4min

Tags in dit artikel

, ,

Jarenlang hebben cybercriminelen een constante campagne van ransomware-aanvallen gevoerd, grotendeels door nieuwe malwarecomponenten te introduceren die hele systemen dreigen uit te schakelen. Volgens de statistieken was maar liefst 71 procent van de organisaties in 2022 slachtoffer van ransomware – en hackers zullen hier niet snel mee stoppen.

Maar terwijl malware zich blijft ontwikkelen, wordt de grootste verandering in moderne aanvalsmethoden teweeggebracht door de hackers zelf. Ze gebruiken nieuwe technieken die het hebben voorzien op het vermogen van organisaties om te plannen en te communiceren. Dit kan resulteren in een nog dodelijker aanval.

Een recente methode van hackers is om drie tot vier verschillende attack chains tegelijk te gebruiken. Gecoördineerde aanvallen omvatten phishing, spam, spoofing en social engineering en zorgen voor meerdere aanvalsvectoren. Dit maakt het lastig voor een organisatie om hier efficiënt op te reageren. Maar daar stopt het niet. Methoden zoals intermittent en tijdelijke encryptie zijn een grote bedreiging voor organisaties, omdat zij problemen creëren met de gegevenskwaliteit en het mogelijk maken voor kwaadwillenden om met subtiele tactieken onder de radar te blijven.

De beste verdediging is voorbereid zijn op het ergste, een zero trust-architectuur invoeren en een strategie ontwikkelen voor snelle reacties. Er is een enorme behoefte aan software en applicaties die met de snelheid van het licht kunnen vechten tegen cyberaanvallen. Om succesvolle tegenmaatregelen te kunnen nemen, laten we eerst eens kijken naar de grootste nieuwe dreigingen.

Intermittent encryptie

Intermittent encryptie, of gedeeltelijke encryptie, is een nieuwe techniek die cybercriminelen gebruiken om detectie te omzeilen en de bestanden van het doelwit sneller te beschadigen. Het is efficiënt en misleidend, maar het versleutelen van bestanden duurt lang, dus een vluchtige analyse kan deze malware-activiteit vaak wel herkennen. Nieuwe aanvalsmethoden maken het voor hackers echter mogelijk om delen van bestanden te versleutelen op een intermittent basis. Dit houdt het CPU-gebruik laag en maakt het lastiger voor conventionele en op gedrag gebaseerde ransomware-tools om dit soort activiteit te spotten.

Fileless aanvallen omzeilen detectie

Een andere manier om detectie te omzeilen is om fileless technieken te gebruiken bij het verspreiden van ransomware. Dit is de manier die nation-state aanvallers vaak gebruiken. De aanvallen die ze inzetten, maken gebruik van legitieme, openbaar beschikbare softwaretools die in de omgeving van een doelwit kunnen worden gevonden. Bedreigers kunnen voorbij glippen als ze het gebruik van procesnamen of bestandshashes vermijden die al zijn gemarkeerd als gevaarlijke indicatoren.

Kwetsbaarheden in VoIP

De populaire ‘Lorenz-ransomware’-aanvallen hebben een kwetsbaarheid blootgelegd in voice-over-IP-apparaten die als toegangspoort werden gebruikt tot zakelijke telefoonsystemen en computernetwerken. Experts zeggen dat de Lorenz-groep de ‘double exploitation’-tactiek heeft gevolgd: ze verkopen de gegevens die ze stelen en bieden toegang tot de systemen van slachtoffers aan andere online aanvallers.

Cybercrime-as-a-Service

De hacker-community diversifieert. Recent is de cybercrime-as-a-service sector ontstaan waarbij initial access brokers (IAB) de mogelijkheid bieden om organisaties te hacken, inloggegevens te stelen en toegang te verkopen aan andere aanvallers. IAB’s verkopen aan andere ransomware-operators terwijl ze zichzelf richten op afpersing en het ontwikkelen van hun malware. In 2021 werden er meer dan 1.300 meldingen van IAB’s op grote cybercrime fora geregistreerd door het KELA Cyber Intelligence Center.

Meerdere groepen richten zich op hetzelfde slachtoffer

In KELA’s laatste ransomware-report, rapporteren onderzoekers dat ransomware-groepen ook elkaars slachtoffers aanvallen. Bijvoorbeeld, drie aparte groepen claimden een hack op een Amerikaanse autodealer of plaatsten identieke informatie over de hack op hun eigen sites.

Hoe kun je ransomware effectief bestrijden?

Organisaties die de strijd met ransomware willen winnen, moeten over het vermogen beschikken tot educatie, implementatie en herstel. Het beste recept tegen een beveiligingslek is preventie. Dit kan op een aantal verschillende manieren worden geoptimaliseerd:

  • Educatie: medewerkers hebben continue educatie nodig om ervoor te zorgen dat cybercriminelen toegang tot gegevens en systemen niet zomaar cadeau krijgen.
  • Pas de 3-2-1-1-0-regel toe: offsite en offline back-ups zijn noodzakelijk om de effecten van ransomware te minimaliseren. De 3-2-1-1-0-regel vereist dat er altijd ten minste drie kopieën moeten zijn van belangrijke gegevens, op ten minste twee verschillende type media, waarvan ten minste één offsite en één offline, met nul ongeverifieerde back-ups of back-ups met fouten.
  • Herstelplan: betaal nooit losgeld! De enige optie is om gegevens te herstellen. Het implementeren van een back-up- en disaster recovery-plan geeft organisaties de mogelijkheid om te herstellen na een ransomware-aanval. Daarmee wordt het risico op financiële of reputatieschade beperkt.
  • Stel een ervaren team samen: als er een positieve kant zit aan deze ransomware-trends, is het wel dat organisaties zich steeds bewuster worden van de dreiging en bereid zijn extra middelen in te zetten voor het aantrekken van nieuwe mensen.
  • Integreer een continu compliance-systeem in de beveiligingsstrategie: de beste continue compliance-systemen koppelen het softwareproductiesysteem, de supply chain en gegevensback-up- en -recoveryplatforms aan elkaar om een onmiddellijke mitigatie en begeleiding voor een oplossing te garanderen.
  • Creëer een security-first cultuur: gezien het hoge percentage menselijke fouten achter succesvolle inbraken en de noodzaak van goedkeuring door de c-suite voor de verbetering van beveiligingsmaatregelen, is het cruciaal om een security-first mentaliteit in de bedrijfscultuur te bevorderen. Medewerkers moeten worden getraind, zich bewust zijn van de potentiële dreigingen (denk aan phishing-mails) en zich comfortabel voelen om inbraken direct te rapporteren.
  • Omarm dataprotectie, back-up en herstel: volgens het Veeam Data Protection Trends Report loopt 90 procent van de organisaties het risico om belangrijke gegevens te verliezen. Daarnaast is 93 procent niet in staat ten minste een deel van hun gestolen gegevens te herstellen.

Hoewel de dreiging van ransomware blijft toenemen en het steeds moeilijker wordt om de volgende zet van cybercriminelen te detecteren, kunnen organisaties nog steeds terugvechten door hun dataprotectie te versterken.

Dit is een ingezonden bijdrage van Rick Vanover en Dave Russell van Veeam. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.