Je bent niet zó snel van je ransomware-aanvallers af
Het volume en de schaal van cyberaanvallen blijft groeien. Dit benadrukt het vermogen van bedrijven om de grote omvang van bedreigingen te begrijpen en hier prioriteiten aan te stellen. Kunstmatige intelligentie (AI)-technologieën in combinatie met de wildgroei van bedrijfsdata en de overstap naar de cloud openen de deur voor veel hackers. Een groep waar je niet mee kunt onderhandelen en sowieso niet kunt vertrouwen om encryptie of andere schade ongedaan te maken. Zelfs als je ze betaalt.
Onderhandelen is dus een lastig verhaal, je kunt criminelen niet vertrouwen. Idealiter bestrijd je de nieuwe soorten ransomware met een ijzersterke beveiliging van je bedrijf, maar de realiteit leert dat cybercriminelen alsnog binnen kunnen dringen. De vraag is dan ook: hoe sterk is de data van jouw bedrijf beveiligd? Veel organisaties zien bijvoorbeeld dat hun data back-ups al verstoord worden tijdens cyberaanvallen, iets wat je tot een paar jaar geleden nog niet zag. Daar blijft het niet bij: maar weinig organisaties die slachtoffer worden van ransomware-aanvallen en uiteindelijk besluiten om de ransom te betalen, krijgen daadwerkelijk hun gegevens terug. Een zorgwekkend gegeven gezien ransomware-aanvallen steeds ernstigere vormen aannemen.
Unit 42 Incident Response team, onderdeel van Palo Alto Network, kwam op basis van onderzoek tot wat interessante conclusies. Zo zou niet alleen versleuteling van data in 2023 in 70 procent van de ransomware-incidenten deel uitmaken van de aanval, maar criminelen stalen deze data ook daadwerkelijk. Verder dreigden ransomware-groepen bij 53 procent van de ransomware-incidenten tussen medio 2021 en eind 2022 met het lekken van de data die ze van slachtoffers stalen. Daar blijft het niet bij. Tien procent van de ransomware-aanvallers deed niet eens moeite om de data eerst te versleutelen, maar ging direct over tot het stelen van de data om vervolgens te dreigen deze te lekken op het dark web.
Je denkt als organisatie dat je voorbereid bent. Je maakt onveranderlijke back-ups van je data – wat inhoudt dat de data vastligt en op geen enkele manier kan worden gewijzigd, gewist of veranderd. Je hebt je infrastructuur versterkt, een SIEM-systeem (Security and Event Management) geïmplementeerd en andere technologische hulpmiddelen geïnstalleerd waarvan je denkt dat ze je beschermen tegen ransomware. Ook je personeel is aan boord: al je medewerkers weten hoe ze online veilig handelen. Je denkt daarom dat je de perfecte, veerkrachtige reactie in huis hebt om aanvallen af te slaan.
Maar als de cybercriminelen dan toch in je netwerk zitten, zit je diep in de problemen. Dubbele – zelfs driedubbele – afpersing is de norm geworden. De hackers hebben je in de houtgreep. Wat nu?
Nieuwe doelen
Er is een bijzonder uitdagende vorm van cyberaanval in opkomst die double extortion – dubbele afpersing - ransomware wordt genoemd. Traditioneel versleutelt ransomware de data van het slachtoffer. Aanvallers eisen vervolgens losgeld in ruil voor de decryptiesleutel van de gegevens. En als het aangevallen bedrijf eenmaal het ‘losgeld’ heeft betaald, wordt de sleutel overhandigd en is de aanval opgelost. Dat was vroeger. Cybercriminelen leken toen nog enige ethiek te bezitten. Na betaling van het losgeld was het vaak zo dat bedrijven weer ‘up and running’ waren. De criminelen bouwden daar hun verdienmodel ook op. Ze dachten: ‘als we de data niet vrijgeven, krijgen we een slechte naam en handelt niemand meer met ons.’ Dat verhaal is inmiddels achterhaald. De moraal is overboord en de cybercriminelen zijn schaamtelozer dan ooit.
Nu zien we een tweede niveau van afpersing. Dubbele afpersing verwijst naar het feit dat aanvallers niet alleen betaling eisen in ruil voor de ontcijferingssleutel, maar ook dreigen de gestolen data te publiceren als bedrijven het geld niet overhandigen. Met andere woorden: ze verdubbelen de potentiële schade om je zo nog meer tot betalen te dwingen.
