Het cyberdreigingslandschap is een levend, ademend organisme dat snel groeit en zich blijft ontwikkelen. We krijgen er geen grip op, maar we kunnen wel proberen om de ontwikkelingen en groei bij te houden.
Wereldwijde gebeurtenissen zorgen voor een stroom aan cyberaanvallen, de ene golf na de andere – elke met veel schade tot gevolg. Deze incidenten komen niet alleen steeds vaker voor, maar cybercriminelen verbeteren voortdurend hun manier van aanvallen. Het is daarom steeds moeilijker voor bedrijven om hiervan allemaal op de hoogte te blijven. Waar hebben we nu mee te maken?
Conflict in Oekraïne
Het geopolitieke landschap heeft het afgelopen jaar een enorme impact gehad op het dreigingslandschap. Veel mensen voorspelden dat het aantal cyberaanvallen na de inval van Rusland in Oekraïne zou toenemen, maar niets was minder waar. Uit onderzoek van Arctic Wolf blijkt namelijk dat het aantal ransomware-aanvallen met 26% jaar-op-jaar is afgenomen. Ook in het Cybersecuritybeeld Nederland 2023 is deze afname te zien. Nu we anderhalf jaar verder zijn, zien we het aantal ransomware-aanvallen weer toenemen. De tijdelijke afname komt waarschijnlijk doordat cybercriminelen Rusland massaal zijn ontvlucht uit angst om opgeroepen te worden voor het leger.
Helaas neemt het aantal ransomware-aanvallen alweer toe en is Rusland nog steeds een land waar veel aanvallen vandaan komen. Het (voornamelijk) Russische LockBit is bijvoorbeeld een dominante ransomware bende geworden en heeft 248% meer slachtoffers gemaakt dan de op een na grootste (actieve) ransomware bende, BlackCat.
Ransomware-as-a-Service
In de afgelopen de jaren is ransomware veelvuldig in het nieuws geweest – bedrijven van elke grootte en in elke sector zijn slachtoffers geweest. De dreiging van ransomware is nog steeds reëel.
Hoewel sommigen denken dat ransomware groepen, zoals Lockbit, functioneren als een slecht georganiseerde bende, is dat zeker niet zo. Dit soort groepen werken als goed georganiseerde bedrijven en bieden ransomware aan als een dienst aan anderen (Ransomware-as-a-Service). Organisaties als deze hebben een eigen HR-afdeling, R&D en boekhouding.
Door zich op deze manier te organiseren wordt het voor criminele organisaties gemakkelijker om werk uit te besteden aan verschillende ‘specialisten’, zoals voor het inbreken en afpersen. Dit maakt het moeilijker voor de politie om deze specialisten op te sporen en voor de ransomware-aanval verantwoordelijk te houden.
Repeat-ransomware
Voor wie is getroffen door een ransomware-aanval is niet betalen van losgeld makkelijker gezegd dan gedaan. Betalen of niet is een zakelijke afweging, gebaseerd op de eventuele gevolgen en mogelijke risico’s als er niet betaald wordt. Arctic Wolf vindt dat slachtoffers alles moeten proberen voordat ze losgeld betalen.
Het betalen van het losgeld biedt geen garantie dat je systemen niet opnieuw worden aangevallen of dat de aanvallers geen kopie van je data hebben gemaakt om die vervolgens (opnieuw) te gebruiken voor een afpersingsaanval. Sterker nog, het komt steeds vaker voor dat ransomware-aanvallers dezelfde slachtoffers opnieuw aanvallen, ook wel ‘repeat ransomware’ genoemd. Uit recent onderzoek blijkt dat 4 van de 5 slachtoffers hier mee te maken krijgen.
Dit wetende, raad ik bedrijven van alle groottes aan om te investeren in cybersecurity en om een cyberverzekering af te sluiten. Hiermee investeer je in jezelf en wordt de toekomst van het bedrijf beter gewaarborgd. Hiernaast krijg je niet alleen hulp in het geval van een aanval, maar wordt het bedrijf door de verzekeraar ook gestimuleerd om zijn beveiliging te verbeteren.
Bedrijven van iedere omvang hebben te maken met cybercriminaliteit, maar uit het onderzoek van Arctic Wolf blijkt dat vooral het mkb zwaar wordt getroffen. Met een gemiddelde losgeldeis van 500.000 dollar, oplopend tot 1,1 miljoen dollar in de technologiesector, kan elke aanval fataal zijn voor een klein bedrijf. In Nederland neemt gelukkig het budget van het mkb voor cybersecurity toe. Hierdoor kan er meer worden geïnvesteerd in nieuwe technologieën en trainingen om aanvallen te voorkomen.
De opkomst van Business Email Compromise (BEC)
Nu opsporingsdiensten steeds meer succes boeken in het aanpakken van ransomware, stappen steeds meer cybercriminelen over op een ander verdienmodel: Business Email Compromise (BEC). BEC is een vorm van cybercriminaliteit waarbij een cybercrimineel toegang heeft gekregen tot een intern e-mailaccount en deze misbruikt om met nep e-mails geld te ‘verdienen’. Het is meestal niet moeilijk om binnen te komen en omdat het lastig is voor organisaties om BEC te detecteren – tenzij ze constant hun email servers monitoren – is het geen verassing dat 29% van alle Incident Response gevallen van het afgelopen jaar bestond uit BEC-aanvallen.
Het goede nieuws is dat BEC-aanvallen niet zo schadelijk zijn als ransomware-aanvallen. Uit bovengenoemd onderzoek bleek dat de schade van een BEC-aanval gemiddeld ‘slechts’ 79.000 dollar bedroeg, veel lager dan de gangbare losgeldeisen van ransomwarebendes.
Ondanks het delen van praktische tips en de vele communicatiepogingen van de cybersecuritysector over het belang van een goede cyberhygiëne, is er nog veel werk aan de winkel. Met een verwachte toename van het aantal cyberaanvallen en de complexiteit ervan, moeten bedrijven doen wat ze kunnen om op de hoogte te blijven van de actuele dreigingen. Op basis van deze informatie kunnen bedrijven solide incident response-plannen opstellen om zich tegen die dreigingen te beveiligen.
1 dag geleden
