De cybercrimewereld krijgt steeds meer grip op het bedrijfsleven. Cybercriminelen worden namelijk steeds slimmer en gebruiken geavanceerdere technieken, terwijl ook de aanvalsfrequentie toeneemt. Het is daarmee steeds meer de vraag wanneer je als bedrijf gehackt wordt, roept menig security-expert. Om de huidige staat toch eens wat meer in beeld te brengen, spraken we Senior Security Advisor John Shier van Sophos.
Dat cybercriminelen steeds geraffineerder te werk gaan en succesvol zijn, mag duidelijk zijn. Zo’n tien jaar geleden werd heel opportunistisch gewerkt, door bijvoorbeeld reguliere consumenten aan te vallen via e-mail. Vaak gingen er voor een ransomwarecampagne duizenden e-mails uit, met het kwaadaardige bestand verborgen in een link of bijlagen. Als een slachtoffer erin trapte, eisten de cybercriminelen enkele honderden euro’s als losgeld. Daar hoeven maar enkele tientallen mensen in te trappen, om voor de cybercriminelen tot een mooi gezamenlijk bedrag te komen.
Uiteraard gebeuren zulke campagnes nog steeds, maar de cybercrimewereld gaat wel steeds verder. Inmiddels kan een succesvolle campagne miljoenen euro’s opleveren voor de kwaadwillenden. Ook worden complete gemeenschappen getroffen door aanvallen. In dat straatje passen bijvoorbeeld de SolarWinds-, Microsoft Exchange Server-, JBS– en Colonial Pipeline-hacks, die de afgelopen maanden het nieuws domineerden. Zeer recent kunnen we zelfs de Kaseya-hack in dat rijtje opnemen. Om er eentje uit te lichten: de Colonial Pipeline-hack legde het complete oliepijplijnnetwerk van de grootste olietransporteur aan de oostkust van de Verenigde Staten plat, waarna het bedrijf miljoenen betaalde, burgers brandstof hamstereden en de brandstofprijzen stegen.
Georganiseerde cybercrime
Shier bevestigt dat de cybercrimewereld zich in zijn totaliteit steeds beter organiseert. Hij ziet bijvoorbeeld dat de georganiseerde cybercrime geprofessionaliseerd is. Dat is terug te zien in de relaties van de hackersgroepen. Het uitvoeren van een aanval en het samenbrengen van de puzzelstukjes verloopt steeds beter, waarvoor de samenwerking tussen hackersgroepen en cybercriminelen soms cruciaal is. Dat betekent in de praktijk onder meer dat bedrijfsnetwerken gescand worden op open internetdiensten, om er binnen te komen en vervolgens de toegang door te verkopen aan grotere ransomwaregroeperingen. Die laatste groepen zijn vanuit hun specialisme in staat veel geavanceerdere aanvallen uit te voeren.
Ook bij de Colonial Pipeline-hack zag je een vergelijkbare samenwerking, geeft Shier aan. Door te vertrouwen op een ‘affiliate program’ leverde de groep achter de campagne, DarkSide, de hackerstools aan cybercriminelen. Denk hierbij aan de infrastructuur voor betaling en de code. De ‘affiliates’, oftewel de hackers, waren de derde partij die als het ware het werk voor DarkSide uitvoerden.
Tip: Veilige devices bereik je alleen met monitoring en gerichte reacties
Nation-state activiteiten
Naast de georganiseerde cybercrime, zijn er ook de zogeheten ‘nation-state’ hackactiviteiten. Deze groeperingen, vaak gesponsord en bijgestaan door een land, richten zich vaak op het toegang verkrijgen tot systemen en informatie van een vijandig land. Zij richten zich bijvoorbeeld op een specifieke overheidsorganisatie of kritieke infrastructuur om geopolitieke redenen. “Nation-state hackers zijn eigenlijk altijd erg capabel geweest, in het verkrijgen van onder meer toegang en het vervolgens verder aanrichten van de uiteindelijke schade”, aldus Shier.
Bepaalde overheden gebruiken deze nation-state hackers ook actief wanneer ze bij een bedrijf of organisatie uit een vijandig land binnen zijn. Ze vragen de hackers om zeer geheime documenten te bemachtigen, weet Shier. Deze confidentiële informatie kan een land gebruiken om politiek beleid af te stellen. Vanwege hun middelen en kunde kunnen de hackers achter dat soort informatie komen. De nation-states gaan hiervoor veel verder dan reguliere cybercriminelen, door bijvoorbeeld een persoon in een groot bedrijf te plaatsen. Dan wordt het echt gevaarlijk, want ondertussen hebben ze ook toegang tot zeer confidentiële informatie en connecties uit het thuisland.
“Er bestaan geen bedrijven die te klein zijn. Denk niet dat je niets interessants hebt voor de cybercrimineel.”
Voor de hand ligt om bij de nation-states te denken aan Rusland, China, Iran en Noord-Korea. Die landen zijn dominant, stelt Shier, maar hij benadrukt dat cybercriminelen uit ieder land kunnen komen. Als voorbeeld noemt de Senior Security Advisor van Sophos de NetWalker-ransomwareaanvallen, waarbij een Canadees gearresteerd werd voor aanvallen op Amerikanen.
Shier neemt steeds meer een specifieke trend waar bij deze nation-state hackers. In de ogen van Shier wordt deze groep beter in het van de radar blijven en hun activiteiten verbergen. Dit door zich als het ware te vermommen als reguliere cybercriminelen. Ze gebruiken dezelfde tooling en tactieken, stelt Shier. “Daarmee proberen ze uit te dragen dat er niets valt te zien en dat ze een reguliere cybercrimineel zijn.” Het opsporen van nation-states wordt daarmee een grotere uitdaging.
