Hoe bescherm je organisaties tegen de volgende generatie ransomware?

De nieuwste generatie ransomware valt aan in drie fasen en maakt steeds meer slachtoffers. Een overzicht van mogelijke oplossingen voor elke fase.

Ransomware is nog steeds een van de belangrijkste bedreigingen voor organisaties. En wie dacht deze vorm van oplichting onder controle te hebben met mailscanning en awareness-training, komt bedrogen uit.

Een paar jaar geleden leek ransomware over zijn hoogtepunt heen. Het was vooral een bedreiging voor particulieren, die relatief kleine bedragen afhandig werden gemaakt. De SamSam-ransomware, waar rond 2018 voor het eerst melding van werd gemaakt, veranderde alles. Niet alleen gebruikte deze een veel geavanceerdere methode om de bestanden van zijn slachtoffers in gijzeling te nemen, ook waren de beoogde slachtoffers nu met name bedrijven en liepen de gijzelbedragen op naar honderdduizend tot zelfs tientallen miljoenen euro’s.

Uit recent onderzoek van cyberbveiliger Crowdstrike blijkt bovendien dat dit jaar een kwart van de bedrijven die slachtoffer waren van ransomware een bedrag heeft betaald om de gijzeling van hun data ongedaan te maken. Daarmee negeren ze het advies om vooral niet te betalen en met de autoriteiten te proberen de daders te pakken. Betalen blijkt in veel gevallen toch de snelste manier om het probleem op te lossen en de verdere economische schade van een stilstaande organisatie te beperken. 

Betalen onder druk

De effectiviteit van ransomware is het grootst als de urgentie het hoogst is. Vandaar dat veel onderwijsinstellingen het afgelopen jaar het doelwit van ransomware zijn geweest, zoals in augustus nog de TU Delft en Universiteit Utrecht. Gedurende de coronapandemie moesten zij massaal op afstand gaan lesgeven, wat een aanzienlijk bedrijfsrisico is. Met een succesvolle ransomware-aanval kan immers een volledig curriculum voor talloze studenten lamgelegd worden. Daar komt nog bij dat de nieuwe generatie ransomware niet alleen data versleutelt, maar deze ook steelt, en daarnaast poogt de backups te versleutelen. Dit maakt dat de daders hun slachtoffers maximaal onder druk kunnen zetten om toch te betalen. Reden temeer om eens stap voor stap te kijken hoe je een organisatie beter kunt beschermen tegen deze geavanceerde ransomware.

1: Infiltratie

In de infiltratiefase zoekt de aanvaller een manier om systemen te infecteren en zich daarmee toegang te verschaffen tot de omgeving van het slachtoffer. Phishing en misbruik maken van kwetsbaarheden in software zijn hier de meest gebruikte technieken, die zeker met medewerkers/studenten/docenten op afstand heel effectief zijn. Ook worden brute force-methoden gebruikt om logingegevens te achterhalen en via RDP binnen te dringen. Eenmaal binnen zal de aanvaller de omgeving verkennen om alle gevoelige gegevens en kritieke systemen te identificeren. In deze fase is standaard cyberbeveiliging de meest effectieve verdediging. Ofwel: beveiligingsteams moeten hun kwetsbaarheden en patchbeheer verbeteren om de beveiligingsrisico’s te verlagen. Verder moeten ze meer controle over applicaties uitoefenen om onbetrouwbare software te blokkeren, hun toegangsbeheer perfectioneren en twee- of meertrapsverificatie (2FA/MFA) implementeren om de kans te verkleinen dat een kwaadwillende zich voor een gebruiker kan uitgeven.

2: Exfiltratie

In deze fase begint de aanvaller met het verzamelen van gevoelige gegevens en zal deze langzaam en methodisch exfiltreren naar een extern systeem. Dit wordt vaak gedaan met behulp van bestaande accounts en tools die in principe op het netwerk te zien moeten zijn. Doordat ze niet uit de toon vallen, kunnen ze vele vormen van bescherming om de tuin leiden. Naast standaard cyberhygiëne bieden Endpoint Detection and Response (EDR) tools mogelijkheden om op jacht te gaan naar dit soort actieve bedreigingen in de IT-omgeving. Helaas beschikken de meeste bedrijven die EDR implementeren niet over de middelen of vaardigheden om effectief op actieve bedreigingen te jagen. Het implementeren van Zero Trust en Data Loss Prevention kan daarom een belangrijke aanvulling zijn.

3: Encryptie

Veel organisaties realiseren zich pas in de derde fase dat ze worden aangevallen, op het moment dat de versleuteling op grote schaal in hun infrastructuur begint. De enige manier om je hier tegen te wapenen, is door een effectief systeem te implementeren voor back-up en het herstel van gegevens. Als de bedrijfsgegevens gedeeltelijke of volledig versleuteld zijn, is dit – naast het betalen van losgeld – het enige redmiddel om de organisatie snel weer aan het werk te krijgen. Organisaties moeten er daarom van uitgaan dat ransomware vroeger of later zal toeslaan. Ze moeten hun kritieke gegevensopslag bewaken met ransomware-aanvallen in het achterhoofd en deze zo snel mogelijk detecteren en isoleren. Met zo’n gerichte aanpak kunnen organisaties snel en effectief reageren op het moment dat ransomware daadwerkelijk toeslaat. 

Voorbereiden of boeten

Het is nooit aan te raden om losgeld te betalen bij een ransomware-aanval, al is het maar om deze vorm van cybercriminaliteit te ontmoedigen. Relatief veel bedrijven blijken toch voor deze optie te kiezen, veelal omdat betalen goedkoper is dan de economische gevolgen van dataverlies en een lamgelegde organisatie. De enige manier om de risico’s van ransomware te verlagen is door je als organisatie goed voor te bereiden op deze aanvallen en de juiste technische middelen en protocollen te implementeren. Alleen dan kunnen we de opmars van deze snel evoluerende vorm van cybercriminaliteit afremmen.

Over de auteur: Mark-Peter Mansveld is area vice-president bij Ivanti.