4min Security

Deze nieuwe ransomware-strategie duikt steeds vaker op: gedeeltelijke gegevensversleuteling

Een kale man met een bril en een geruit overhemd.
Deze nieuwe ransomware-strategie duikt steeds vaker op: gedeeltelijke gegevensversleuteling

Cybercriminelen gebruiken regelmatig nieuwe technieken bij ransomware-aanvallen. Een recente ontwikkeling is het versleutelen van delen van bestanden. Ook zetten cybercriminelen steeds vaker technieken in waar geen bestanden aan te pas komen om detectie langer te vermijden. Om een slachtoffer vervolgens te dwingen het losgeld te betalen, richten hackers zich op de back-ups. Nadat ze in het netwerk van het slachtoffer zijn ingebroken, verkopen cybercriminelen deze toegang weer aan andere ransomware-groepen: zo verschenen er vorig jaar meer dan 1.300 dergelijke meldingen op grote cybercrime-fora.

Intermittent encryptie: een nieuwe aanvalsmethode

Zodra cybercriminelen het bedrijfsnetwerk infiltreren, stelen en versleutelen ze zoveel mogelijk gegevens voordat ze door een beveiligingssysteem worden ontdekt. Het versleutelen van gegevens kost echter tijd, en hoe langer een aanvaller in een netwerk zit, hoe groter de kans is dat hij wordt ontdekt. Daarom gebruiken ze een nieuwe wederkerende versleutelingstechniek. Criminelen versleutelen slechts een klein deel van de gegevens – een deel dat klein genoeg is om het CPU-gebruik laag te houden en detectie te ontwijken, maar dat een bestand toch onbruikbaar kan maken. Om meer tijd te winnen en niet opgemerkt te worden door automatische detectietools, variëren cybercriminelen in de tijd van de dag waarop ze actief zijn en hoeveel bestanden ze versleutelen. Tegelijkertijd kunnen criminelen gegevens op deze manier snel versleutelen, waardoor de druk op het slachtoffer om het losgeld te betalen toeneemt.

Om hun doeltreffendheid te vergroten en het bedrijven moeilijker te maken om te reageren, maken criminelen gebruik van drie tot vier verschillende aanvalsketens tegelijk: phishing, spam, spoofing en andere social engineering-mechanismen. Een andere manier om detectie te omzeilen is het gebruik van fileless-technieken, waarbij apparaten met ransomware worden geïnfecteerd zonder dat er bestanden op worden geplaatst. Dit wordt gedaan met legitieme, algemeen beschikbare tools. Hackers kunnen langs de beveiliging glippen als ze geen procesnamen of bestandshashes gebruiken die door het IT-team als onveilig zijn aangemerkt.

Dubbele afpersing wint aan populariteit

Cybercriminaliteit is een dienst geworden en hackers vallen zelfs elkaars slachtoffers aan. Degenen die als eerste inbreken in het netwerk van een bedrijf, verkopen de gegevens en de toegang tot het systeem vervolgens door aan andere ransomware-groepen, terwijl zij zich richten op afpersing. Volgens KELA verschenen er in 2021 meer dan 1.300 van dit soort aanbiedingen op grote cybercrime-fora. Na een succesvolle aanval versleutelen veel cybercriminelen niet alleen, maar stelen en vernietigen ook gegevens en back-ups die online beschikbaar zijn of niet goed zijn beveiligd. Herstel is daardoor onmogelijk, waardoor de druk voor het betalen van losgeld toeneemt. Dergelijke aanvallen zijn vaak gericht op financiële diensten, de gezondheidszorg en overheidssectoren waar een ransomware-aanval gevolgen kan hebben voor kritieke infrastructuur.

Traditionele cyberbeveiliging nog steeds het meest effectief

Traditionele beschermingsmethoden, zoals het regelmatig updaten en patchen van applicaties en systemen, zijn nog steeds de beste oplossing om de organisatie veilig te houden. Het verkleint het risico van een geslaagde aanval: 80 procent van de aanvallers zoekt namelijk naar systemen met bekende kwetsbaarheden. Daarnaast is educatie enorm belangrijk. Elke gebruiker moet de standaard aanvalsmethoden kunnen herkennen, weten hoe hij daarop moet reageren en wie hij over het incident moet informeren.

Back-ups worden een veelvoorkomend doelwit voor criminelen, dus het is vooral belangrijk om de back-up-strategieën te optimaliseren om gegevens goed te kunnen beveiligen en herstel mogelijk te maken. Volgens het Veeam Data Protection Trends Report 2022 zijn 9 van de 10 bedrijven niet in staat om ten minste een deel van hun gestolen gegevens te herstellen. Het is noodzakelijk om ten minste drie kopieën van belangrijke gegevens te hebben, op ten minste twee verschillende soorten media, met ten minste één offsite, één offline en nul niet-geverifieerde back-ups of back-ups met fouten.

Daarnaast is een herstelplan cruciaal. Het kan nuttig zijn een aanval te simuleren, zodat bedrijven de geplande stappen naar aanleiding van een cyberincidenten kunnen oefenen. Oefenen is de enige manier om mogelijke tekortkomingen in het plan te ontdekken en alle werknemers vertrouwd te maken met hun rol en de technologie die zij misschien moeten gebruiken. Het zal er ook voor zorgen dat het plan niet pas voor het eerst wordt gelezen tijdens een incident.

Dit is een ingezonden bijdrage van Veeam. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.