Getroffen worden door een ransomware-aanval is al erg genoeg, maar in veel gevallen kunnen criminelen uw organisatie blijven afpersen. Wie garandeert u dat zelfs nadat u ransomware voor het vrijgeven van uw data heeft betaald, de criminelen uw gegevens opnieuw zullen versleutelen en u nogmaals zullen afpersen?
Wytze Rijkmans is Regional Vice President bij Tanium | Beeld: Tanium
Dubbele en zelfs drievoudige afpersingen komen steeds vaker voor, nu ransomware-criminelen extra betalingen eisen om te voorkomen dat de bij hun aanvallen buitgemaakte privégegevens uitlekken.
Deze extra bedreigingen drijven de kosten van ransomware enorm op. Volgens sommige bronnen bedragen deze tegen 2031 naar schatting 265 miljard dollar. Onderzoek van Forrester toont aan dat Nederlandse bedrijven vaker dan gemiddeld losgeld betalen.
Bij traditionele ransomware-aanvallen versleutelen de aanvallers waardevolle gegevens en soms maken zij zelfs delen van het netwerk onbereikbaar voor de reguliere gebruikers. Zo willen ze organisaties dwingen losgeld te betalen in ruil voor het veilige herstel van gegevens en netwerkfunctionaliteit. CISO’s hebben hierop gereageerd met sterkere cyberbescherming, zoals het maken van veilige offsite back-ups en het segmenteren van hun netwerken, maar aanvallers hebben zich snel ontwikkeld om deze methoden te ondermijnen.
Het bedrijf als melkkoe
Het kat-en-muisspel dat ransomware is, heeft het afgelopen jaar een lelijke wending genomen toen aanvallers zich realiseerden hoeveel waarde organisaties hechten aan het niet openbaar maken van hun gevoelige informatie. De aantasting van het merk en de reputatie kan soms net zo schadelijk zijn als het blokkeren van bestanden en systemen. Daarom dreigen aanvallers er nu mee gevoelige informatie te lekken. Dat kunnen ze zelfs wanneer organisaties in staat zijn back-ups te gebruiken en geen losgeld hoeven te betalen.
Nu dubbele afpersing zo rendeert, dachten aanvallers kennelijk: waarom daar stoppen? In gevallen van drievoudige afpersing dreigen aanvallers gegevens over partners en klanten vrij te geven om extra losgeld af te dwingen, waardoor de oorspronkelijke organisatie het risico loopt op rechtszaken of boetes.
Bescherming tegen meervoudige afpersingspogingen
CISO’s die hun organisatie proactief willen beschermen, kijken dus verder dan de eigen bedrijfsmuur. Ze gaan na of er inbreuken gebeurd zijn in hun toeleveringsketen, of bij andere bedrijfspartners. En natuurlijk gaan ze ook zoeken naar relevante gegevens die worden verkocht op het dark web of vrijkomen in breach dumps.
Een back-up alleen is niet genoeg, aangezien aanvallers ook geld kunnen eisen voor het niet lekken van gevoelige informatie.
Regelmatige back-ups vormen een sterke eerste verdediging tegen een standaard ransomware-aanval, maar back-ups alleen zijn niet langer voldoende. Omdat criminelen hebben ingezien dat back-ups een standaardoptie zijn om betaling te vermijden, zullen ze proberen de back-ups te beschadigen, naast het dreigen met toekomstige lekken. Dit groeiende probleem heeft geleid tot een behoefte aan offline back-ups en out-of-band incidentcommunicatie: elk systeem dat tijdens een incident verbonden is – zoals e-mail – mag niet langer worden vertrouwd.
Een back-up alleen is niet genoeg, aangezien aanvallers ook geld kunnen eisen voor het niet lekken van gevoelige informatie. De enige echte verdediging tegen dubbele en drievoudige afpersing is ervoor zorgen dat aanvallers geen toegang krijgen tot de meest gevoelige informatie. De hoogste prioriteit moet liggen bij het categoriseren van kritieke gegevens, zodat cybercriminelen niet de meest waardevolle data kunnen stelen wanneer ze door de eerste verdedigingslinies heen komen. Dit controleproces omvat het beperken van wie toegang heeft tot gegevens en welke tools er direct mee mogen werken. Hoe minder toegangspunten, hoe gemakkelijker het is om de gegevens te beveiligen.
Best practices
- Begrijp waar uw gegevens zich bevinden en voer oplossingen in voor bijna-realtime waarschuwingen die aangeven wanneer gevoelige gegevens onveilig worden opgeslagen, overgedragen of bewaard. Wanneer u uw inspanningen richt op het beschermen van uw meest cruciale informatie, helpt u de alert-moeheid te beperken en houdt u beter in de gaten wie en wat er met die gegevens omgaat.
- Breng de dynamische risico’s in kaart die verband houden met nieuwe apparaten die uw netwerk binnenkomen wanneer werknemers worden aangenomen of wanneer apparaten van voormalige werknemers moeten worden verwijderd.
- Stel een basisbegrip van ‘normaal gedrag’ in uw omgeving vast, zodat u beter aanvoelt wanneer er iets onaangenaams aan de hand is.
- Als u toch te maken krijgt met een inbreuk, zorg er dan voor dat u de kansen van aanvallers om toegang te krijgen tot privégegevens beperkt. Dat kan als volgt:
- Verander alle wachtwoorden die in verband kunnen worden gebracht met gecompromitteerde systemen.
- Controleer of de informatie over de inbreuk afkomstig is van een legitieme bron, aangezien gecompromitteerde e-mails officieel kunnen lijken terwijl ze in feite frauduleus zijn.
- Zorg ervoor dat de herstelinspanningen verder gaan dan enkel ‘wissen en opnieuw opstarten’. Deze inspanningen moeten ook een grondige controle omvatten om restsporen van malware te vinden.
- Identificeer de oorspronkelijke toegangspunten die bij de ransomware-aanval gebruikt zijn om te voorkomen dat ze tijdens herstelwerkzaamheden opnieuw aangevallen en misbruikt worden.
Ook het ecosysteem van partners, klanten en investeerders wordt bedreigd.
We kennen allemaal maar al te goed de verlammende effecten van een ransomware-aanval. Deze kunnen verwoestend zijn voor elk bedrijf. Maar tegenwoordig staat er nog veel meer op het spel, omdat het uitgebreide ecosysteem van partners, klanten en investeerders wordt bedreigd. Daarom moeten alle organisaties een plan ontwikkelen om hun gegevens te verdedigen en zich niet alleen te beschermen tegen de eerste ransomware-aanvallen, maar ook tegen dubbele en driedubbele ransomware-aanvallen.
Wytze Rijkmans, Regional Vice President bij Tanium
