De volgende golf van ransomware

Abonneer je gratis op Techzine!

Ransomware is nog altijd aan de orde van de dag. Het proces waarbij cybercriminelen infiltreren in een organisatie, de boel op slot gooien en enkel na betaling de sleutel tot het bevrijden van de data overhandigen, lijkt bijna wekelijks een plekje in onze newsfeed te bemachtigen. Volgens Cybersecurity Ventures vindt er tegenwoordig elke 11 seconden een ransomware-aanval plaats en de wereldwijde schade loopt inmiddels op tot rond de 20 miljard dollar per jaar. Dit is 57 keer meer dan de schade in 2015.

Met het oog op steeds geavanceerdere en gerichte ransomware-aanvallen en de schade die zij kunnen veroorzaken, is het van cruciaal belang dat organisaties dit type cybercriminaliteit serieus gaan nemen en beter gaan begrijpen. Recente high profile aanvallen, waaronder de befaamde kaas-hack (grote supermarktketen had met lege kaasschappen te maken), bevestigen dat geen enkel bedrijf immuun is voor cyberaanvallen. Daarnaast bleek uit een recent rapport van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) dat de cyber-weerbaarheid van Nederlandse bedrijven, waaronder bedrijven die verantwoordelijk zijn voor vitale services zoals water- of energieleveranciers, op dit moment tekortschiet.

Nederlandse bedrijven zijn dus niet weerbaar genoeg, voor cybercriminelen is alles geoorloofd en ransomware is nog altijd lucratief. Deze combinatie maakt de noodzaak om onze verdedigingen te versterken duidelijk. Maar hoe verdedig je je tegen iets dat constant verandert? Net als de security-technologie die we gebruiken tegen deze aanvallen, ontwikkelen ook de aanvalsmethoden zelf continu. Waar voorheen enkel werd ingezet op het versleutelen van data, wordt er inmiddels steeds vaker gebruik gemaakt van double extortion-methoden. Hierbij worden data ook geëxfiltreerd en gedreigd deze openbaar te maken of door te verkopen op ondergrondse markten. Alleen door de ontwikkeling van cyberaanvallen in de (nabije) toekomst beter te volgen en begrijpen, kunnen we ons hier goed op voorbereiden.

De toekomst van ransomware

Ondanks dat de verschillende manieren waarop cyberaanvallen worden uitgevoerd veranderen, blijft de basis hetzelfde: criminelen moeten toegang hebben tot de data van een bedrijf voordat zij schade kunnen veroorzaken. Toegang hebben tot data is het startschot van een ransomware-aanval. Ik verwacht echter dat deze methode in de toekomst zal veranderen, omdat je met data veel meer kunt dan deze enkel exfilteren en versleutelen.

Wat gebeurt er op het moment dat je de integriteit van data niet meer kan garanderen? Wat als een hacker data toevoegt, in plaats van deze versleutelt en/of exfiltreert? Dit is iets wat we nu al zien gebeuren en wat in de toekomst steeds vaker voor gaat komen. Een voorbeeld: een waterzuiveringsbedrijf wordt gehackt, maar in plaats van data te stelen, hebben de aanvallers data toegevoegd. Omdat het bedrijf niet weet welke data waar zijn toegevoegd en of het zuiveringsproces nog goed verloopt, hebben zij weinig andere keuze dan hun werkzaamheden stil te leggen of losgeld te betalen. Een dergelijke aanval kan dus niet alleen grote financiële gevolgen hebben, maar ook leiden tot paniek in de maatschappij, bijvoorbeeld als het water tijdelijk afgesloten moet worden. Alleen omdat men niet kon garanderen dat de data, en dus de operationaliteit, 100 procent integer waren.

Mogelijk maatschappelijke onrust kan een grote motivator zijn voor bedrijven om losgeld te betalen. Bedrijven die hier steeds vaker mee te maken gaan krijgen, zijn niet alleen de beheerders van onze kritieke infrastructuur, maar ook mediabedrijven. In de afgelopen jaren was er een enorme toename in het aantal berichten met valse informatie over de COVID-19-pandemie. Tegelijkertijd hebben we kunnen zien dat dit soort berichten kunnen leiden tot maatschappelijke onrust – en soms zelfs heeft geleid tot demonstraties. Stel je eens voor dat het ANP gehackt wordt en er valse berichten over het virus worden toegevoegd. Dat kan enorme maatschappelijke gevolgen hebben. Desinformatie – een andere vorm van datainfiltratie – is dan ook iets dat we inmiddels kunnen toevoegen aan het vaste wapenarsenaal van cybercriminelen.

