In de eerste helft van 2022 vonden minimaal 236 miljoen ransomware-aanvallen plaats. Dergelijke aanvallen nemen niet alleen toe in volume, maar ook in intensiteit en raken bijna elke sector. De ontwikkeling wordt gedreven door nieuwe ransomware-criminelen en de brutale vraag naar exorbitante losgeld-betalingen.
Hoewel veel organisaties het losgeld betalen, biedt dit geen garantie op het terugkrijgen van gegevens. Volgens het ‘Veeam Ransomware Trends Report 2022‘ kon net iets meer dan de helft van de respondenten die het losgeld betaald hadden, versleutelde gegevens herstellen. Een op de vier organisaties die wel losgeld betaalde, kon gegevens, of een deel hiervan, niet herstellen. Veel slachtoffers betalen het losgeld met de hoop snel terug online te komen en hun werkzaamheden te hervatten. Alleen bedrijven die zich goed voorbereiden op het onvermijdbare kunnen hun data ook herstellen zonder te betalen.
We hebben echter álle organisaties nodig om een punt van ‘no fear’ te bereiken, waarbij elke organisatie de macht heeft om losgeldeisen te weigeren in de wetenschap dat hun gegevensbackup goed genoeg is voor een korte hersteltijd zonder gegevensverlies.
Stappen nemen
Voordat organisaties dit punt kunnen bereiken, moeten ze nog veel stappen nemen. Eerst moeten zij begrijpen waarom ze losgeld betalen en wat het gevaar hiervan is. Organisaties betalen vaak losgeld, omdat ze bang zijn voor de gevolgen wanneer ze dat niet zouden doen. Voorbeelden hiervan zijn reputatieschade en zorgen van beveiligingsteams over de gevolgen voor hun baan. Dit drijft organisaties ertoe betalingen te doen in de hoop dat ze uit het nieuws blijven en de ramp in stilte kunnen oplossen.
De methoden die door ransomware-criminelen worden gebruikt, geven organisaties dan ook het gevoel dat ze geen andere keus hebben. Daarnaast richten ransomwarebendes zich steeds vaker op backups, waardoor ze organisaties in een moeilijke positie brengen: hoewel ze een backup van hun gegevens maakten, maakt dit nu deel uit van de aanval. Vanuit een ransomware-crimineel gedacht, is de keuze om de backup aan te vallen logisch; die bevat tenslotte de waardevolle, gevoelige en kritieke gegevens.
Helaas betekent het betalen van het losgeld niet per definitie dat alle gegevens met succes kunnen worden hersteld. In veel gevallen veroorzaakt het betalen van losgeld een kettingreactie. Als u ingaat op de losgeldeis en deze betaalt, laat u aanvallers in wezen weten dat u alles zult doen wat ze vragen. Dit leidt ertoe dat ze u nog verder uitbuiten. Drie op de vier organisaties die losgeld betaalde kreeg daarna nog één of meerdere aanvallen te verduren. Ransomware-criminelen kwamen dus terug voor meer, lanceerden nieuwe aanvallen en stelden meer eisen. Dit staat ook wel bekend als dubbele of drievoudige afpersing.
Dubbele afpersing wordt ook wel ‘name and shame extortion’ genoemd. Dit geeft duidelijk weer waarom het zo’n bedreiging is en waarom organisaties betalen in de hoop dit te vermijden. Dit type ransomware-aanval omvat niet alleen de diefstal en versleuteling van gegevens, maar ook de verspreiding daarvan. Aanvallers zullen hun slachtoffer afpersen door te dreigen de gestolen gegevens te lekken.
Drievoudige afpersing voegt nog meer druk toe door ook te dreigen met een distributed denial of service (ddos)-aanval als de betaling niet op tijd wordt gedaan. Wanneer dit gebeurt, kunnen organisaties zich wanhopig voelen: niet alleen hebben aanvallers hun gegevens geëxfiltreerd en versleuteld, maar ze worden ook geconfronteerd met de publicatie daarvan en een volledige shutdown als gevolg van een ddos-aanval.
Helaas gebeurt dit vaker wel dan niet wanneer u ransomware-aanvallers betaalt. De beste manier om dit te vermijden, is door ervoor te zorgen dat de backupstrategie sterk genoeg is.
Doelwit
Backups zijn de laatste verdedigingslinie tegen ransomware-aanvallen. Zoals we hebben gezien, zijn backups steeds vaker doelwit van aanvallers. Backup-repositories waren het doelwit van 94 procent van de aanvallen en bijna zeventig procent van de cyberincidenten trof ten minste een repository.
Dit betekent dat je alleen ‘nee’ kunt zeggen tegen ransomware-criminelen als je de juiste gegevens op de juiste manier beschermt. Om dit te kunnen doen, moet je goed kijken naar de manier waarop gegevens geclassificeerd worden. Dat klinkt eenvoudig, maar kan een flinke uitdagingen zijn. Wanneer er een schijnbaar eindeloze hoeveelheid gegevens is, is het lastig om te weten welke gegevens het belangrijkst zijn en waar deze zich bevinden. Als het gaat om het versterken van de dataprotectie-strategie, moeten organisaties ervoor zorgen dat ze weten welke gegevens ze hebben en waarvan een backup gemaakt moet worden.
