Een ransomware-aanval op je Microsoft 365-omgeving is geen IT-incident dat je “even oplost”. Het raakt e-mail, bestanden, Teams, identiteiten, endpoints, compliance en vaak ook het vertrouwen van klanten en medewerkers. De belangrijkste vraag is niet alleen: hoe krijgen we onze data terug? Maar vooral: hoe herstellen we veilig zonder de aanvaller opnieuw binnen te laten?
In deze blog lees je welke stappen je moet nemen na een ransomware-aanval op Microsoft 365, van eerste containment tot herstel, validatie en structurele verbetering.
1. Begin niet met herstellen, maar met isoleren
De grootste fout na een ransomware-aanval is te snel terugzetten. Als de aanvaller nog toegang heeft tot accounts, apparaten of applicaties, herstel je mogelijk naar een omgeving die direct opnieuw wordt versleuteld.
Start daarom met containment:
- Stop OneDrive-synchronisatie op getroffen apparaten.
- Koppel gemapte SharePoint-drives los.
- Blokkeer of reset verdachte gebruikersaccounts.
- Trek actieve sessies en refresh tokens in.
- Isoleer geïnfecteerde endpoints.
- Beperk tijdelijk toegang tot kritieke SharePoint-sites, Teams en mailboxen.
Microsoft adviseert bij ransomware in SharePoint Online onder meer om direct OneDrive sync te stoppen of de gemapte drive naar een SharePoint-bibliotheek los te koppelen. Daarna kan een beheerder of gebruiker proberen bestanden te herstellen via SharePoint, OneDrive of Microsoft 365 Backup.
2. Bepaal de omvang van de aanval
Een goed herstel begint met scope. Je moet weten wat is geraakt, wanneer het is begonnen en hoe de aanval binnenkwam.
Breng minimaal in kaart:
- Welke gebruikersaccounts zijn gecompromitteerd?
- Welke apparaten zijn geraakt?
- Welke SharePoint-sites, OneDrive-accounts, Teams-kanalen en mailboxen zijn beïnvloed?
- Zijn bestanden versleuteld, verwijderd of overschreven?
- Is er sprake van datadiefstal naast versleuteling?
- Welke beheerdersrechten of app-consents zijn mogelijk misbruikt?
Microsoft Incident Response benadrukt dat containment pas effectief kan plaatsvinden wanneer duidelijk is wat er precies moet worden ingesloten. Daarbij horen onder andere vragen over gecompromitteerde gebruikersaccounts, getroffen apparaten en getroffen applicaties.
3. Vind het laatste schone herstelpunt
Bij ransomware draait herstel om timing. Je zoekt het laatste moment waarop bestanden, mailboxen en sites nog schoon waren. Dat punt ligt vaak vóór de zichtbare versleuteling, omdat aanvallers al eerder toegang hadden.
Gebruik signalen zoals:
- Ongebruikelijke massale bestandswijzigingen.
- Grote aantallen hernoemde bestanden.
- Nieuwe extensies achter bestandsnamen.
- Ransom notes zoals “HELP_DECRYPT” of “RECOVER”.
- Veel bestanden met dezelfde “Modified By”-tijdstempel.
- Alerts uit Microsoft Defender, Entra ID en audit logs.
Microsoft noemt dit soort kenmerken expliciet als indicatoren van ransomware in SharePoint Online, waaronder corrupte bestanden, ransom notes, gewijzigde extensies en grote aantallen bestanden met dezelfde wijzigingstijd.
4. Herstel Microsoft 365-data gecontroleerd
Microsoft 365 biedt meerdere herstelmogelijkheden, afhankelijk van wat er is geraakt.
SharePoint en OneDrive
SharePoint en OneDrive beschikken over ingebouwde herstelmechanismen zoals versiegeschiedenis, prullenbak en file restore. Versioning bewaart standaard minimaal 500 versies van een bestand, waardoor een eerdere versie kan worden teruggezet als ransomware een bestand heeft aangepast of versleuteld. Verwijderde bestanden kunnen in veel gevallen tot 93 dagen uit de prullenbak worden hersteld.
Belangrijk: herstel niet blind alles. Test eerst een beperkte set bestanden of sites, controleer of het herstelpunt schoon is en schaal daarna pas op.
Exchange Online
Voor mailboxen moet je bepalen of e-mails, agenda-items, contacten of taken zijn verwijderd, gewijzigd of misbruikt voor verdere aanvalspogingen. Microsoft 365 Backup ondersteunt herstel van Exchange mailbox-content vanaf specifieke eerdere punten in de tijd.
Teams
Teams-data is verspreid over Microsoft 365-services. Teams-bestanden staan in SharePoint of OneDrive, terwijl Teams-chats worden opgeslagen in Exchange Online-mailboxen. Dat betekent dat herstel van Teams meestal via SharePoint, OneDrive en Exchange Online loopt.