In de meest voorkomende ransomware-incidenten met dubbele afpersing krijgen de aanvallers eerst toegang tot het systeem van het slachtoffer, meestal via zwakke plekken in de software of door middel van social engineering-technieken. Hierbij wordt gebruikgemaakt van wat vaak de zwakste schakel in een digitaal beveiligingssysteem is: de mens. Met behulp van psychologische manipulatie zoals phishing e-mails, één van de meest voorkomende social-engineering technieken, komen cybercriminelen dan de systemen van hun doelwitten binnen. Bij een geslaagde aanval komt dubbele afpersing steeds vaker voor - en dat kan zeer kostbaar zijn. Zo kunnen de aanvallers, naast het eisen van losgeld, ook dreigen om gevoelige en vertrouwelijke informatie openbaar te maken – denk aan financiële gegevens, bedrijfsgeheimen of persoonlijke informatie van werknemers en klanten.
Het bestrijden van dubbele afpersing ransomware is een veel grotere uitdaging dan de bescherming tegen ‘alleen’ dataversleuteling, oftewel: de traditionele ransomware-aanval. Door je alleen te richten op het zo klein mogelijk houden van de impact van een ransomware-aanval heb je meer ruimte om je op de infrastructuur te richten. Zo stel je je bedrijf in staat om proactieve veiligheidsmaatregelen te nemen die helpen voorkomen dat deze aanvallen überhaupt plaatsvinden. Vergis je niet, dit is een essentieel onderdeel van een strategisch cybersecurityplan. Maar zelfs als het je lukt om de versleutelde data te herstellen, voorkom je niet dat ze worden gesloten – dan ben je nog verder van huis.
Een andere aanpak voor databeveiliging
Een cyberstrategie die ook weerbaar is tegen dubbele afpersing, ransomware-aanvallen vereist een andere aanpak. Zo moet je, om je data zo goed mogelijk te beschermen, eerst identificeren welke data het meest gevoelig is. Gaat het om intellectueel eigendom? Betalingsgegevens van klanten? Of bevat je data gevoelige werknemersgegevens, zoals sofinummers en bankrekeningnummers?
Vervolgens moet je weten wie toegang heeft tot deze gegevens. Zijn de juiste teams hiervoor geautoriseerd? Wordt multifactor authenticatie toegepast? Dit is waar zero trust om de hoek komt kijken: een systeemarchitectuur die ervan uitgaat dat alle gebruikers, apparaten en applicaties onbetrouwbaar zijn en gecompromitteerd kunnen worden.
Aanvallers begeven zich meestal van de ene locatie naar de andere. Ze concentreren zich op een gebied, oogsten daar de data, en gaan dan verder naar de volgende locatie. Daarom is het essentieel om inzicht te hebben in de manier waarop data zich verplaatst en andere onregelmatige activiteiten. Door onregelmatigheden vroegtijdig te ontdekken, kun je cybercriminelen uitschakelen voordat ze schade aanrichten. Cybercriminelen werken vaak geautomatiseerd en laten dan ook automatische sporen na. Daar kan een deel van je strategie op leunen.
Het bestrijden van dubbele afpersing ransomware-aanvallen is een uitdaging die een andere, meer uitgebreide aanpak vereist. Hoewel het belangrijk is om te blijven investeren in het minimaliseren van de impact van ransomware-aanvallen, moet je je nu ook focussen op het beschermen van gevoelige data tegen diefstal. Je kunt dan wel succesvol je data weten te herstellen, dit is geen garantie dat de gegevens niet gestolen worden en openbaar worden gemaakt. Hiervoor is het essentieel om de meest waardevolle en gevoelige data te identificeren, multifactor authenticatie te implementeren en zero trust-principes toe te passen. Bovendien is het cruciaal om een goed inzicht te hebben in de beweging van data binnen systemen om cybercriminelen te stoppen voordat ze schade kunnen aanrichten.
Alleen door deze gelaagde aanpak te omarmen, kunnen bedrijven zich effectief verdedigen en weerbaar maken tegen de ransomware-aanvallen die steeds geavanceerder worden. Het is een voortdurend proces van leren, aanpassen en verbeteren om een stevige verdedigingslinie te behouden in de snel evoluerende wereld van cyberdreigingen.
Ga voor meer informatie naar www.rubrik.com of www.start.paloaltonetworks.com
Lees meer