Voorzichtigheid
Volgens Shier is het zaak dat bedrijven en mensen zich bewust zijn van de risico’s en veranderende tactieken. Hij roept niet op bang te zijn, maar wel tot voorzichtigheid. “Er bestaan geen bedrijven die te klein zijn. Denk niet dat je niets interessants hebt voor de cybercrimineel. Zij zijn er op uit om informatie te bemachtigen. Dus als ze bij een bedrijf binnenkomen dat niet in staat is om miljoenen losgeld te betalen, vinden ze mogelijk interessante informatie om door te verkopen. Of wellicht heeft een klein bedrijf connecties en partners die interessant zijn. Dergelijke supply chain-aanvallen gebeuren steeds vaker.”
Hoewel het onderscheid van georganiseerde cybercrime en nation-state activiteiten belangrijk is, kan een mindset waarbij je doelwit bent van beide kampen geen kwaad. In dat geval bereid je je op beide scenario’s voor. Nation-state hackers weten precies wat ze willen bemachtigen en stellen daar hun activiteiten op af. De reguliere cybercriminelen gaan op hun beurt opportunistischer te werken, om tegen iets aan te lopen waar vrijwel altijd iemand wat mee kan.
Het is volgens Shier dan ook zaak dat bedrijven zich beseffen dat misvattingen niet mogen bestaan. Op basis van de cijfers ontstaat er bijvoorbeeld het beeld dat voornamelijk Amerikanen aangevallen worden, maar in Europa vinden dagelijks ook heel veel aanvallen plaats. Als in onze regio een bedrijf gehackt wordt, hebben de kwaadwillenden in potentie toegang tot 27 EU-lidstaten. Vanuit nation-state perspectief een grote slag en buitengewoon interessant.
Tip: Sophos koopt Capsule8 voor bescherming van Linux containeromgevingen
Topje van de ijsberg
Uiteindelijk kunnen we bedrijven op de risico’s blijven wijzen, maar de meeste aandacht gaat wel uit naar cyberaanvallen met de grootste impact. “Bij Sophos komen we echter bedrijven tegen met 10 medewerkers tot meer dan 10.000 werknemers, die slachtoffer zijn. Vanuit alle verschillende landen en sectoren. Niet al de aanvallen bereiken het publiek via de media, want het is niet altijd interessant om te lezen over een klein meubelzaakje in Nederland dat slachtoffer is.”
“Niet al de aanvallen bereiken het publiek via de media, want het is niet altijd interessant om te lezen over een klein meubelzaakje in Nederland.”
Over het algemeen hebben de meeste IT’ers en het grote publiek dan ook slechts zicht op het topje van de ijsberg, stelt Shier desgevraagd. Hij is verrast over wat het grote publiek precies wel én niet weet. Over ransomware is inmiddels zoveel awareness dankzij grote incidenten in de media, dat daar flink wat mensen zich daar op anticiperen, al kan het natuurlijk altijd beter en meer. Het wordt echter een ander verhaal als we naar cybercrime kijken die niet met ransomware te maken heeft. Zaken als het stelen van inloggegevens en algemene informatie, daar valt nog genoeg bewustwording te winnen.
Fundering, tooling en samenwerking
Voor bedrijven heeft Shier zodoende adviezen om de strijd met cybercriminelen en nation-state hackers aan te gaan. Veel van zijn adviezen zijn onder te verdelen in het bouwen van een solide security-fundering, eigenlijk de basis waar het allemaal begint. Shier schuift hier zaken onder als het patchen van systemen, het maken van goede backups en het opstellen van een noodplan. Ook is het belangrijk de gehele organisatie bewust te maken van beveiliging, zodat iedere medewerker altijd veilig handelt. Zelfs buiten kantooruren, zo ziet Shier de ideale wereld voor zich.
Naast het op orde brengen van de basis is het zaak om de securitystrategie op niveau te brengen met de juiste tools. Traditionele endpoint security als antivirus helpt, maar ook de wat geavanceerdere tools voor threat hunting en onderzoek. Want als een aanvaller toch je organisatie binnen weet te komen, moet er snel gehandeld worden. Een trend als zero-trust, waarbij een gebruiker in de basis niet vertrouwd wordt, ziet Shier ook als een ontwikkeling waar flinke progressie mee geboekt wordt. Hierdoor weten organisaties zeker dat de juiste persoon toegang krijgt tot data en software, want er moet genoeg geverifieerd worden.
Waar je als bedrijf dus goed na moet denken over je securitystrategie om te reageren op georganiseerde cybercrime en nation-state activiteiten, kan de cybersecurity-industrie middels samenwerking als geheel ook het een en ander doen. Daar zet ook Sophos op in. Het is aangesloten bij internationale samenwerkingen, waar overheidsinstellingen en concurrerende securitybedrijven eveneens deel van uit maken. Samen optreden tegen cybercriminelen werkt het best, want de partijen hebben allemaal veel zicht op wat cyberciminelen doen. Koppel je die inzichten aan elkaar, dan ontstaat er een stevig blok om de strijd aan te gaan met hackers.
Concluderend kunnen we stellen dat cybercrime een steeds dominantere rol krijgt in ons dagelijks leven. Maar met de juiste stappen kan de maatschappij en het bedrijfsleven wel veiliger worden. We zijn dan ook benieuwd hoe de strijd de komende periode verder doorgaat.
1 uur geleden
