Ransomware-aanvallen rijzen de pan uit. Naar schatting kostten deze aanvallen in 2020 ruim 16,5 miljard euro. Mede door het massale thuiswerken, al dan niet via kwetsbare verbindingen, is het aanvalsoppervlak voor cybercriminelen het afgelopen jaar enorm vergroot.
Slachtoffers van ransomware-aanvallen zien achteraf pas in hoe groot het doorzettingsvermogen van de aanvallers is, welke kwetsbaarheden er in hun eigen cybersecuritybeleid zitten én wat de werkelijke kosten zijn om te herstellen na een aanval. Maar als de aanval al heeft plaatsgevonden, is het te laat om hier nog iets aan te doen.
Om die reden is het belangrijk dat je cybersecurityprofessionals beschikken over voldoende middelen om voorbereid op en beschermd te zijn tegen de toenemende omvang, frequentie én kosten van een aanval.
Ransomware is big business
Ransomware is de snelst groeiende malware en wordt steeds lucratiever. Cybercriminelen bieden hackers nu zelfs ransomware-as-a-service aan. Zelfs kneuzen die nauwelijks over it-basiskennis beschikken, kunnen daarmee eenvoudig dit type aanvallen uitvoeren.
Bovendien zijn aanvallers aan het professionaliseren. Ze werken slim en slaan toe op momenten waarop de personeelsbezetting laag is, bijvoorbeeld in weekenden of avonduren. Zo is de gemiddelde dwell time, de tijd tussen de inbraak en de inzet van de ransomware, verhoogd. Hierdoor hebben cybercriminelen rustig de tijd om onopgemerkt door het netwerk te zwerven en extra apparaten te beschadigen, gegevens te ontdekken en misschien zelfs te exfiltreren. Bovendien hebben ze hun break time, de tijd tussen de inbraak en het moment waarop ze toegang hebben tot meerdere systemen, verkort.
Strategische en opportunistische doelwitten
Een andere reden waarom ransomware succesvol is, is omdat aanvallers hun doelwitten strategisch uitkiezen en inspelen op actuele gebeurtenissen. Hoewel organisaties uit elke sector zijn te raken, springen er wel favoriete doelwitten uit. Denk aan medische instellingen, die onder druk zijn te zetten om te betalen omdat er mensenlevens op het spel staan. Maar ook managed serviceproviders, die beschikken over opslagplaatsen met waardevolle klantgegevens, zijn een populair doelwit. Net als overheidsinstellingen die vaak oude systemen en relatief weinig it-personeel hebben of financiële instellingen waar bankrekening- of burgerservicenummers te halen zijn.
Herstel van ransomware is riskant én prijzig
Ransomware-aanvallen zijn schadelijk voor je organisatie. Criminelen kunnen je systemen platleggen, je reputatie en klanttevredenheid schaden, je blootstellen aan het risico van een datalek én je in de positie brengen waarin je moet beslissen of het gevraagde losgeld betaalt. Vaak is de druk om te betalen groot. Toch raden de meeste experts organisaties af om dit te doen omdat het uitkeren van losgeld de positie van cybercriminelen verstevigt. Ook als je betaalt, heb je immers geen garantie dat je weer toegang krijgt tot je gegevens. Bovendien loop je altijd het risico dat je it-team niet in staat is om de apparaten volledig op te schonen. Bij nieuwere ransomware kan de malware op hardware-niveau blijven bestaan en zo opnieuw toeslaan. Dit betekent dat je extra servers en hardware beschikbaar moet hebben om je personeel weer online te krijgen.
Voorkomen is beter dan genezen
Een ransomware-aanval kan dus grote schade aanbrengen aan jouw organisatie. Gelukkig is er genoeg dat je kunt doen om jezelf en je organisatie hiertegen te beschermen. Realiseer je dat in veel gevallen de kosten van een goede voorbereiding op én bescherming tegen een ransomware-aanval een stuk lager zijn dan de kosten die je maakt wanneer je slachtoffer bent geworden en wil herstellen van een dergelijke aanval. En houd dit in je achterhoofd wanneer je nadenkt over de beste strategie en tactieken voor de inrichting van jouw cybersecurity.
Auteur: Mat Newfield, chief security en infrastructure officer bij Unisys en Sally Eaves, senior beleidsadviseur bij Cyber Studies and Research
Lullige titel, waardeloze opinie want wie geeft er nu veel geld uit voor iets dat maar voor 50% bescherming biedt? De economische afweging tussen voorkomen of genezen blijft vanuit het risicomanagement tenslotte een gecalculeerde gok.
Open deuren, geen enkele konkrete raad. Is het de schrijvers bekend dat dit niet de margriet is?
Ondanks dat er geen concrete zaken in staan hoe je een aanval voorkomt, of een onderbouwing dat voorbereiding al 50% van het werk is, denk ik dat het artikel prima kan functioneren als awareness. Gewoon weer een reminder dat het alleen een gecalculeerde gok is als je bewust de beslissing maakt om wel iets of niets te doen.
” Realiseer je dat in veel gevallen de kosten van een goede voorbereiding op én bescherming tegen een ransomware-aanval een stuk lager zijn dan de kosten die je maakt wanneer je slachtoffer bent geworden en wil herstellen van een dergelijke aanval. ”
Uit alle cases die ik heb gelezen lijkt deze uitspraak in ieder geval waar te zijn. Nu weet ik niet hoeveel bedrijven werkelijk een ransomware aanval hebben voorkomen met goede voorbereiding en genomen maatregelen, maar ik weet wel dat niets doen een zeer riskante keuze is.Het bewustzijn van dit soort aanvallen is nog steeds laag en is nog niet doorgedrongen tot alle relevante lagen van organisaties, met name management.
Alle organisaties zijn min of meer IT bedrijven geworden, maar veel organisaties lijken zich dit nog niet te realiseren.En dat is al een root-case op zich.
Dit artikel noemt een belangrijk aandachtspunt in voor een Ransomware Plan: “Bij nieuwere ransomware kan de malware op hardware-niveau blijven bestaan en zo opnieuw toeslaan. Dit betekent dat je extra servers en hardware beschikbaar moet hebben om je personeel weer online te krijgen”. Lang niet elk bedrijf of instelling heeft dit geregeld.
Wat meer ingaan op geavanceerde BIOS/UEFI-aanvallen (zoals trickbot) en proactieve oplossingen (zoals Windows Secure Boot en hardware-based online malware detector) en reactieve oplossingen (zoals reflashing indien mogelijk), zou het stuk meerwaarde geven.
Wel netjes dat dit geen Wij van Wc-eend adviseren Wc-eend verhaal is.
@Henri, zo’n artikel kan funktioneren in een “management”-tijdschrift of de Margriet 😉
Toch niet hier of is het it-nivo inmiddels hetzelfde hier?
Henri,
Er staat 100% werk, 50% bescherming in de titel wat zoiets is als 1 halen 2 betalen. Een bewustzijn van het rendement van de investeringen lijkt me dus wel handig als ik kijk naar het probleem van budgetten want deze zijn over het algemeen niet onbeperkt. De tactiek van de verschroeide aarde zoals met ransomware gaat om de strategie van afpersing, zoiets als betalen met polaroid alleen dan anders. Vergeet hierbij niet dat nieuwe hardware uiteindelijk even waardeloos is als je de data niet kunt bevrijden. En ja, een rootkit biedt aanvallers toegang maar dat geldt dus ook voor kwetsbaarheden die niet opgelost worden want ik kan een heel duur slot op mijn voordeur doen maar als de ramen wagenwijd open staan dan blijft het tochten.