Niet-geclassificeerde gegevens zijn niet getagd of identificeerbaar. Dit maakt het lastig om een risiconiveau toe te kennen. Als je bedrijfskritische gegevens wilt beschermen, moeten deze dus eerst geïdentificeerd worden. Bovendien is het taggen van gegevens met een hoge prioriteit ook een belangrijk onderdeel van gegevensherstel. Daarnaast weten organisaties vaak niet welke datasets aangetast zijn bij een aanval. Dat is nog een reden waarom zij het losgeld betalen. Omdat ze niet kunnen uitsluiten dat hun gevoeligste gegevens zijn gecompromitteerd en ze niet in staat zijn om specifieke sets te vinden om te herstellen.
Behalve het classificeren van gegevens, is het essentieel dat de 3-2-1-1-0-backup-regel gevolgd wordt. Ook dit lijkt misschien eenvoudig, maar het wordt vaak over het hoofd gezien. Backups zijn alleen nuttig (in het geval van een aanval of in het algemeen) als deze geverifieerd zijn, om er zeker van te zijn dat er geen fouten in zitten. Dit wordt bereikt door dagelijkse monitoring; backups zijn niet alleen een noodmaatregel, maar moeten worden gezien als ‘levend’. Ze hebben continu aandacht nodig.
Het genoemde rapport onderzocht waar organisaties tegenwoordig prioriteit aan geven en ontdekte dat heterogeniteit cruciaal is. Met heterogeniteit wordt een strategie voor dataprotectie bedoeld die is geoptimaliseerd om moderne workloads te beschermen die verspreid staan over on-premises en cloudgebaseerde servers. Naarmate organisaties deze stap steeds vaker maken, moeten ze er ook voor zorgen dat ze voordelen hiervan benutten voor hun dataprotectie-strategie.
Halve werk
De komende jaren zullen ransomware-aanvallen onverminderd plaats blijven vinden. Het is niet een kwestie van ‘of’, maar van ‘wanneer’. Dit betekent dat zelfs als de backupstrategie goed is, dit slechts het halve werk is.
De andere helft is het optimaliseren van de doelstellingen voor gegevensherstel en hersteltijd. Dit is een proces dat veel tijd in beslag neemt. Organisaties hebben gemiddeld achttien dagen nodig om hun gegevensherstel te voltooien. Voor vijftien procent van de organisaties kan dit zelfs maanden duren. Het herstellen van gegevens is niet alleen arbeidsintensief, maar betekent ook dat werkzaamheden onderbroken worden tijdens een periode van downtime. Om dit te voorkomen, is het belangrijk om ervoor te zorgen dat u over de juiste infrastructuur beschikt om snel herstel te ondersteunen.
Nogmaals, dit kan alleen worden ondersteund door een moderne back-up-benadering. Als je gegevens on-premises en in de cloud backupt, geeft u zichzelf de mogelijkheid om gegevens van beide servers tegelijk te herstellen. Dit kan ook fungeren als extra verdedigingslinie. Met de wetenschap dat je meerdere backups binnen handbereik heeft en een strategie die hierop afgestemd is, staat de organisatie sterker in zijn schoenen om ‘nee’ te zeggen tegen ransomware-aanvallers.
Organisaties hebben de neiging om te vertrouwen op incrementeel gegevensherstel, omdat dit als een goedkopere optie wordt beschouwd. Maar naarmate de kosten van ransomware-aanvallen toenemen, is het de moeite waard om volledig herstel te ondersteunen. Dit houdt in dat de infrastructuur opnieuw moet worden ontworpen, zodat organisaties gegevens snel kunnen herstellen, in minder dan 18 dagen.
Zodra je de zaken aanpakt die tot ransomware-betalingen leiden, wordt het eenvoudiger om uiteindelijk niet in te hoeven gaan op betalingseisen. In de toekomst moeten organisaties hun angst achter zich laten, op basis van een vernieuwde back-upstrategie.
Als back-ups steeds vaker het eerste doelwit zijn van hackers dan lijkt het me zinvol om back-up data te beschermen. Dat zou je kunnen doen met een ‘airgap’ door de tape uit de drive te halen want ik heb me laten vertellen dat tape niet dood is maar groen als we kijken naar de classificeringen van data. Zo leert een simpele classificatie van data dat meer dan 70% van de data die ooit eens aangemaakt is al meer dan 180 dagen niet gewijzigd is. Dat is niet vreemd als data na het aanmaken niet meer gewijzigd mag worden, van de röntgenfoto tot het procesverbaal groeien digitale archieven dan ook exponentioneel terwijl de preservering van data nog veel te wensen overlaat.
Ik weet niet of Veeam de optie heeft om data te archiveren maar kijkend naar telkens terugkerende zoektocht van de actieve herinnering bij de partij van de Veel Vergeten Data is ransomware voor sommigen een zegen.