Bedrijven en organisaties zien bijna dagelijks de bedrijfsvoering na weer een succesvolle aanval vastlopen en ondervinden daardoor grote financiële schade. Het is daarom van belang dat elke organisatie werk maakt van goede bescherming, niet alleen voor zichzelf maar ook voor anderen. Door gezamenlijk op te trekken tegen cybercrime is het verdienmodel van criminelen aan te pakken.
Waar in het verleden grote organisaties en bedrijven het slachtoffer van ransomware waren, zijn het daarnaast nu steeds vaker de middelgrote bedrijven die succesvol worden aangevallen. Grote organisaties lijken meer te investeren in voorzorgsmaatregelen, zoals goede backups waarmee zij in het geval van een succesvolle aanval de belangrijkste negatieve gevolgen van een aanval redelijk kunnen beperken. Dat lijkt bij middelgrote en kleine organisaties minder hoog op de agenda te staan.
Double extortion
We zien dat double extortion een belangrijke trend is. Hackers richten zich niet meer alleen op een slachtoffer maar proberen via een ingang of endpoints netwerken binnen te dringen en vandaar zich te verspreiden naar andere systemen binnen de infrastructuur. Op deze manier proberen zij tot zoveel mogelijk systemen toegang te krijgen. Voordat ze deze systemen op slot gooien, worden alle data gedownload en gezocht naar de meest gevoelige data. Mocht een bedrijf over goede backups beschikken, dan zullen hackers niet om geld vragen voor toegang tot de systemen maar dreigen ze met het publiceren van gevoelige data om zo een geldbedrag af te dwingen.
Betalen?
Vanuit overheid en brancheorganisaties is het advies om na een aanval niet in te gaan op eisen om losgeld te betalen, net als bij een gijzeling van personen. Op die manier – zo is de redenering – wordt het systeem in stand gehouden.
Toch bestaat de indruk dat veel organisaties en bedrijven overstag gaan omdat ze weinig alternatieven hebben. Als een hacker alle data heeft versleuteld, ligt de bedrijfsvoering volledig stil. Als dan blijkt dat er geen goede backups zijn die je snel kunt terugzetten, is het verleidelijk om dan maar te betalen. Het gevaar blijft hierdoor bestaan. Zolang cybercriminelen worden betaald, maken zij winst die zij weer kunnen gebruiken om hun methoden te professionaliseren.
NoMoreRansom
Het staat vast dat het beschikken over goede backups en een solide backupproces (inclusief regelmatig testen of je snel en goed kunt herstellen) van cruciaal belang is met het oog op een ransomware-aanval. Maar we kunnen meer doen. Zelf is Kaspersky betrokken bij een internationaal initiatief onder de titel NoMoreRansom, gestart in Zweden, waar een medewerker van een grote meubelketen werd getroffen door ransomware. Hij kwam er door eigen speurwerk achter dat de server met deze ransomware in Nederland stond. De Nederlandse politie werd ingeschakeld die vervolgens contact opnam met Kaspersky. We wisten gezamenlijk de twee Nederlandse makers van de ransomware op te sporen. Hieruit is een internationale samenwerking met de politie ontstaan, terwijk ook McAfee en Europol inmiddels meedoen. Resultaat onder meer is een website waar slachtoffers van ransomware kunnen kijken door welke code zij getroffen zijn, en of er al een manier is om de specifieke ransomware te ontsleutelen.
Daarnaast is het voor elke organisatie van belang om gelaagde security in te zetten. Wij doen dat zelf op basis van de volgende zeven lagen:
- De eerste laag vormt een betrouwbare en ultrasnelle technologie die malware detecteert door middel van maskers en hashes.
- De tweede laag maakt gebruik van emulatie, die verdachte code uitvoert in een geïsoleerde omgeving.
- De derde laag is een klassieke detectieroutine. Het is een tool waarmee een code is te schrijven, die rechtstreeks aan de gebruiker is te leveren.
- De vierde laag gaat uit van het gebruik van machine learning-modellen aan de kant van de klant. Het hoge generalisatievermogen van de modellen helpt om kwaliteitsverlies bij het detecteren van onbekende bedreigingen te voorkomen.
- De vijfde laag is clouddetectie met behulp van big data. Het maakt gebruik van dreigingsanalyses van alle endpoints.
- De zesde laag is op heuristiek, gebaseerd op execution logs. Hiermee is een crimineel op heterdaad te betrappen.
- De zevende laag tot slot omvat het verzamelen van realtime-gedragsinzichten in bestanden om deep learning-modellen te creëren. Deze zijn in staat om de kwaadaardige aard van een bestand te detecteren en tegelijkertijd een minimale hoeveelheid instructies te analyseren.
Omdat het voor veel middelgrote organisaties moeilijk kan zijn om qua kennis en beheer bij te blijven, kiezen ze steeds vaker voor managed security services. Gartner verwacht dat in 2025 de helft van alle bedrijven managed detection and response inzet. Het grote voordeel is dat je als organisatie niet verder hoeft te investeren en toch kunt rekenen op maximale security. Dat laatste is cruciaal om cybercriminelen en hun ransomware een halt toe te roepen. Want het is niet de vraag of je wordt aangevallen, maar wanneer. Het is dan zaak om zo voorbereid te zijn dat het betalen van losgeld niet nodig is, waardoor het verdienmodel van hackers geen basis meer heeft.
(Auteur: Tim de Groot, Business Development Manager Benelux en Nordics bij Kaspersky.)
