Het aantal ransomware-aanvallen steeg in 2021 met 148 procent en er is nog steeds geen afzwakking te zien. Er zijn veel motieven voor cyberaanvallen, zoals financieel gewin, statelijke actoren of vandalisme. Ze zijn relatief gemakkelijk uit te voeren, het losgeld wordt snel betaald én eerdere slachtoffers zijn nogmaals onder vuur te nemen.
Ransomware-aanvallen zijn voor cybercriminelen een succesvolle manier gebleken om data te versleutelen, waardoor de bedrijfsvoering ernstig wordt verstoord. Slachtoffers betalen dan ook vaak losgeld om de activiteiten te herstellen. Door de winstgevendheid van deze aanvallen is een schaduwmarkt ontstaan waar ransomware als dienst wordt aangeboden, waarbij bedenkelijke personen zonder it-kennis worden voorzien van de nodige tools en expertise om een ransomware-aanval uit te voeren.
Het is een van de vele ongewenste ontwikkelingen in cybercrime. Wat kunnen we het komende jaar nog meer verwachten?
De trends
- Trend 1: Raas blijft groeiend en succesvol businessmodel
Recente ransomware-aanvallen op de vleesverwerker JBS en de Amerikaanse Colonial Pipeline zijn voorbeelden van criminele organisaties die gebruik maken van het ransomware-as-a-service (raas)-model. Kwaadwillenden kunnen daarbij via het darkweb simpelweg alles kopen wat ze nodig hebben voor een aanval. Bijna twee derde van de ransomware-aanvallen in 2020 is oorspronkelijk afkomstig van raas-platforms, zo blijkt uit onderzoek van Infoblox. Omdat raas weinig expertise vereist, verwachten wij dat aanvallers deze aanvalsmethode zullen blijven gebruiken.
Raas-platforms bieden ondersteuning, forums, documentatie, updates en meer. Het is vergelijkbaar met het aanbod van toonaangevende saas-leveranciers. Er zijn ook aanbiedingen waarvoor ‘partners’ zich kunnen inschrijven tegen een eenmalige vergoeding of met een maandelijks abonnement. Het succes van raas betekent ook dat het zich in 2022 zal vermenigvuldigen. Sterker, het is een van de grootste bedreigingen voor het bedrijfsleven in de komende periode.
- Trend 2: Aanvallen worden sneller, frequenter en gerichter
Ransomware heeft een grote potentiële return on investment. Geen wonder dat steeds meer security-incidenten verband houden met ransomware.
Liever dat losgeld betalen of het herbouwen van je infrastructuur en data? Het eerste klinkt pragmatischer, maar het kan averechts werken. Zo blijkt uit onderzoek dat zo’n tachtig procent van de bedrijven die al eens losgeld heeft betaald vervolgens nóg een keer slachtoffer werd. Vaak worden deze vervolgaanvallen uitgevoerd door dezelfde personen. Kortom: eens een aantrekkelijk slachtoffer, altijd een aantrekkelijk slachtoffer.
Deskundigen gaan er nu van uit dat ongeveer twee derde van de bedrijven al massaal omzetverlies heeft geleden na ransomware-aanvallen. Meer dan de helft van de bedrijven vreest dat hun imago al beschadigd is na een geslaagde aanval. En ongeveer een derde gaat ervan uit dat zij al jong talent op managementniveau zijn kwijtgeraakt als direct gevolg van ransomware-aanvallen.
- Trend 3: Toename data leak sites
Ransomware-aanvallen verlopen vaak volgens een specifiek protocol. Dat betekent dat gedreigd wordt om data van slachtoffers op zogenoemde data leak sites te publiceren of de bestanden te versleutelen (het oorspronkelijke ‘businessmodel’ van ransomware). In sommige gevallen kan de financiële schade van het betalen van losgeld kleiner zijn dan de schade van een datalek. Criminelen maken misbruik van deze afweging.
Vaak nemen ze geen genoegen met het initiële losgeld. Meestal volgen ze hun slachtoffers zolang en zo vaak mogelijk, vaak met steeds hogere eisen – er is blijkbaar iemand gevonden die bereid is te betalen. Ook dan ben je niet zeker dat je data niet alsnog worden verhandeld.
En wat je niet mag vergeten, is dat sommige aanvallen alleen vernielzucht tot doel hebben. Dat ze daar wat geld mee kunnen verdienen, is mooi meegenomen. Maar verwacht dat hackers je data niet altijd zullen herstellen.
- Trend 4: Toename aanvallen via rdp
Het remote desktop protocol (rdp) is een uiterst effectieve en gevaarlijke aanvalsvector geworden. Veel met internet verbonden computers zijn geconfigureerd op een manier die aanvallers een makkelijke ingang biedt. En dankzij zoekmachines, zoals Shodan, is het een eitje om deze apparaten te lokaliseren. Aanvallers krijgen toegang tot rdp-servers door standaardwachtwoorden te gebruiken op servers die niet zijn bijgewerkt. Als alternatief zijn brute force-technieken of opensource-wachtwoordkrakers te gebruiken om in te breken in diverse systemen.
Wapen jezelf tegen de trends
Zoals bij de meeste complexe problemen, is er geen wondermiddel om je tegen ransomware te beschermen. Maar er zijn genoeg stappen die organisaties kunnen nemen. Ransomware-aanvallen slagen vaak omdat het slachtoffer niet voldoende is voorbereid.
Detectie en preventie zijn de sleutelwoorden wat betreft bescherming tegen ransomware. Het komt er vooral op aan de fundering van je beveiliging goed te krijgen. Organisaties moeten multi-factorauthenticatie verplicht stellen en deze authenticatie bij iedere nieuwe sessie opnieuw valideren. Ze moeten ook spamfilters en dns-beveiliging gebruiken om phishing-e-mails en executables filteren voordat ze de eindgebruikers bereiken, omdat dit schadelijke url’s in een vroeg stadium van de aanval kan tegenhouden. Training van eindgebruikers over het omgaan met phishing-e-mails moet daarnaast een prioriteit worden, aangezien criminelen vaak toegang verkrijgen via eindgebruikers die kwaadaardige websites bezoeken, bijlagen openen of macro’s in Microsoft Office-bijlagen inschakelen.
Zowel detectie als preventie kunnen worden ondersteund met een grotere zichtbaarheid op het netwerk. Door te zien welke apparaten verbinding maken met een netwerk en waar het netwerkverkeer naartoe wordt gestuurd, krijgen it-teams een waardevolle voorsprong op criminelen in hun strijd tegen ransomware. Volledige zichtbaarheid krijgen om al vanaf de randen het bedrijfsnetwerk te verdedigen zou dus een prioriteit moeten worden. De inzet van kernonderdelen van de infrastructuur, zoals dns, dhcp en ip-adresmanagement, stelt organisaties in staat hun netwerken en hun werknemers beter te beschermen tegen de aanhoudende cyberdreigingen zoals ransomware.
Ransomware is in opmars, omdat aanvallers een grote kans hebben om makkelijk geld te verdienen. Het thema is hetzelfde: het slachtoffer betaalt liever stilletjes afgeperst geld om weer toegang te verkrijgen tot de data die nodig zijn om de organisatie draaiende te houden. Het is aan ondernemingen en werknemers om scherp te blijven op alle mogelijke dreigingen.
(Auteur Lise Feng is global director bij Infoblox.)