Sinds 2015 is er sprake van een enorme toename van het aantal post-intrusion ransomware-incidenten. Bovendien is de impact van zulke incidenten toegenomen. Eind 2019 realiseerden criminelen zich dat ze een extra pressiemiddel hadden, door eerst data te stelen alvorens deze te versleutelen om vervolgens het slachtoffer te bedreigen met openbaarmaking.
Bij post-intrusion ransomware-aanvallen verkrijgt een cybercrimineel toegang tot een gecompromitteerd netwerk. Vervolgens infiltreert hij of zij ook andere systemen en netwerken om de kritieke bedrijfsmiddelen te lokaliseren. Tot slot kiest hij of zij een moment waarop de ransomware wordt ingezet die de bestanden van het slachtoffer versleutelt. Dit kan dagen of maanden na de eerste toegang zijn.
Offline back-ups zijn weliswaar belangrijk, maar ze kunnen de steeds agressievere aanvallen en ‘name-and-shame’-tactieken niet tegengaan. Zelfs met backups duurt het herstel waarschijnlijk weken of maanden, in plaats van dagen. De beste oplossing is om inbreuken op het netwerk te voorkomen voordat ransomware kan worden geïnstalleerd. Als preventie faalt, is het belangrijk om snel de dreiging te detecteren en daarop te reageren.
Mijn werkgever heeft veel organisaties geholpen om te herstellen van post-intrusion ransomware-aanvallen, nadat detectie en inperking niet werkten. De weg naar herstel kan lang en pijnlijk zijn. Leidinggevenden en medewerkers zweren vaak dit ‘nooit meer te laten gebeuren’. De aanval zorgt voor een dusdanige verstoring, dat de organisatie cybersecurity prioriteit geeft en middelen toewijst om te voorkomen dat de geschiedenis zich herhaalt.
Investeren in nieuwe technologie
Organisaties volgen doorgaans één van twee aanpakken op dit kritieke beslissingspunt. De eerste aanpak is om zwaar te investeren in nieuwe technologie. Het kan verleidelijk zijn om een flitsende doos of dienst te kopen op basis van beloften dat deze naadloos kan integreren en onmiddellijke bescherming biedt. Verkopers claimen vaak een nagenoeg foutloze detectienauwkeurigheid in het laboratorium, waar met demonstraties wordt aangetoond hoe ransomware op magische wijze wordt geblokkeerd.
Maar de realiteit is dat netwerkverdediging moeilijk is. Een nieuw product zal dat probleem niet doen verdwijnen. Organisaties die hard worden getroffen door ransomware, hebben meestal systeemzwaktes in hun netwerken die het probleem mogelijk maken. De technieken die worden gebruikt door exploitanten van post-intrusion ransomware zijn over het algemeen niet zo geavanceerd. Ze zijn echter zeer effectief in het identificeren en exploiteren van systeemzwaktes. De eerste toegang kan binnen enkele dagen leiden tot de installatie van ransomware binnen de gehele onderneming.
Aanpakken van systeemzwaktes
De tweede benadering, die wel werkt, is het aanpakken van die systeemzwaktes. Deze aanpak vereist dat de netwerkbeheerders hun it-omgeving kennen. Wat zijn de assets van de organisatie en waar bevinden die zich? Kan het security-personeel Active Directory-domeinen en de onderlinge vertrouwensrelaties opnoemen? Weten wat je moet beschermen is de belangrijkste eerste stap naar succes.
Als de beschermers van het netwerk eenmaal weten wat ze moeten verdedigen, hoe kunnen ze dan een aanval voorkomen? Meestal volgt een aanvaller een van drie scenario’s:
- Gebruikt een reeds aanwezige, onbehandelde malware-infectie, heeft interactief toegang tot de aangetaste omgeving en downloadt exploitatietools en ransomware
- Exploiteert een bekende maar niet-gepatchte kwetsbaarheid in een op het internet gericht systeem, zoals een virtual private network (vpn) of webserver
- Koopt of verkrijgt via phishing inloggegevens en gebruikt deze bij oplossingen voor toegang op afstand waarbij alleen een gebruikersnaam en wachtwoord nodig is
Al deze scenario’s zijn te voorkomen. Deze technieken worden niet alleen bij ransomware-aanvallen gebruikt, dus het wegnemen van deze aanvalsvectoren kan bescherming bieden tegen allerlei bedreigingen.
Perimeter binnendringen
Zelfs met deze preventieve stappen moeten netwerkverdedigers ervan uitgaan dat een aanvaller een goed doordachte en versterkte (beveiligde) perimeter kan binnendringen. Criminelen kunnen proberen om inloggegevens te stelen, privileges te escaleren, en over te schakelen op domeincontrollers. Ze scannen dan waarschijnlijk het aangetaste netwerk, bouwen een lijst van doelwitten en bereiden zich voor op het verspreiden van ransomware.
Kunnen beveiligingscontroles het stelen van inloggegevens of ongebruikelijke laterale bewegingen tussen delen van het bedrijfsnetwerk detecteren? Worden service-accounts en lokale beheerdersaccounts proactief beheerd, zodat je voorkomt dat er accounts zijn met veel privileges, maar met zwakke wachtwoorden? Kunnen netwerkverdedigers verkenningstools detecteren die binnen de bedrijfsomgeving worden uitgevoerd? Of kunnen cybercriminelen bestanden opslaan op nieuw gecreëerde mappen op domeincontrollers?
