Ransomware, de haai die altijd op de loer ligt

Uit een recent onderzoek blijkt dat gemiddeld 37% van wereldwijde organisaties In januari en februari 2021 slachtoffer is geweest van ransomware. In Nederland werd 32% van de organisaties door dit soort cyberaanvallen getroffen en 53% van de Chief Information Security Officers (CISO's) in de regio gaf aan dat hun bedrijf meer gerichte aanvallen heeft meegemaakt in 2021. Wat opvalt is dat slechts 35% van de gebruikers zich zorgen maakt over de dreiging van cyberaanvallen. Dit terwijl 53% phishing-e-mails ontvangt, 9% al slachtoffer is geweest van ransomware en 29% in de valstrik van social engineering trapt.

Volgens Jayson O'Reilly, General Manager Cybersecurity bij Atvance Intellect Nederland, zijn bedrijven inschikkelijk en zich niet voldoende bewust van het gevaar van de blinde vlekken in hun netwerken Juist nu zouden ze hun verdediging moeten versterken, hun tegenstander moeten bestuderen en  ervoor zorgen dat hun interne processen en procedures een aanval kunnen weerstaan. "Een menselijke firewall is gewoon niet bestand tegen de verfijning en automatisering van dit soort digitale aanvallen - de toekomst van beveiliging ligt in de inzet van data en technologie", zegt Ruby Hansen, Data Analytics Business Development Manager van Atvance Intellect. “We zien bij bedrijven steeds meer interesse in realtime inzicht ten behoeve van  een proactief assessment en versneld onderzoek naar potentiële ransomwarebedreigingen – we verwachten dat dit een groeiende trend wordt. Maar zoals altijd is beveiliging op meerdere niveaus het belangrijkst – we moeten gebruik maken van data, technologie en teams.”
 
"Ransomware is nauwelijks nieuw te noemen, het werd voor het eerst ontdekt in de jaren 80, maar de aanvallen nemen steeds toe in omvang en subtiliteit", legt O'Reilly uit. “Ze veroorzaken ook, dankzij hun verhoogde slagingspercentage, aanzienlijke schade aan winstmarges en bedrijfsreputaties. Veel van de aanvallen die tegenwoordig worden uitgevoerd maken gebruik van oude technieken met nieuwe technologieën om scheuren in de bescherming van bedrijven te vinden. Met behulp van internetbots en social engineering informatie, fungeren aanvallers snel en op grote schaal."
 
De meest recente aanvallen op Nederlandse bedrijven waren ingrijpend en maakten deel uit van een wereldwijde aanval. Tweehonderd bedrijven vielen ten prooi aan de ransomware die in juli 2021 door een Russische hackergroep werd losgelaten op de VSA-server van ICT-serviceprovider Kaseya. De ransomware kwam begin juli via een kwaadaardige patch in het systeem van Kaseya en verspreidde zich onmiddellijk door het systeem alsook in de systemen van zijn klanten. Het Nationaal Cyber Security Centrum in Den Haag waarschuwde bedrijven om het besmette VSA-product uit te schakelen, maar voor velen kwam die waarschuwing te laat.
 
"Deze aanvallen zijn de meest bekende, maar er zijn nog veel meer aanvallen geweest waardoor bedrijven worstelen met de complexiteit en gevolgen van ransomware-aanvallen en cybercriminaliteit", zegt O'Reilly. “Het op afstand en hybride werken wat door de pandemie gangbaar is geworden, heeft de situatie verder verslechterd. Nu steeds meer mensen online werken, buiten de strenge ICT-beveiligingscontrole, profiteren hackers van onverwachte kwetsbaarheden en ouderwetse menselijke fouten.”
 
In mei 2021 was de aanval op de Colonial Pipeline het bewijs van de extreme risico’s dat werken op afstand in combinatie met de  beperkte kennis van de staat van de beveiliging met zich meebrengt. De Colonial Pipeline, één van de grootste oliepijpleidingen in de Verenigde Staten, werd volledig stilgelegd door een zeer succesvolle aanval van de bende die bekend staat als Darkside. Het duurde iets meer dan twee weken voordat het bedrijf de systemen weer op orde had. Deze hack legde bloot twee zeer belangrijke stappen in beveiliging: inzicht hebben in de beveiliging en het vinden van gapingen voordat iemand anders dat doet.
 
"Beveiligingsteams krijgen nu te maken met een druk die ze nooit hadden verwacht, zelfs niet met de langzame introductie van werken op afstand voorafgaand aan de pandemie", zegt O'Reilly. “In plaats van duizend mensen op één plek zijn er nu duizenden plekken binnen één systeem. Het is een complex en uitdagend proces dat vraagt om meer dan wat praktische training van medewerkers en een firewall.”
 
De situatie wordt nog verder gecompliceerd door het feit dat, naast de aanvallen en hun slagingspercentage, ook regelgeving gestaag toeneemt. Het is nu niet meer alleen de AVG waarmee bedrijven te maken krijgen als ze worden gehackt en niet voldoen aan de strenge compliance regels – momenteel zijn er ongeveer 130 verschillende wetten van kracht over de hele wereld. Deze zijn van invloed op de bedrijfsvoering van bedrijven die met of in deze landen werken. Beveiliging moet overstappen van 'afvinken' naar een andere manier van denken, naar een cultuur waarin veilig gedrag voorop staat, en er geïnvesteerd wordt in agile en doorlopend evoluerende systemen die zich kunnen aanpassen aan de cyberdreiging.
 
"Preventie is de toekomst, het is de enige weg naar een gezond security framework", voegt O'Reilly toe. “Een bedrijf moet verschillende stappen zetten om zijn beveiliging te versterken, en moet meer waarde hechten aan zijn systemen en data. Veel ransomware aanvallen wachten maandenlang voordat ze worden geactiveerd, zodat  ze deel uitmaken van de back-up. Dan is er als bedrijf geen weg meer terug omdat elk systeem gecompromitteerd is.”
 
Er bestaan een boel handleidingen met stap-voor-stap richtlijnen voor beveiliging in de tijd van de pandemie. Deze bevatten altijd training (investeren in die menselijke firewall), systemen (het beste van het beste) en beleid. Maar dit is ontoereikend. Ransomware is een trending fenomeen omdat het erin slaagt langs deze beveiliging te glippen en omdat cybercriminelen erop vertrouwen dat bedrijven altijd denken dat het hen niet zal overkomen.
 
De tijd is aangebroken dat bedrijven de controle terug te nemen door meer doorzichtigheid en het prioriteiten stellen van hun eigen ecosysteem van bedreigingen. Bedrijven moeten begrijpen wat de hacker ziet – penetratietesten zijn onvoldoende, bedrijven moeten analyses van gebruikersgedrag onderdeel maken van de beveiligingsaanpak, het aantal leveranciers in het systeem consolideren en begrijpen wat en wie toegang heeft tot de bedrijfsgegevens. Zonder deze stappen zijn bedrijven niet opgewassen tegen de onzichtbare vijand, die zich nooit aan de regels houdt.
 
"Het overkomt je en het verdwijnt niet zomaar", concludeert O'Reilly. “Preventie is een culturele mindset en samenwerking met vertrouwde externe dienstverleners is belangrijker dan ooit. We moeten gebruikmaken van technologie die niche, gerichte beveiligingsdiensten levert en die volledig inzicht geeft in systemen, platforms en kwetsbaarheden. Plan vooruit, plan opnieuw en voorkom dan een aanval.”