Om wat voor vorm van datainfiltratie het ook gaat, het komt er in alle gevallen op neer dat de data niet langer integer zijn. Ondanks dat de data niet in alle gevallen versleuteld zijn, is het gevaarlijk om hier mee door te blijven werken. Bij dit soort aanvallen betaal je dus niet om versleutelde data terug te krijgen, maar betaal je om erachter te komen welke foutieve data zijn toegevoegd.

Hoe komen criminelen de organisatie binnen?

Zowel bij ‘traditionele’ ransomware-aanvallen als aanvallen waarbij data worden toegevoegd, zal de organisatie eerst gehackt moeten worden. Iemand zal dus ergens op een kwaadaardige link moeten klikken en zijn credentials opgeven. Een bekende manier om achter die credentials te komen, is via email-phishing. Het laatste jaar hadden veel van dit soort mails betrekking op de pandemie, bijvoorbeeld op geüpdatet maatregelen, informatie over vaccinaties of het opnemen van vakantiedagen. Andere manieren om credentials te stelen, is door individuele personen te hacken via hun thuisnetwerken. Deze zijn vaak veel minder goed beveiligd dan bedrijfsnetwerken. Als het thuisnetwerk eenmaal gehackt is, kan een kwaadaardige actor ‘meekijken’ op jouw werklaptop en zodoende de inlog tot het bedrijfsnetwerk stelen.

Een andere, opkomende manier om thuisnetwerken te hacken en malware te verspreiden, is via streamingdiensten en online gaming. Streamen en gamen hebben tijdens de pandemie een enorme boost gekregen, omdat mensen veel thuis waren. Als gevolg zijn er meer mensen dan ooit met een account op Netflix, Disney+, Discord of Twitch. Deze diensten worden door consumenten blindelings vertrouwd. Er worden dan ook amper vraagtekens gezet als er iets moet worden gedownload, bijvoorbeeld een update voor een spel of een film voor offline kijken. We zullen in de nabije toekomst zien dat cybercriminelen zich steeds vaker in dit soort diensten nestelen en kwaadaardige bestanden uploaden om binnen te komen in het thuisnetwerk van particuliere personen.

Er is een mentaliteitsverandering nodig

Edwin Weijdema, Global Technologist, Product Strategy bij Veeam

Cybercriminaliteit zal nooit helemaal verdwijnen, maar er zijn wel degelijk dingen die we gezamenlijk kunnen doen om kwaadwillenden buiten de deur te houden. Om effectief te kunnen optreden tegen cyberaanvallers, zal er echter eerst een radicale mentaliteitsverandering moeten plaatsvinden, zowel bij bedrijven als bij de overheid. De online wereld moet op gelijke voet komen te staan met de offline wereld. Ter illustratie: als criminelen met wapens mensen in een bedrijfsgebouw gegijzeld houden en daar losgeld voor vragen, wordt dit over het algemeen gezien als een daad van terrorisme. Hetzelfde kan helaas nog niet gezegd worden als zoiets in een online omgeving gebeurt. Online misdaad wordt vooralsnog gezien als ‘minder erg’ of ‘simpelweg onvermijdelijk’. Hiermee wordt de validiteit van het verdienmodel van cybercriminelen continu bewezen. Organisaties moeten cyberaanvallen gaan zien als een directe dreiging voor hun continuïteit en deze dan ook gaan behandelen als crisissituatie.

Tegelijkertijd is er een belangrijke rol weggelegd voor overheden. Cybercriminaliteit moet ook in de wet- en regelgeving gelijkgesteld worden aan offline criminaliteit en een bijpassende straf krijgen. Dit kunnen zij bijvoorbeeld doen door ransomware-aanvallen aan te merken als terrorisme en het betalen van losgeld expliciet te verbieden. Waar dit in sommige landen, zoals de VS, al gebeurt, is er voor de Nederlandse overheid nog veel te leren. Te starten met een dedicated IT-positie binnen de regering die zich bezighoudt met het opstellen van regelgeving die dit soort cyberaanvallen, waaronder ransomware, criminaliseren en organisaties verplicht goede crisis-processen te definiëren en toe te passen.

Conclusie

Wanneer overheden en bedrijven gaan samenwerken om ransomware-aanvallen te criminaliseren, geloof ik dat we dit type criminaliteit volledig kunnen uitbannen. Door het financiële gewin, dat criminelen uit dergelijke aanvallen halen, te elimineren zal afpersing minder aantrekkelijk worden. En door online en offline criminaliteit wettelijk op gelijke voet te zetten, worden de risico’s voor cybercriminelen ook groter. Helaas zal geen enkele organisatie ooit 100 procent veilig zijn voor aanvallen van buiten, maar dat moet ons er niet van weerhouden er alles aan te doen om onze weerbaarheid te verbeteren tegen de volgende golf van ransomware.

Dit is een ingezonden bijdrage van Edwin Weijdema, Global Technologist, Product Strategy bij Veeam. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.