Het zijn gouden tijden voor hackers. In 2021 kreeg bijna twee derde van alle bedrijven te maken met agressieve en kostbare ransomware-aanvallen. En vanwege de groeiende populariteit van ransomware-as-a-service-platforms worden dat alleen maar meer. Ransomware wordt momenteel beschouwd als de grootste cyberdreiging. Met de vraag wanneer de organisatie wordt getroffen, blijft cybersecurity het belangrijkste aandachtspunt voor it-managers.
Ransomware jaagt bedrijven op steeds hogere kosten. De meerderheid van de organisaties die worden getroffen (82 procent) gaat over tot het betalen van losgeld. It-afdelingen kunnen zich een afwachtende houding niet langer permitteren. Ze hebben een proactieve beveiligingsstrategie nodig waarbij het herstel van data en processen voorop staat. Als de onvermijdelijke ransomware-aanval komt, blijft het business as usual, met minimale verstoring van bedrijfsprocessen en gegevensverlies. Organisaties kunnen dan namelijk gegevens herstellen uit de meest recente en onaangetaste van hun back-ups.
Inzicht in het bedreigingslandschap
Volgens de European Union Agency for Cybersecurity (ENISA) wordt de trend van malware aangejaagd door een voortdurend groeiende internetaanwezigheid, de overstap van traditionele naar online infrastructuren, geavanceerde onderlinge verbindingen en het gebruik van nieuwe technologieën. De opkomst van remote werken heeft geresulteerd in een wildgroei aan iot-apparaten en ongelijksoortige systemen. En dat biedt cybercriminelen volop kansen. Hackers kunnen hun malware gemakkelijk aanpassen om gebruikers gericht aan te vallen via specifieke applicaties en apparaten.
Geen enkel bedrijf is nog veilig voor ransomware – ongeacht de omvang of de sector. Het is daarom belangrijk dat beveiligingsprofessionals oog hebben voor de impact die een moderne ransomware-aanval op hun organisatie kan hebben. Het is bijvoorbeeld belangrijk te weten hoe groot de kans op aanvallen is en welke omvang ze dan naar verwachting hebben. Daarnaast is een uiterst effectief herstelplan essentieel, zodat er direct maatregelen kunnen worden getroffen voor het minimaliseren van downtime, gegevensverlies, omzetverlies en het voorkomen van blijvende imagoschade.
Twee fases
Cybercriminelen blijven hun aanvalstechnieken verfijnen om beveiligingsprofessionals steeds een stap voor te zijn. Een robuust herstelplan vraagt daarom om volledig begrip van de stadia van ransomware-aanvallen:
- Fase 1: Stilte voor de storm
De populairste methode voor het uitvoeren van ransomware-aanvallen is het gebruik van phishing-mails en kwaadaardige websites. Cybercriminelen maken daarnaast misbruik van kwetsbaarheden in remote desktopprotocol-verbindingen of voeren rechtstreekse aanvallen uit op zwakke punten in applicaties. Door hun slimme technieken blijven de aanvallen vaak onder de radar, totdat een gebruiker nietsvermoedend op een link klikt en alles in werking zet.
Zodra ransomware zijn weg naar een systeem heeft gevonden kan het weken- of maandenlang onopgemerkt blijven. Ondertussen kan het zich als een lopend vuurtje verspreiden naar alle applicaties en systemen van een onderneming om toegang te krijgen tot zoveel mogelijk data. Het is daarom lastig voor it-managers om na te gaan wanneer de laatste ‘schone’ backup is gemaakt.
Als het tot een aanval komt, moeten mechanismen voor risicoreductie en herstel van data en processen in werking worden gezet om te voorkomen dat bedrijfskritische systemen plat komen te liggen. Sommige ransomware-varianten vallen back-upsystemen aan om te voorkomen dat organisaties na een aanval hun gegevens kunnen herstellen.
- Fase 2: De Storm
Zodra de aanval in gang is gezet loopt daarmee het complete technologische ecosysteem gevaar. Dat geldt voor zowel systemen als bedrijfskritische data. De encryptiemethoden die door ransomware worden gebruikt kunnen per geval verschillen. Zo is het mogelijk dat het hoofdopstartbestand van een systeem of zelfs complete virtuele machines worden versleuteld. Organisaties staan daarmee voor een lastige keuze: het losgeld betalen en hun organisatie op kosten jagen of geen losgeld betalen en proberen om data en systemen te herstellen in de hoop dat langdurige verstoring en substantieel gegevens- en omzetverlies uitblijven.
