Het aanbod van ‘as-a-service’-modellen in IT neemt sterk toe en we zien ze inmiddels overal, denk bijvoorbeeld aan Salesforce, Office 365 of Netflix. Ook cybercriminelen zien mogelijkheden in het ‘service’-idee en bieden sinds enkele jaren Ransomware-as-a-Service (RaaS) aan. Dit betekent dat zelfs criminelen zonder technische kennis winstgevende ransomware-aanvallen kunnen uitvoeren. En zoals inmiddels algemeen bekend, neemt het aantal aanvallen sterk toe. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) stelt dan ook dat het niet zozeer de vraag is of bedrijven worden aangevallen, maar wanneer. Deze toename van ransomware-dreigingen is het gevolg van een aantal ontwikkelingen, waaronder werken op afstand en thuiswerken, de toename van het gebruik van de cloud, het IoT en natuurlijk RaaS.
RaaS is een servicemodel waarbij ransomware-groepen zoals Conti, REvil of RagnarLocker de tools of platforms leveren, begeleiding bij de uitvoering van een aanval, tip & tricks, een IT-helpdesk en andere services. Vaak zijn RaaS-aanbiedingen te vinden op het Dark Web. ‘Klanten’ hebben de keuze om de aangeboden ransomware eenmalig te kopen of zelfs om een abonnement te nemen op de mogelijkheid om ransomware-aanvallen uit te voeren. Er kan ook op verschillende manieren worden betaald. Zo kan er eenmalig betaald worden bij verkoop, is het mogelijk om te ‘leasen’, kan er betaald worden door een deel van het losgeld af te staan en ga zo maar door. Het lijkt dus heel erg op de aanschaf van reguliere professionele services. Ransomware-aanbieders zijn intussen ook nauwelijks nog te onderscheiden van ‘normale’ bedrijven: er is een HR-afdeling, bonusprogramma’s en zelfs awards voor de ‘werknemer van de maand’. Het is daarom geen verrassing dat RaaS erg populair is onder cybercriminelen en steeds meer invloed krijgt. In 2020 werd RaaS al gebruikt bij 64% van alle ransomware-aanvallen.
Via RaaS kunnen aanvallers systemen versleutelen en/of dreigen om gevoelige data, zoals klantinformatie, productgegevens en financiële gegevens, openbaar te maken. Ransomware is voor bedrijven een existentiële dreiging, maar voor cybercriminelen is het een belangrijke troef bij hun onderhandeling met hun slachtoffers. Omdat bij een succesvolle ransomware-aanval bedrijven vaak hun productie of dienst niet voort kunnen zetten, zijn veel bedrijven in eerste instantie verlieslijdend. Hierdoor wordt er vaak uit wanhoop losgeld betaald, meestal in cryptovaluta. Losgeld betalen is niet illegaal in Nederland, maar de overheid is er zeker geen fan van en wil dat het vermindert. Ook organisaties zoals het Digital Trust Center raden af om losgeld te betalen: “Je hebt geen garantie dat de betaling leidt tot de teruggave van je gegevens. Daarnaast steun je tegelijkertijd de criminele activiteiten achter de ransomware.”
Doorslaggevend voor het succes van RaaS zijn cryptovaluta zoals Bitcoin en Monero, omdat deze moeilijk te traceren en relatief makkelijk wit te wassen zijn. Dit is ideaal als betaalmiddel voor RaaS en zelfs de recente daling van de koersen van cryptovaluta zal hier waarschijnlijk geen einde aan maken. Als een cryptomunt daalt in waarde, dan wordt die waarde gewoon gecompenseerd in de onderhandelingsfase met het slachtoffer door meer crypto te eisen.
Een goede voorbereiding is het halve werk
De beste bescherming tegen ransomware-aanvallen is een goede voorbereiding. Gaten in de beveiliging en zwakke plekken in systemen moeten regelmatig worden gedicht met patches en updates en de security moet goed bewaakt worden. De zwakste schakel in security is uiteindelijk vaak de mens en dan vooral mensen zonder voldoende securitybewustzijn. Het regelmatig trainen van medewerkers is daarom de belangrijkste maatregel die bedrijven kunnen nemen zodat er een securitycultuur binnen het bedrijf ontstaat. Als een bedrijf niet zelf beschikt over middelen om dit te bereiken, dan kan het een beroep doen op externe securityexperts die hen kunnen ondersteunen bij het implementeren van gepaste securitymaatregelen.
