Het aantal ransomware-aanvallen is afgelopen jaar met meer dan 150 procent toegenomen ten opzichte van het jaar ervoor. Deze gegevens zijn te vinden in ‘Ransomware 2020-2021’ van Group-IB, een omvangrijk onderzoek naar cyberbedreigingen in de periode van de Covid-19-pandemie.
Grote ondernemingen, waaronder potentieel zeer winstgevende, werden in 2021 stilgelegd door criminelen. Maar ook universiteiten en ziekenhuizen – traditioneel kwetsbaar voor cyberaanvallen door zwaktes in hun cyberbeveiliging – werden deels stilgelegd door cybercriminelen. Een voorbeeld: de universiteit van Californië in San-Francisco, die niet alleen een medische faculteit heeft, maar ook een medisch centrum, was genoodzaakt 1,14 miljoen dollar losgeld te betalen, opdat ze de door het programma Netwalker versleutelde bestanden konden herstellen.
De toerisme-industrie werd zwaar door de epidemie getroffen. CWT, een van de grootste reisorganisaties in de VS, ging ermee akkoord de operator RagnarLocker, die zijn computernetwerk gekraakt had, een losgeld van 4,5 miljoen dollar te betalen.
De aanval op Colonial Pipeline heeft geleid tot een verhoging van de brandstofprijs. Een succesvolle aanval op een object van vitaal belang – een pijpleiding, die al sinds de jaren zestig de oostkust van de VS bedient – laat zien hoe kwetsbaar verouderde infrastructuur is die direct of indirect op internet is aangesloten.
Ransomware-as-a-service
Een van de drijvende krachten achter de fenomenale groei van ransomware is het model ransomware-as-a-service (raas). Hierbij verhuren of verkopen ransomwareonwikkelaars hun malware aan partners voor het zich toegang verschaffen tot het slachtoffers netwerk, infectie en verspreiding van ransomware. Alle ontvangen winst in de vorm van losgeld wordt dan vervolgens verdeeld onder operators en partners.
Group-IB’s Digital Forensics and Incident Response-afdeling benadrukt dat een kleine twee derde van de ransomware-aanvallen, geanalyseerd in 2020, in verband is te brengen met operators die van het raas-model gebruikmaakten.
Een van de meest indrukwekkende cyberaanvallen in Nederland vond plaats bij een toonaangevende supermarktketen. Velen herinneren zich nog dat de schappen met kaas van de ene op de andere dag leeg waren. Een goed georganiseerd logistiek proces maakt het normaal gesproken mogelijk de kaas binnen een of maximaal twee dagen naar de supermarkten te brengen om de versheid van de producten te waarborgen. Volgens onze informatie werd het bedrijf dat verantwoordelijk is voor de logistiek getroffen door een aanval en was dientengevolge in een mum van tijd genoodzaakt zijn werk stil te leggen. Als resultaat van de verwoestende impact op hun infrastructuur wist het bedrijf gewoonweg niet waar en wanneer er vervoerd moest worden en in welke periode de producten in de schappen moesten liggen.
Medewerkers
De besmettingen vinden in circa een derde van de gevallen via e-mail plaats: een mail met schadelijke inhoud, die door een van de medewerkers geopend wordt, en zich verder over het netwerk gaat verspreiden, wat enkele dagen tot twee weken kan duren. Dat wil zeggen, de aanvallers gaan door met hun ‘verkenningstocht’, op zoek naar alle informatie (servers), die is te versleutelen.
Een deel van de gegevens kopiëren ze naar zichzelf, om in de toekomst extra losgeld voor hun geheimhouding te vragen. Bovendien zijn de criminelen op zoek naar de plaats waar de reservekopieën opgeslagen zijn, om ze te vernietigen of te versleutelen, nadat ze al het overige versleuteld hebben.
Preventieve maatregelen
De enige optie voor bedrijven om zich te tegen cyberaanvallen te beschermen, is zich van tevoren voor te bereiden, ervan uitgaande dat een aanval iedereen kan overkomen. Wat moeten ze hiervoor doen?
- Gebruik oplossingen om netwerken te beschermen tegen doelgerichte cyberaanvallen, en maak het mogelijk inkomende mail, internetverkeer en door computergebruikers veroorzaakte gebeurtenissen te analyseren.
- Maak op een zodanige manier reservekopieën, dat criminelen geen toegang kunnen krijgen tot deze reservekopieën en ze kunnen vernietigen. Hoe dan ook: bewaar back-ups op externe media of servers, waarvan de toegang geregeld is met een afzonderlijk wachtwoord.
Bij confrontatie met een dergelijke aanval, ongeacht of deze grote schade heeft aangericht of dat het gelukt het is snel en nagenoeg zonder verliezen de bedrijfsvoering weer te hervatten, is het noodzakelijk dat bedrijven precies achterhalen hoe criminelen in de infrastructuur hebben kunnen inbreken. Anders kan de aanval op een later moment worden herhaald.
Om meer over de oorzaken te achterhalen, is het verstandig experts in te schakelen die de aanvalsvector kunnen vaststellen en adviseren hoe dergelijke incidenten in de toekomst zijn te voorkomen.
(Auteur Artyom Artyomov is hoofd Digital Forensics Laboratory, Europe bij Group-IB.)