Maar weinig organisaties kunnen zich de tijd en torenhoge kosten veroorloven die gepaard gaan met het herstellen van systemen zonder effectieve strategie voor gegevensherstel. In 2021 liepen de totale kosten voor het herstel van een ransomware-aanval op tot 1,85 miljoen dollar. Dat is tien keer zoveel als het gemiddelde losgeldbedrag. De downtime na een ransomware-aanval bedroeg gemiddeld 21 dagen.
Van de organisaties die voor de afpersers zwichtten en het losgeld betaalden kreeg slechts acht procent weer toegang tot al hun data. Het alternatief om data uit een back-upserver of replica op te halen is een tijdrovend en complex proces. Er zijn nauwgezette controles nodig om kwaadaardige bestanden en code te verwijderen om her-infectie te voorkomen.
Doelwit
Cybercriminelen die ransomware-aanvallen uitvoeren verwachten niet dat hun doelwit gebruikmaakt van moderne oplossingen voor backups en gegevensherstel. Als organisaties blijven vasthouden aan hun verouderde backuptechnieken zetten ze daarmee de deur open voor verstoring, gegevensverlies en hoge kosten. Met een disaster recovery-oplossing zijn data in een paar minuten te herstellen en hebben cybercriminelen het nakijken.
Continuous data protection (cdp)-oplossingen wapenen it-afdelingen met 24/7-replicatie en journaling-technologie. Ze kunnen complete locaties en applicaties herstellen door moeiteloos meerdere gegevenskopieën te maken en die zowel lokaal als op een externe locatie op te slaan.
Het is van cruciaal belang om backupgegevens in een geïsoleerde omgeving zoals een sandbox te testen. Op die manier weten organisaties zeker dat er geen malware aanwezig is in de gegevens die ze proberen te herstellen. Daarnaast is het belangrijk gebruik te maken van onwijzigbare backups die niet door ransomware zijn te versleutelen of aan te tasten. Dan kunnen gegevens met een paar simpele muisklikken worden hersteld tot de staat van een seconden voordat het bedrijf door de ransomware-aanval werd getroffen.
Inmiddels is duidelijk dat traditionele beveiligingsmechanismen niets uithalen tegen ransomware. Bedrijven zijn genoodzaakt zich in te dekken met een robuust herstelplan. Veel organisaties houden vol dat het betalen van losgeld geen optie is, totdat blijkt dat hun bedrijfsgegevens niet langer toegankelijk zijn. Het goede nieuws is dat it-professionals met een cdp-oplossing alle bedrijfssystemen in een mum van tijd weer in de lucht krijgen.
Het komt op mij vreemd over dat gegevens “besmet” zouden zijn met malware. Is hier bedoeld dat gegevens encrypted zijn?
Naar mijn mening moet een besmette server vers vanuit installatiemedia opgebouwd worden. Dit kan preventief gedaan worden zodat een bij-de-tijd image gereed staat voor als er een malware besmetting plaats vindt.
En ik mis een strategie om clients te ontsmetten: als de besmetting zich in het netwerk bevindt helpt het herstellen van de server en de database(s) niet veel. Juist daarvoor zijn “traditionele beveiligingsmechanismen” onontbeerlijk.
Malware is er al een lange tijd en kent vooral verspreiding via de gebruiker, bijvoorbeeld via ‘gratis’ software. Cybercriminelen kunnen hierdoor via een achterdeur toegang tot systemen krijgen waarbij ze veelal via C&C servers achterliggende netwerk verder verkennen en op zoek naar de schat zullen ze niet direct de gegevens versleutelen. Vraag hoe lang ze binnen zijn, waar ze toegang toe hebben gekregen en wat ze meegenomen hebben is niet onbelangrijk. Er gaat volgens mij dan ook nog een stap aan het herstel vooraf.
Recovery Point Objective kan tenslotte wel eens veel verder terug liggen dan een paar dagen, wat is de veilige uitgangssituatie? Als Continuous Data Protection malware ongemerkt repliceert dan lijkt me dat niet de optie tot herstel. En herstel vanuit installatiemedia lijkt me geen optie omdat er vaak allerlei ongedocumenteerde wijzigingen zijn in configuraties, volledige herbouw is een optie maar dat kost veel tijd en tijd is uiteindelijk duur als de bedrijfsvoering stil ligt. Traditionele back-up met een offline (airgap) kopie lijkt me dan beter, net als traditionele beveiligingsmechanismen zoals een scheiding in netwerken om te voorkomen dat cybercriminelen via malware toegang tot alles krijgen.