De (weder)opmars van ransomware

Abonneer je gratis op Techzine!

Ransomware en cyberaanvallen houden de dagelijkse newsfeeds en kranten flink bezig. Zo hielden verschillende grote hacks, zoals de Kaseya-hack, de wereld recent in zijn houdgreep. Het meest verontrustende is dat de ransomware-aanvallen nauwkeuriger en methodischer worden. Waar het een paar jaar geleden nog in de kinderschoenen stond, is ransomware tegenwoordig veel meer volwassen.

Hoe en wanneer is ransomware geëvolueerd van van schieten met hagel tot de destructieve kolos dat het nu aan het worden is? En hoe kunnen organisaties hun focus verleggen om weerbaar te worden tegen toekomstige aanvallen?

De criminele underground

De ransomware van vandaag is alleen mogelijk door het samenkomen van ondergrondse ecosystemen op het dark web. Hierdoor ontstaat er een mix van ideeën en een forum waar deze kunnen worden uitgewisseld over creditcarddatabases, trojan horse-software, spamservices, exploitkits of testservices voor malwaredetectie. Deze criminelen komen samen in de schaduwrijke delen van het dark web en groeien van daaruit tot bedrijven op zich. Zo is de ontwikkeling van malware gestart van een sporadisch succesje tot een globaal mechanisme voor het genereren van miljoenen in inkomsten.

De opmars van malware

In de 00’s zagen we de opkomst van de Zeus-, en later SpyEye. Beide waren, en zijn nog steeds, krachtige banking trojans, gebruikt om gevoelige data te stelen. Zeus introduceerde polymorfisme met één klik, wat betekende dat hackergroepen van deze pakketten hun malware vaker konden gebruiken om op handtekeningen gebaseerde detectie te omzeilen. Zeus en SpyEye zijn slechts enkele van de oudste banking trojans maar sindsdien zijn er talloze iteraties geweest en we zullen we er in de toekomst nog meer gaan zien. Beide halen nog steeds de krantenkoppen in 2021.

De begindagen van ransomware

In 2015 en 2016 begon ransomware voet aan wal te krijgen en cyberaanvallers genereerde nieuwe varianten van ransomware aan de lopende band. Zodra een domein of URL was overgenomen en geblokkeerd en de betaling binnen was, werd het tijd voor het volgende slachtoffer. De combinatie van malware en infrastructuur bleek de perfecte combinatie te zijn.

Ransomware wordt volwassen

Cybercriminelen hebben de kunst van ransomware in de laatste jaren enorm verfijnd. Tactieken als ‘spray and pray’ zijn er niet meer. De moderne aanvaller geeft de voorkeur aan ‘big game hunting’: het perfecte doelwit identificeren en erop jagen zo lang als het nodig is. Eén gerichte, succesvolle aanval is meer waard dan ze ooit hadden kunnen dromen in vergelijking met het aanvallen van willekeurige doelwitten.

Een aanval die voortkomt uit een sleepnet benadering is tegenwoordig makkelijker en sneller te identificeren en kan vaak weer snel worden uitgeschakeld. Een grondige, weloverwogen aanval met behulp van diepgaand vooronderzoek, social media verkenning, social engineering en spear phishing is daarentegen gebouwd om door een zeer specifieke gat in de perimeter van een bedrijf te glippen en is daarom het meest effectief gebleken.

Naar de toekomst

Ransomware-aanvallen blijven voorlopig bestaan, en worden eerst nog erger voordat het weer beter zal gaan. Het merendeel van de ransomeisen worden op dit moment betaald, wat helaas deze “industrie” elke dag groter, sterken en slimmer aan maakt. Voor IT-leiders en besluitvormers die hun verdediging tegen deze dreiging willen versterken, gaat één van de belangrijkste methoden verder dan patchen en preventie, het draait allemaal om resilience: veerkracht van uw IT omgeving.

Data is de meest waardevolle activa van de organisatie en moet worden beschermd met betrouwbare back-ups. Gegevens in moderne back-ups zijn tegenwoordig makkelijker te identificeren en terug te zetten naar de meest recente versie – of deze nu on-premises of in de cloud zijn opgeslagen. Door dit te doen, restoren organisaties hun gegevens naar een bekende, schone staat en minimaliseren downtime zonder een flinke som losgeld te betalen. Het opslaan van deze back-ups in een immutable format is essentieel om te voorkomen dat kwaadwillenden de back-ups kunnen verwijderen of versleutelen. Recent is gebleken dat in 2 van de 3 aanvallen, de back-up systemen als eerste worden aangevallen omdat het een zeer effectief middel blijkt te zijn voor een snellere uitbetaling van het ransombedrag. De cybercriminelen weten dat de back-ups het laatste redmiddel zijn. Als zij die weten over te nemen, neemt de kans op betaling exponentieel toe.

Automatisch identificeren

Naast immutable (onveranderlijke) back-ups zijn ook point-in-time herstel-, staging- en live mount-opties vereist. Niet alleen om het forensisch onderzoek te vergemakkelijken, maar een eventuele noodzakelijke schoonmaak speelt ook een rol. Bij een aanval moet het dichten van het lek, het opruimen van de geinfecteerde bestanden en systemen en het restoren van de betrouwbare data een eenvoudig proces worden. Dit kan door snel en geautomatiseerd de getroffen systemen te identificeren en een routekaart naar herstel op te maken. Met behulp van nauwkeurige inzichten uit het herstelproces, verandert een foutgevoelige en langdurige inspanning in een efficiënt herstel. Regelmatig de processen en systemen testen is hierbij uiteraard essentieel.

Het afgelopen anderhalf jaar heeft bewezen dat ransomware-aanvallen alleen maar gerichter en verwoestender worden. Om deze storm te doorstaan, moeten organisaties een back-up- en restore-architectuur gebruiken die bestand is tegen deze aanvallen. Een platform dat volledig beschermd is en gebruik maakt van intuïtieve, machine learning (ML)-aangedreven restore en analyse. Back-up beveiliging verandert zo van een ‘nice to have’ naar een essentieel onderdeel van een beveiligingsstrategie. Uiteraard moeten we onze IT-systemen continue blijven patchen, personeel blijven trainen op de gevaren van social engineering en onze eigen processen steeds blijven testen en aanscherpen. Uiteindelijk zullen we ook deze uitdaging in IT het hoofd weten te bieden maar tot die tijd is er werk aan de winkel, niet volgende week, niet morgen, maar nu.

Dit is een ingezonden bijdrage van Jerry Rijnbeek, VP Technical GTM, SaaS & Security bij Rubrik. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.