5. Gebruik Microsoft 365 Backup of een passende backup-oplossing
Ingebouwde Microsoft 365-herstelmogelijkheden zijn waardevol, maar bij grootschalige ransomware wil je vooral snel, consistent en op tenant-niveau kunnen herstellen.
Microsoft 365 Backup is ontworpen voor herstel van SharePoint-sites, OneDrive-accounts en Exchange-mailboxen. Het ondersteunt herstel naar de oorspronkelijke locatie of naar een nieuwe locatie, en beheerders kunnen herstellen vanaf specifieke herstelpunten.
Microsoft beschrijft Microsoft 365 Backup bovendien als een oplossing die organisaties sneller terug kan brengen naar een gezonde staat na ransomware of kwaadwillige verwijdering. De dienst werkt binnen de Microsoft 365 data trust boundary en gebruikt append-only backup storage om bestaande herstelpuntdata te beschermen tegen overschrijven.
Heb je nog geen Microsoft 365 Backup of externe backup-oplossing? Dan is dit hét moment om je backupstrategie opnieuw te beoordelen.
6. Valideer voordat je de organisatie weer openzet
Herstel is pas klaar wanneer je zeker weet dat:
- De aanvaller geen actieve toegang meer heeft.
- Alle verdachte accounts zijn gereset of geblokkeerd.
- Beheerdersrollen zijn gecontroleerd.
- Kwaadaardige inboxregels, OAuth-apps en forwardingregels zijn verwijderd.
- Endpoints schoon zijn verklaard.
- Herstelde bestanden veilig en bruikbaar zijn.
- Business owners akkoord geven op kritieke data.
Een veilige recovery is dus geen puur technische restore. Het is een gecontroleerd besluit waarbij IT, security, management, legal en communicatie samenwerken.
7. Communiceer helder met medewerkers
Tijdens ransomware ontstaat snel verwarring. Medewerkers moeten weten wat ze wel en niet mogen doen.
Communiceer bijvoorbeeld:
- Open geen verdachte bestanden of ransom notes.
- Sluit apparaten niet zomaar opnieuw aan op het netwerk.
- Meld versleutelde of ontbrekende bestanden direct.
- Gebruik tijdelijk alleen goedgekeurde communicatiekanalen.
- Wacht met synchroniseren totdat IT bevestigt dat dit veilig is.
Goede communicatie voorkomt dat de aanval zich verder verspreidt en helpt IT om sneller de volledige impact te bepalen.
8. Leg alles vast voor onderzoek, verzekering en compliance
Documenteer vanaf het eerste moment:
- Tijdlijn van detectie, containment en herstel.
- Betrokken accounts, apparaten en workloads.
- Genomen maatregelen.
- Herstelpunten en restore-acties.
- Beslissingen van management.
- Bewijs van mogelijke datadiefstal.
- Communicatie met leveranciers, verzekeraar of toezichthouders.
Microsoft Incident Response adviseert om tijdens incidentrespons werkitems, eigenaren, status, bevindingen, datum en tijd zorgvuldig vast te leggen.
9. Voorkom herhaling: bouw ransomware-resilience in
Na herstel begint het belangrijkste werk: zorgen dat dit niet opnieuw gebeurt. Versterk minimaal deze onderdelen:
Identity Security
- MFA voor alle gebruikers
- Conditional Access policies
- Privileged Identity Management
- Sterke admin-segregatie
Endpoint & E-mailbeveiliging
- Microsoft Defender for Endpoint
- Attack surface reduction rules
- Patchmanagement
- Defender for Office 365 / Safe Links
Backup, Monitoring & Awareness
- Retentiebeleid en versiebeheer
- Backup en kwartaallijkse restore-tests
- Audit logging en Defender XDR alerts
- User awareness training op phishing
Microsoft 365 bevat al meerdere verdedigingslagen tegen ransomware, waaronder Exchange Online Protection voor e-mail en bijlagen, en herstelmechanismen in SharePoint en OneDrive zoals versioning, prullenbak en retentiefunctionaliteit. Maar technologie werkt alleen goed als processen, verantwoordelijkheden en tests op orde zijn.
Conclusie
Microsoft 365 ransomware recovery draait niet alleen om bestanden terugzetten. Het gaat om gecontroleerd herstellen naar een betrouwbare staat. De juiste volgorde is cruciaal:
- Isoleer de aanval.
- Bepaal de scope.
- Vind het laatste schone herstelpunt.
- Herstel gecontroleerd.
- Valideer de omgeving.
- Documenteer alles.
- Versterk je beveiliging en backupstrategie.
Ransomware is geen eenmalig IT-probleem, maar een test van je digitale weerbaarheid. Organisaties die vooraf nadenken over herstel, backup, identiteiten en incidentrespons staan na een aanval niet stil, maar kunnen sneller, veiliger en met meer vertrouwen terug naar normaal.

Geef een reactie