Het is ook essentieel dat bedrijven noodplannen opstellen voor een juiste respons in geval van een noodsituatie. Mocht het bedrijf slachtoffer worden van een succesvolle aanval dan moet dit noodplan strikt opgevolgd worden. Zo’n noodplan voorkomt paniek en overhaaste acties die negatieve gevolgen kunnen hebben. Naast het noodplan bieden cyberdefensiehotlines van securitypartners, gespecialiseerde consultants en desbetreffende officiële instanties ondersteuning en deskundige adviezen in het geval van een geslaagde ransomware-aanval.
Wat als het mis gaat?
Om te beginnen is het belangrijk om kalm te blijven. Dit is zeker niet het moment om ‘schuldigen’ aan te wijzen – samenwerken is cruciaal en er moet niet overhaast gehandeld worden. Het is ook zaak om zo snel mogelijk de relevante autoriteiten op de hoogte te brengen, zodat die misschien advies kunnen geven. De volgende stap is om de situatie te analyseren en te evalueren en vervolgens de juiste tegenmaatregelen te nemen.
Als de rust weer enigszins is weergekeerd, is het zaak vervolgstappen te nemen. Dit betekent bijvoorbeeld maatregelen om de verdere verspreiding van de ransomware tegen te gaan. Vervolgens moet gekeken worden wat de omvang van de schade is en welke herstelmogelijkheden er zijn. Welke back-ups zijn nog beschikbaar en moeten offline worden gehaald? Welke diensten zijn getroffen, welke data zijn versleuteld en welke herstelacties moeten worden uitgevoerd? Zodra deze vragen beantwoord zijn, is het zaak om zo veel mogelijk informatie te verzamelen over de aanval, oftewel alle informatie over de aanvallers, de gebruikte malware en soortgelijke incidenten.
Nu moet er een aantal zakelijke beslissingen genomen worden. Moet de losgeldeis worden ingewilligd of niet? Daarbij moeten alle aspecten zeer zorgvuldig worden afgewogen: het beschikbare kapitaal van het bedrijf, omzet- en klantverlies, mogelijke reputatieschade, rechtszaken enz. De laatste stap is het onderhandelen met de cybercriminelen. Hierbij zijn twee punten belangrijk om te onthouden. Je onderhandelt met criminelen, wat betekent dat er geen garanties zijn. En om de cybercriminelen niet onnodig te ergeren is het verstandig om zakelijk en beleefd te blijven.
Ongeacht of tijdens de laatste stap het losgeld wordt betaald of niet, moet de zaak goed afgewikkeld worden om het bedrijf in de toekomst beter te kunnen beveiligen. Alle systemen moeten zorgvuldig gescand en opgeschoond worden en alle gebruikers moeten nieuwe logingegevens krijgen of hun wachtwoord wijzigen. Daarnaast moet nagegaan worden of er ergens gegevens zijn gepubliceerd op internet of op het Dark Web en dit moet ook constant gemonitord worden.
Conclusie: RaaS – ken de risico’s en wees altijd voorbereid
Digitalisering, thuiswerken/werken op afstand en andere soortgelijke actuele trends bieden cybercriminelen steeds meer mogelijkheden om aanvallen uit te voeren. Met RaaS hebben ze ook makkelijk toegang tot een effectief aanvalsmiddel. Bedrijven moeten daarom meer dan ooit hun systemen grondig beveiligen, eventuele kwetsbaarheden in de beveiliging moeten worden gedicht en aanvalspogingen moeten geanalyseerd worden. Bedrijven moeten zich bewust zijn van de dreiging en hiervoor de noodzakelijke maatregelen nemen en bereid zijn om te investeren in de juiste middelen. Als organisaties een proactieve securitystrategie hebben en goed voorbereid zijn op cyberaanvallen, worden bedrijfssystemen, werknemers, apparaten en data goed beschermd, zodat aanvallers minder kans op slagen hebben.
Dit is een ingezonden bijdrage van Arctic Wolf. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
8 minuten geleden
