Tijdens het hoogtepunt van de pandemie richtten ransomware-aanvallers zich op ziekenhuizen en organisaties in de gezondheidszorg. Ransomware was goed voor ruim de helft van alle datadiefstal in de gezondheidszorg en kostte de sector alleen vorig jaar al 20,8 miljard dollar aan downtime. Hoe kunnen deze aanvallen zo succesvol blijven? Daarvoor is het belangrijk te begrijpen hoe opportunistische en hoe gerichte ransomware-aanvallen werken.
Volgens het ‘Verizon Data Breach Investigations Report 2020’ zijn ruim vier van de vijf inbreuken financieel gemotiveerd. Aanvallers weten dat ransomware een van de snelste en gemakkelijkste manieren is om winst te maken. En aangezien er op het darkweb veel doe-het-zelf-ransomware-kits te vinden zijn, is de drempel laag.
Door ransomware in grote hoeveelheden te verspreiden via spray-and-pray-tactieken – zoals phishing, social engineering en exploit kits – kunnen aanvallers zich op veel organisaties richten en in één klap talloze desktops, laptops en servers infecteren. Eenmaal geïnstalleerd, ligt het dagelijkse werk al snel stil. De uitbraak van WannaCry in 2017 is een goed voorbeeld van een opportunistische ransomware-aanval. Door zichzelf te repliceren, ging deze ransomware viraal en infecteerde meer dan 200.000 systemen in 150 landen. De aanval trof organisaties in vele sectoren en legde de bedrijfsactiviteiten plat.
Ransomware is om twee belangrijke redenen een geliefd afpersingsmiddel geworden voor opportunistische aanvallers. Ten eerste slagen veel organisaties er niet in de juiste security-hygiëne in acht te nemen voor backups en herstel. Backups zijn soms zeldzaam, wat betekent dat zodra gegevens op endpoints en servers zijn versleuteld en worden vastgehouden voor losgeld, organisaties voor de keuze staan tussen het voor altijd verliezen van belangrijke data of betaling om (hopelijk) hun gegevens terug te krijgen.
Ten tweede vertrouwen veel organisaties te veel op traditionele antivirus-oplossingen, die vaak niet effectief zijn in het blokkeren van ransomware. Deze oplossingen werken door het bijhouden van een inventaris van bekende malware en het blokkeren van toekomstige uitvoeringen van die malware. Omdat ransomware-bestanden met elke nieuwe versie een beetje veranderen – en nieuwe versies met de minuut worden gemaakt – hebben deze oplossingen weinig kans om een infectie te voorkomen.
Groot wild
In de afgelopen jaren zijn geraffineerde aanvallers overgeschakeld op gerichte ransomware-aanvallen op zoek naar grotere winsten. In wat soms ‘jacht op groot wild’ wordt genoemd, richten deze aanvallers zich op specifieke organisaties op basis van hun vermogen (of noodzaak) om grote losgelden te betalen, waarbij ze gebruikmaken van aangepaste tactieken, technieken en procedures.
Deze aanvallers zijn creatief en doen vaak moeite om de technologie-stack van een slachtoffer te doorgronden, zodat ze kwetsbaarheden kunnen identificeren en uitbuiten en de meest waardevolle gegevens kunnen versleutelen en vasthouden voor losgeld. Ze zijn ook geduldig, verhogen hun rechten om beveiligingssystemen te omzeilen en om soms maandenlang ongezien voorbereidingen te treffen voordat ze de payload van de ransomware inzetten. Gedurende deze tijd richten aanvallers zich vaak op gegevensback-ups (als die bestaan), zodat de organisatie bestanden niet kan herstellen nadat ze zijn versleuteld. En deze aanvallers verwachten te worden gecompenseerd voor het extra werk. Volgens het ‘2021 Unit 42 Ransomware Threat Report’ was de hoogste ransomware-eis tot 2019 zo’n vijftien miljoen dollar. In 2020 is de hoogste eis verdubbeld tot dertig miljoen dollar. (Update: Gijzelaars achter de ransomware-aanval op Mediamarkt eisen vijftig miljoen dollar.)
Een recent voorbeeld van zo’n long-tail, gerichte aanpak zijn de Hades-ransomware-aanvallen. Deze waren gericht op multi-nationale organisaties met een jaaromzet van meer dan een miljard dollar en hebben ten minste drie bedrijven in de transport-, retail- en productiesector met succes aangevallen. Uit de analyse door Accenture bleek dat de aanvallen een bekend aanvalspad: een identiteit overnemen door geldige inloggegevens te stelen van iemand (of iets) bij het bedrijf, en vervolgens de organisatie infiltreren via remote desktop protocol (rdp) of virtual private network (vpn). Eenmaal binnen verhoogden de aanvallers hun rechten en bewogen ze stap voor stap om een vaste plek op het netwerk te bemachtigen. Van daaruit werden gegevens buitgemaakt om daarna de Hades-ransomware te activeren en bestanden te versleutelen en een fors losgeld te eisen. Hierbij hadden de aanvallers veel moeite gestoken in het uitschakelen van endpoint-security zoals endpoint detection and response (edr)-tooling, met zowel aangepaste tooling als ‘hands on keys’-benaderingen.
Misschien wel het meest verontrustende van gerichte ransomware-aanvallen is dat een organisatie meer dan eens het doelwit kan zijn. Aanvallers bouwen backdoors in waarmee ze naar believen opnieuw kunnen binnendringen. De meeste bedrijven zijn niet bestand tegen de zakelijke impact van één ransomware-aanval, laat staan twee.
Talrijk
Of het nu opportunistisch of gericht is, ransomware-aanvallen beginnen op het endpoint. Onvoldoende beveiligde desktops, laptops en servers zijn alomtegenwoordig – en elk ervan biedt een potentiële entree voor aanvallers. Door talrijke ransomware-aanvallen te onderzoeken, wordt één ding overduidelijk: vertrouwen op één enkele security-oplossing voor endpoints – edr, antivirus of iets anders – is niet voldoende om elke bedreiging tegen te houden. Organisaties moeten een ‘assume-breach’-mentaliteit aan te nemen om de kans te verkleinen dat ransomware bestanden versleutelt, ook al word je geraakt door een aanval. Uiteindelijk is een ‘defense-in-depth’-benadering noodzakelijk, waarbij een verscheidenheid aan beveiligingscontroles in lagen wordt opgebouwd om hiaten te dichten, de blootstelling te verminderen en de algehele beveiligingspositie te versterken. Als het op endpoint-beveiliging aankomt, is één plus één echt drie.
Beheer van toegangsrechten en identiteitssecurity zijn essentiële, maar vaak over het hoofd geziene onderdelen van een effectieve beveiligingsstrategie voor endpoints. Als een aanvaller of kwaadwillende insider toegang krijgt tot een account met hoge rechten, zal die persoon zich voordoen als een vertrouwde gebruiker. Dit maakt het moeilijk om risicovolle activiteiten te detecteren. In combinatie met edr, (next-generation) antivirus, applicatie patching en OS patching, kunnen organisaties risico’s aanzienlijk verminderen door privileges op endpoint apparaten te beheren en te beveiligen. Door beperkingen te implementeren die alleen specifieke applicaties vertrouwen die door specifieke accounts onder specifieke omstandigheden worden uitgevoerd, kunnen organisaties een ransomware aanval snel detecteren en tegenhouden. Of het nu een toevallige of een gerichte aanval is.