partner, CERT.be, verzekeraar) en welke stappen je neemt
• Eerste actie bij besmetting: koppel het getroffen apparaat los van het netwerk (wifi uit, netwerkkabel eruit). Niet uitzetten — dat kan forensisch bewijs vernietigen
• Bepaal vooraf: welke systemen zijn kritiek? Wat moet als eerste hersteld worden?
• Oefen het plan minimaal jaarlijks. Een tabletop-oefening („wat als”-scenario doorlopen met je team) duurt een uur en leert meer dan elk document

Dit artikel is informatief bedoeld en vervangt geen professioneel security-advies. Bij een actief ransomware-incident: bel je IT-partner en meld het bij CERT.be. Check nomoreransom.org voor gratis decryptie-tools.