De dreiging van ransomware voor de overheid en het bedrijfsleven wordt steeds zichtbaarder. Net als hun tegenhangers elders in Europa merken bedrijven in de Benelux dat het tegenwoordig geen kwestie is van óf er een ransomware-aanval komt, maar wanneer.
Beveiligingsbedrijf Kroll constateert een heropleving van ransomware-aanvallen in het laatste kwartaal van 2022 terwijl de European Union Agency for Cybersecurity (Enisa) ransomware heeft geclassificeerd als de grootste cyberdreiging voor organisaties. Beveiligingssoftwarespecialist Sophos’ ‘State of Ransomware’-rapport van 2022 benadrukt de toenemende efficiëntie van deze invallen, waarbij aanvallers er in 2021 in twee derde van hun pogingen in slagen de gegevens van een slachtoffer te versleutelen, tegenover iets meer dan de helft in 2020.
Stroom
Door de dagelijkse stroom aan cyberaanvallen is er minder oog voor hoe geavanceerd en ontwrichtend ransomware-aanvallen zijn geworden. Cyberbeveiligingsbedrijf Fortinet identificeerde meer dan tienduizend nieuwe varianten in de eerste helft van 2022. Het Nationaal Cyber Security Centrum (NCSC) geeft aan dat cybercriminaliteit op industriële schaal wordt bedreven om de winst te maximaliseren. Het merkte op dat met name ransomware ‘de laatste jaren zeer schaalbaar is geworden wat betreft slachtoffers, schade en opbrengsten. Ransomware is daarbij een gamechanger gebleken.’
Deze aanvallen worden zo zorgvuldig voorbereid en uitgevoerd dat het voor het slachtoffer onmogelijk is om de omvang van de aanval te begrijpen of tijdig te reageren. Cybercriminelen doen er vaak weken of maanden over om de netwerken van een bedrijf te infiltreren en langzaam grote aantallen bestanden en bestandssystemen te versleutelen of te beschadigen, waarbij ze onopgemerkt blijven en daarna pas hun eis stellen.
Escalerende spiraal
De toenemende mogelijkheden van ransomware betekenen ook dat de eerste eis om losgeld vaak slechts een eerste stap is in een escalerende spiraal van afpersing. Secundaire aanvallen komen vaak voor: nadat ze de gegevens van een bedrijf hebben vergrendeld of gestolen, dreigen criminelen vervolgens die informatie te lekken tenzij er een groter bedrag wordt betaald. En bij tertiaire aanvallen kunnen criminelen dreigen gevoelige informatie zoals bankrekeningen of medische dossiers van de klanten van het bedrijf openbaar te maken, wat de schaal van afpersing nog verder vergroot.
Deze aanvallen kunnen vaak langdurige gevolgen en extra operationele kosten veroorzaken, die voor de organisatie niet direct duidelijk zijn. Volgens onderzoek naar ransomware-aanvallen door beveiligingsbedrijf Sophos uit 2022 hebben organisaties in België en Nederland sommige van de hoogste recovery-kosten ter wereld bij ransomware-aanvallen (gemiddeld 4,75 en 2,71 miljoen euro), ruim boven het wereldwijde gemiddelde van 1,85 miljoen. Volgens het Nederlandse NCSC kan de schade zo groot zijn dat ‘repareren’ niet realistisch is: hele bestandssystemen moeten opnieuw worden opgebouwd.
Met die gedachte in het achterhoofd denken veel bedrijven dat het betalen van het losgeld en het zo snel mogelijk hervatten van de dagelijkse activiteiten een betere optie kan zijn dan te proberen hun it-systemen zelf te analyseren en volledig te herstellen. Hoewel de beveiliging steeds beter wordt en enkele van de meest beruchte bendes al bestraft zijn, besluiten zo’n vier op de tien organisaties toch om te betalen, in de veronderstelling dat beter is om de bedrijfsvoering zo snel mogelijk te kunnen hervatten.
Redenen om niet te betalen
Er zijn vier goede redenen waarom bedrijven nooit het losgeld van een crimineel zouden moeten betalen.
- Er is geen garantie dat je door het betalen van het losgeld data terugkrijgt;
- Het kan criminelen aanmoedigen om opnieuw aan te vallen;
- Door te betalen financier je in feite hun activiteiten. Na sancties tegen bepaalde bendes kunnen organisaties die op deze manier losgeld betalen zelfs juridisch worden vervolgd;
- Slimme bedrijven dankzij recente technologische ontwikkelingen nu snel herstellen van ransomware zonder te betalen. De nieuwste bescherming tegen ransomware slaat onveranderlijke versies van al hun bestanden op in de cloud. Dit stelt it-teams in staat om alleen de getroffen bestanden en mappen te identificeren en herstellen.
Door een dergelijke forensische aanpak is een langdurige, handmatige analyse niet meer nodig en kost het recovery-proces slechts uren. Met deze aanpak hebben bedrijven een betere kans om te overleven als ze het slachtoffer worden van ransomware.
Veel bedrijven in de Benelux blijven kwetsbaar voor ransomware door hun gebruik van traditionele backups, die vaak traag en onbetrouwbaar zijn als het gaat om data-recovery. Bedrijven in de Benelux – en de rest van de wereld – hebben betere bescherming nodig tegen steeds geavanceerdere ransomware-aanvallen.
(Auteur Arjo de Bruin is solutions architect, Benelux & Nordics bij Nasuni.)