Een jaar geleden veranderde de cybersecuritywereld voorgoed. Tijdens een weekend in mei 2017 infecteerde een ransomware aanval, die we nu kennen als de beruchte WannaCry, wereldwijd meer dan tweehonderdduizend computers. Met miljarden dollars aan schade als gevolg.
Er zijn continue ransomware aanvallen, maar de snelheid en de schaal van deze specifieke aanval was nog nooit eerder gezien. WannaCry verspreidde zich snel over systemen in 150 landen. Een paar maanden geleden zagen we het patroon van WannaCry nog opduiken in een ransomware-aanval die de stad Atlanta platlegde.
WannaCry was de eerste wereldwijd geschaalde, multivector cyberaanval die werd aangedreven met door de overheid gesponsorde tools. We kunnen stellen dat WannaCry het begin is van een nieuwe generatie cyberaanvallen: de vijfde generatie (Gen V). Maar het is zeker niet de laatste Gen V-aanval. Het is daarom hoog tijd dat organisaties zich aanpassen aan deze nieuwe norm van cyberaanvallen.
Karakteristieken
Gen 5-aanvallen hebben de volgende karakteristieken:
1. Gebruik van door de staat ontwikkelde tools.
Ongeveer een maand voor de WannaCry-aanval, lekte de hackersgroep Shadow Brothers een exploit (software tool om misbruik te maken van een fout in een computersysteem) die was ontwikkeld door de National Security Agency (NSA). Deze exploit, genaamd EternalBlue, zou later worden gebruikt als onderdeel van de WannaCry-aanval.
In het verleden gebruikten hackers simplistische, zelfontwikkelde tools. Met WannaCry verschoof dit naar het gebruik van ‘wapens’ met militaire kwaliteit, naar tools die zo krachtig zijn dat een nationale veiligheidsdienst ze kan gebruiken bij internationale cyberoorlogen. Slechts zes weken na WannaCry gebruikte NotPetya, een andere beruchte malware, dezelfde exploit in zijn aanval op voornamelijk Oekraïense kritieke infrastructuursystemen. En de recente aanval van SamSam ransomware die de stad Atlanta had platgelegd, was gebaseerd op DoublePulsar – een andere exploit, eveneens door NSA ontwikkeld.
2. Wereldwijd geschaalde tools.
De impact van WannaCry was het startschot voor een stijle opmars van grootschalige cyberaanvallen. In 2015 veroorzaakten ransomware-aanvallen in totaal 325 miljoen dollar aan schade. Tegen 2017 was de schade 15 maal hoger (vijf miljard dollar), omdat bedrijven hun productiviteit zagen dalen door de downtime en reputatieschade opliepen. Bovendien bracht WannaCry honderden varianten voort. Recorded Future toonde aan dat vóór WannaCry, eind januari 2017, 635 varianten van malware werden bijgehouden. Een jaar later, in februari 2018, werden 1105 verschillende malwarevarianten gevonden – een toename van maar liefst 74 procent.
Deze geglobaliseerde ambitie is een kenmerkend element van de nieuwe generatie cyberaanvallen. Gen V-hackers denken groter dan ooit tevoren, nu steeds meer criminele organisaties lucratieve hacking-activiteiten ontwikkelen.
3. Multi-vector gereedschap.
WannaCry kon een ‘verdeel en heers’-strategie toepassen omdat het slechts één toegangspunt nodig had om het hele systeem te infecteren (door zich te verspreiden via cloudnetwerken, externe kantoorservers en netwerk endpoints). Dankzij deze aanpak kon WannaCry ondernemingen, die de gebruikelijke beveiligingsstrategie volgden – hun favoriete beveiligingstool voor elk toegangspunt bij verschillende leveranciers kiezen – gemakkelijk overmeesteren.
Deze best-of-breed strategie betekent dat bedrijven vaak één specifiek product kiezen voor hun mobiele apparaten, een ander product voor hun cloudnetwerk en een andere tool voor hun netwerkbeveiliging. Het is op zichzelf geen onlogische strategie, maar dat is wat WannaCry (en andere Gen V-aanvallen) net willen: een onsamenhangende verdediging die niet samenwerkt om alles te coveren.
Conclusie
Organisaties hebben gewoon geen andere keuze dan zich aan te passen aan deze nieuwe norm. Ze hebben nog een lange weg te gaan. Weinigen hebben een cyberbeveiligings-infrastructuur die up-to-date is. Uit eigen recent onderzoek blijkt dat slechts 3 procent van de bedrijven vandaag uitgerust is om een WannaCry-achtige Gen V-aanval aan te kunnen. De overgrote meerderheid is dus vandaag net zo kwetsbaar voor WannaCry als precies een jaar geleden.
Een aanval als WannaCry counteren vereist een cyberbeveiliging die bedreigingen proactief kan voorkomen (in plaats van ze reactief te detecteren, want dan is de schade al toegebracht). Om de multivector-aanpak van Gen V-aanvallen te bestrijden, moeten organisaties ook hun cloud- en mobiele systeem beveiligen. Enkel met uniforme systemen voor threat prevention die alle elementen beveiligen, kunnen ze zich verdedigen tegen deze innovatieve aanvallen.