Een gecompromitteerde organisatie heeft misschien slechts één tot vijf dagen tussen de eerste activiteiten van de aanvaller en de verspreiding van ransomware. Dit is het opsporingsvenster. Het is meestal al te laat om de aanval te stoppen als er ransomware wordt gedetecteerd op servers en werkstations.
Word een ‘gehard’ doelwit
Veel organisaties hebben ernstige financiële en reputatieschade geleden als gevolg van post-intrusion ransomware-aanvallen. Ransomware-verspreiders zijn opportunistisch en zullen zo weinig mogelijk moeite doen om geld te verdienen. Netwerkverdedigers zouden de omgeving dusdanig moeten ‘verharden’, dat cybercriminelen besluiten dat ze andere doelwitten gemakkelijker kunnen aanvallen. Het is mogelijk.
- Zorg voor een volledig begrip van de zakelijke it-middelen van de organisatie. Voer regelmatig audits uit om die kennis te behouden.
- Verklein het aanvalsoppervlak. Voer periodieke oefeningen uit om kwetsbaarheden en blootstellingen in het netwerk te detecteren en verhelpen voordat cybercriminelen ze vinden.
- Maak gebruik van multi-factor authentication (MFA).
- Implementeer beveiligingscontroles om inkomende schadelijke e-mails te onderscheppen. Gebruik webcontent-filtering om uitgaande malware-communicatie te signaleren.
- Voer strikt beveiligingsupdates door, met name updates die kwetsbaarheden met bekende exploitatiecode verhelpen.
- Beheer proactief accounts met privileges. Het doel is om te voorkomen dat toegang tot het account van een enkele eindgebruiker moeiteloos escaleert naar volledige administratieve toegang tot het domein.
- Stel elke host, elk netwerkapparaat en elk cloudplatform in om in real-time bruikbare informatie te verzamelen. Pas intelligentie toe op die informatie in de vorm van technische tegenmaatregelen om aanvallen op te sporen, nog voordat er sprake is van significante schade.
Begin met de veiligheidscontroles van je organisatie te beoordelen aan de hand van deze essentiële beschermingsmaatregelen. Maak vervolgens een roadmap om de ontbrekende controles te implementeren. Deze beveiligingen zullen een organisatie helpen om deze aanvallen te voorkomen of op te sporen. Door snel te reageren op een aanval, kan een organisatiebreed ransomware-incident worden vermeden.
Dit artikel beschrijft een echt probleem en noemt ook alle standaardmaatregelen. Goed. Maar ik vraag me dan af: Aangezien we dit allemaal al weten, is het niet tijd voor iets nieuws? Een aanpak die ervan uitgaat dat de netwerkbeheerders de zaak niet onder controle hebben, gebruikers op willekeurige links klikken, en software vol met gaten zit? Zouden we in plaats van proberen met man en macht de gaten te pluggen en mensen (tegen hun natuur in) trachten te verleiden om continue beveiligingsbewust bezig te zijn het niet eens over een geheel andere boeg moeten gooien?
Neem bij de inrichting van je systeem en netwerk nou eens beslissingen die erop gebaseerd zijn dat software slecht is en mensen lui en gemakzuchtig. Stem daar je aankoopbeleid op af en de inrichting van je desktopomgeving. Misschien betekent dat, dat iedereen aan een chromen boek moet met zwaar gecentraliseerde en beveiligde virtuele desktops in de cloud (die zichzelf ook iedere dag resetten en herinstalleren). Misschien betekent het iemand die de digitale voordeur open laat staan op non-actief stellen (zou je ook doen als ze de echte voordeur open zouden laten staan). Misschien betekent het de keuze voor servers en applicaties voor een groot gedeelte er vanaf laten hangen of ze eenvoudig goed te beveiligen zijn. Misschien betekent het geen mensen aannemen die niet in staat zijn om de boel afdoende op slot te houden (zowel IT als niet-IT personeel).
Een standaardomgeving neerpletteren en dan proberen de zaak droog te houden is een heilloze zaak.
Mijn andere oplossing: Ik zit eraan te denken om een startup op te richten met de naam “Executive Security Outcomes Inc”. Je kan dan bij mij een verzekering tegen hackers en ransomware afsluiten. Wordt je dan gehackt dat stuur ik mijn legertje van ex-SAS, ex-GSG9, ex-Spetznatz soldaten erop uit om de hackers te elimineren. Krijg je van mij een banner die je op je site kan zetten zodat de hackers het ook weten. Kijken wie je dan nog durft te hacken!
Jos,
De ‘waarde-creatie’ die de hackers uit data halen met ransomware is een crimineel verdienmodel maar lucratief doordat de meeste organisaties de classificatie van hun data naar waarde veelal achterwege laten. Pas als het kalf verdronken is…..
Dus misschien is het een tip om de aandacht verleggen naar de ‘core assets’ van een organisatie. Organisaties zullen niet betalen voor de waardeloze data die ze eigenlijk niet hoefden te bewaren maar welke data moet je wel bewaren en heeft waarde? Oja, afpersing door criminelen is trouwens niet het enige probleem als het om de kwaliteit van de data gaat want in de Chain of Custody blijkt een attribuut zoals onweerlegbaarheid/onloochenbaarheid nog weleens problematisch.