Op 12 mei 2017 vond de grootste ransomware-aanval tot dan toe plaats: Wannacry. De aanvalsgolf waarin cybercriminelen bestanden gijzelden en losgeld eisten, verspreidde zich razendsnel over de wereld. De gevolgen: meer dan 200.000 geïnfecteerde Windows-computers in 150 landen en een financiële strop die opliep tot in de miljarden dollars. Security-engineer en -expert van Check Point Software, Zahier Madhar, duidt hoe Wannacry een nieuw tijdperk binnen de cybersecurity inluidde.
Madhar: ‘In de afgelopen vijf jaar zijn ransomware-operaties geëvolueerd van willekeurig verzonden e-mails tot gerichte aanvallen op miljoenen bedrijven.’ Hij concludeert dat Wannacry de trend zette voor vergelijkbare aanvallen zoals NotPetya, REvil, Conti en DarkSide. Het gaat om gerichte en geavanceerde aanvallen die organisaties in elke branche treffen.
Een belangrijke trend die de security-expert van Check Point ziet sinds WannaCry is ransomware-aanvallen met dubbele en zelfs driedubbele afpersing. Bij die steeds geavanceerdere aanvallen dreigen cybercriminelen, naast de eis van losgeld voor gestolen bestanden, met het publiceren van privé-informatie. Bij driedubbele afpersing dreigen ze niet alleen de data van de geïnfecteerde organisatie openbaar te maken, maar ook die van klanten, partners en leveranciers. Die driedubbele afpersing wordt ook wel triple extortion genoemd.’
Madhar wijst erop dat werken op afstand en hybride werken, samen met een versnelde acceptatie van de cloud ervoor hebben gezorgd dat ransomware-aanvallers toegang hebben tot nieuwe mogelijkheden om systemen binnen te dringen. Hij stelt vast dat cybercriminelen ook steeds vaker ransomware-as-a-service leveren. Gijzelsoftware wordt dan als dienst aangeboden en ‘klanten’ kunnen dan via het darkweb op bestelling een aanval kopen. Dat zijn ook steeds vaker aanvallen op de toeleveringsketen. Die moeten zorgen voor maximale verstoring van de bedrijfsvoering. De geëiste losgeld bedragen lopen ook op.
Aanvallen op overheden
Check Point ziet in het kielzog van Wannacry ook aanvallen op de kritieke infrastructuren van staten en overheden. ‘Onlangs vonden er twee ransomware-aanvallen plaats in Costa Rica en Peru, beide naar verluidt uitgevoerd door de beruchte Contiransomware-bende. De aanvallen leidden ertoe dat de Costa Ricaanse regering de noodtoestand uitriep en een verlies van tweehonderd miljoen dollar schatte door de douane en overheidsinstanties lam te leggen, en zelfs tot een stroomuitval in een van haar steden als gevolg van een storing van een belangrijke energieleverancier.’
Eén van de meest spraakmakende ransomware-aanvallen op kritieke infrastructuur van de afgelopen jaren die de ict-beveiliger noemt, was die op het Amerikaanse oliepijpleidingsysteem Colonial Pipeline.
Stijging
Volgens de onderzoektak van de ict-beveiliger werden in het eerste kwartaal van 2022 wekelijks gemiddeld één op 68 organisaties in Europa getroffen, een stijging van zestien procent op jaarbasis (één op tachtig organisaties in het eerste kwartaal van 2021). In Nederland werden wekelijks gemiddeld 82 organisaties getroffen door ransomware.
Elk bedrijf een doelwit
‘Terwijl overheden en grote bedrijven vaak de krantenkoppen halen, zijn ransomware-actoren willekeurig en zullen ze zich richten op bedrijven van elke omvang in alle sectoren’, duidt Mudhar. Om zichzelf te beschermen, moeten it-teams meer prioriteit geven aan preventie. ‘Het huidige dreigingslandschap vraagt waakzaamheid voor tekenen van een trojan op netwerken, regelmatig bijwerken van antivirussoftware, proactief patchen van relevante rdp-kwetsbaarheden (remote desktop protocol).’ Ook het gebruik van tweefactor-authenticatie en aanvullende controles zoals speciale anti-ransomware-oplossingen die constant op ransomware-specifiek gedrag speuren, dit identificeren en bestanden tijdig versleutelen en in quarantaine plaatsen, zijn middelen om de boel beter te beveiligen. ‘Met deze beveiligingen kunnen organisaties beter voorbereid zijn op wanneer ze worden aangevallen, aangezien een aanval in het huidige klimaat slechts een kwestie van tijd is.’
Tot slot stelt Mudhar dat de WannaCry-aanvalsgolf van vijf jaar geleden het domein van cyberbeveiliging voorgoed heeft veranderd. ‘Niet alleen door de impact, maar ook door de invloed van zogenoemde statelijke actoren.’ Met name die invloed van landen markeert volgens Check Point een keerpunt in de cyberbeveiligingsomgeving. ‘Het inspireerde actoren over de hele wereld en beïnvloedde het hele dreigingslandschap voor de vijf daaropvolgende jaren.‘
