Cybercriminelen kunnen zowat iedereen onder vuur nemen, zelfs de security-experts die normaal gesproken andere organisaties beschermen. Dragos onthult dat het onlangs te maken had met een poging tot een ransomware-aanval. De schade bleef beperkt, ondanks dat er data gestolen werd. Door zo transparant mogelijk te zijn, hoopt het securitybedrijf een stigma weg te nemen dat speelt bij slachtoffers van cyberaanvallen.
Allereerst maakt Dragos in een blogpost duidelijk hoe de cybercriminelen überhaupt in de buurt kwamen van gevoelige gegevens. Men wist de privé-email van een nieuwe medewerker binnen te dringen, waardoor onderdelen van het onboarding-proces toegankelijk werden. De criminelen verkregen toegang tot de Dragos Sharepoint- en contractmanagementsystemen, maar de klantgegevens op deze platformen bleven ongemoeid.
Bewezen methodiek
Dragos zegt te hebben vertrouwd op de bewezen methodiek die de meeste cybersecurity-experts aanraden. Zo gaan Dragos-systemen doorgaans uit van het ‘least privilege’-principe. Dit securitybeginsel gaat uit van zo min mogelijk privileges per gebruiker, zoals de naam suggereert. Met andere woorden: niemand heeft toegang tot data tenzij daar expliciet toegang voor is gegeven, zij het via MFA (multi-factor authentication) of door een systeembeheerder.
Het gecompromitteerde account was geblokkeerd zodra de aanvalspoging bekend werd. Een service- en een MDR-provider van Dragos werden ingezet voor de incident response. Zo trad de gelaagde security van Dragos in werking: zowel interne systemen als externe partijen bleken in de praktijk van nut bij het beperken van het probleem.
Dragos vindt het jammer dat er data gelekt zal worden, alhoewel dit beperkt zou zijn gebleven tot de gegevens van één klant waar de nieuwe werknemer toegang tot had. De klant zou zijn gecontacteerd.
Tip: Organisaties verliezen bijna altijd data bij ransomware-aanval
Retorische bluf
Wat de reactie van Dragos enorm vergemakkelijkte, was het feit dat de criminelen nooit toekwamen aan het plaatsen van ransomware. Omdat het securitybedrijf niet reageerde op de dreigende WhatsApp-berichten vanuit de criminele organisatie, was er nooit sprake van een betaling van losgeld. Dit zal voor veel bedrijven lastiger zijn als er daadwerkelijk ransomware in de eigen systemen zit. In dat geval wordt het een stuk aanlokkelijker om toch met de criminelen te gaan onderhandelen.
Uit de pogingen tot contact vanuit de cybercriminelen blijkt veel retorische bluf. Hoewel er familieleden bij naam genoemd werden, kwamen er fictieve e-mailadressen van hen voorbij. Daarnaast stelde de criminele onderhandelaar dat Dragos het advies van de CISA moest negeren. Uiteindelijk bleek het vooral gebakken lucht te zijn, volgens Dragos. Met name de opmerking “We have EVERYTHING” komt ietwat wanhopig over in de wetenschap dat er slechts een minimaal lek plaatsvond.
Aanbevelingen
Nu Dragos aan den lijve heeft ondervonden hoe het in de praktijk omgaat met een cyberaanval, doet het een aantal aanbevelingen. Men kaart allereerst het belang aan van een solide Identity & Access Management aan. Alleen door uit te gaan van ‘least privilege’-principes is de schade te beperken. Daarnaast raadt Dragos aan om taken zoveel mogelijk te verspreiden over de organisatie, om te voorkomen dat een bepaalde werknemer overspoeld raakt door een aanval. MFA moet ingeschakeld worden waar mogelijk. Deze securitymethode is erg veilig, hoewel er verschillende manieren zijn om het te omzeilen. Dit alles ziet Dragos als zeer herkenbare TTP’s: tactics, techniques & procedures die threat actors inzetten om iemand op te lichten.
Tip: 5 manieren waarop je multi-factorauthenticatie kan worden gehackt
Dragos komt daarnaast aan met een aantal zeer herkenbare security-aanbevelingen. Bekende gevaarlijke IP-adressen moet men blokkeren, werknemers moeten weten hoe ze phishing-mails kunnen detecteren en een getest incident response-draaiboek moet gecombineerd worden met voortdurende security-monitoring.
Expertise
Hoe behulpzaam het advies van Dragos ook is, moeten we onthouden dat men ongekend veel expertise in huis heeft om signalementen te herkennen van ransomware-criminelen. Zo kan zelfs een zeer veilig systeem omzeild worden door intelligente social engineering: de overtuigingskracht van phishing kan dankzij AI-tools als ChatGPT bijvoorbeeld uiterst overtuigend klinken.
Een ander structureel probleem is dat er een tekort is aan security-experts. Wie het geld heeft, kan zich verzekeren van de beste hulp die denkbaar is. Echter vallen daarmee veel kleinere organisaties buiten de buit, die zeer waarschijnlijk niet zomaar de security-expertise in huis hebben om bijvoorbeeld TTP’s snel op te pikken. Kortom, het belang van fundamentele kennis blijft onmiskenbaar.
11 uur geleden
