Het antwoord op de vraag waarom organisaties nog altijd overgaan tot het betalen van losgeld na een ransomware-aanval heeft meerdere lagen. Zo blijkt dat veel slachtoffers van succesvolle afpersing-Trojans niet altijd voldoen aan best practices. Het is echter niet altijd een bewuste keuze om deze security-aanbevelingen te negeren.
Vaak zijn de betrokkenen zich bewust van het gevaar, maar hebben zij andere prioriteiten of beveiligen zij alleen kritieke assets. Daarnaast speelt uitstelgedrag en de gedachte dat het ‘iemand anders wel zal overkomen’ aanvallers in de kaart. Omdat deze organisaties zich realiseren dat ze niet alle mogelijke defensieve maatregelen hebben genomen, maken ze vaak de pijnlijke beslissing om het losgeld te betalen.
Menselijke natuur
Deze afwachtende houding en de intentie om het ‘binnenkort een keer’ op te pakken, is onderdeel van de menselijke natuur. Daarnaast vertrouwen veel organisaties nog altijd op ouderwetse oplossingen om de problemen van morgen tegemoet te treden. Tegelijkertijd gebruiken aanvallers state-of-the-art-technologie en automation om kwetsbaarheden in netwerken te detecteren. Soms is alleen het endpoint beveiligd, worden firewalls geüpgraded, vpn’s uitgebreid of aanvullende technologie aangekocht om het netwerk te beveiligen. Dit lost echter alleen oppervlakkige problemen op, zonder de oorzaak hiervan aan te pakken.
Het oplossen van problemen vereist tegenwoordig een beveiligingsaanpak die meebeweegt met zijn tijd. Werkomgevingen en bedrijfsmodellen zijn immers fundamenteel veranderd. Medewerkers werken niet langer op het netwerk maar kunnen overal werken. Daarnaast worden applicaties en data steeds vaker naar de cloud verplaatst. Er is een holistische beveiligingsfilosofie nodig die deze problemen fundamenteel anders aanpakt.
Zero-trust biedt precies zo’n framework. Het is niet slechts een nieuwe technologische feature, maar een compleet andere aanpak die het aanvalsoppervlak verkleint.
Eén keer succesvol
Om verandering te bewerkstelligen, helpt het om je ervan bewust te zijn dat een aanvaller slechts één keer succesvol hoeft te zijn om een ransomware-aanval te lanceren. Aan de andere kant moet een organisatie alle aanvallen kunnen afslaan. Dat honderd procent bescherming niet haalbaar is, betekent niet dat bestuurders hun kop in het zand moeten steken maar hen juist tot actie manen. Organisaties moeten het tij keren door de kans op een succesvolle ransomware-aanval te beperken. Dit omvat het voorkomen van laterale bewegingen in het netwerk. Je dient het kwaadwillenden zo lastig mogelijk te maken om kritieke assets te versleutelen of te exfilteren, zodat zij hun interesse verliezen en zich gaan richten op makkelijkere slachtoffers; dat zijn zij die nog steeds een uitgebreid aanvalsoppervlak bieden.
Als goed voornemen voor 2023 zouden organisatie proactief preventieve maatregelen moeten nemen in plaats van pleisters blijven plakken en zich verbergen achter excuses. Een cloudgebaseerde zero-trust-aanpak moet bovenaan die prioriteitenlijst staan om een werk- en productieomgevingen adequaat te beveiligen. Volgens het ‘2023 State of Zero Trust Transformation Report‘ bewandelt een vijfde van de organisaties wereldwijd dit pad al en bevindt bijna veertig procent zich al in het implementatieproces. Door een zero-trust-aanpak te implementeren kunnen zij cybercriminelen aanpakken en het risico op losgeld-eisen verkleinen.
Het terugkrijgen van data en software is volgens mij de belangrijkste reden om het losgeld te betalen. Ook het goedkoopst. De universiteit van Maastricht deed dat en dat was begrijpelijk. Een andere voorbeeld is de gemeente Hof van Twente. Die betaalde niet, medewerkers zijn het werk kwijt en de gemeente is veel geld kwijt om een en ander te herstellen. Meer dan als er betaald zou zijn. Is op deze site aandacht aan besteed. Betalen is verstandig als je de systemen niet meer kan herstellen.
Denk dat het lastig is om de systemen zo te beveiligen dat het niet gehackt kan worden. Het is veel, het overzicht ontbreekt en de menselijk factor speelt een rol. Je best doen kan geen kwaad. Lijkt me zinvoller om de systemen zo in te richten dat je bij ellende de systemen weer kan herstellen.
Louis, het probleem is dat je zaken moet doen met criminelen en daarachter vaak statelijke actoren. Herstelgarantie van de “mannen van eer” stelt niet veel voor. Bovendien kunnen te veel data zijn gewist. Het blijft gokken voor de slachtoffers. Verliest een Ransomware groep het vertrouwen van de slachtoffers door steeds opnieuw geld te vragen of te veel te wissen, dan beginnen ze gewoon opnieuw met een nieuwe release van de Ransomware die al klaar ligt. Dat doen sowieso regelmatig, want ook zij moeten innoveren.
Preventie door beter hang- en sluitwerk dan de buren, blijft aanbevolen.
Klopt Jaap, je moet zaken doen met criminelen. Van wat ik begrepen heb zijn ze gemakkelijk te bereiken en als ze niet doen wat ze beloven dat ondergraven ze het eigen verdienmodel. Het is een moeilijke afweging, ihgv Universiteit van Maastricht begrijp ik het heel goed, gaat om werk van studenten. Is dat weg, dat is een ramp. Denk dat het voor iedere organisatie geldt. Principieel zijn heeft een hele hoge prijs.
Goed hang en sluitwerk is verstandig maar geen garantie.
Verkoopverhaal over Zero Trust begint een beetje sleets te worden want het geeft geen garanties op een 100% waterdichte beveiliging. Beter hang & sluitwerk dan de buren gaat niet op als aanval via die gebruiker gaat en deze teveel wantrouwen leidt tot olifantenpaadjes. Dichtgespijkerd maar niet meer werkbaar leidt tot innovatie want het blijft een verhaal van keuzen op basis van risicoanalyse, morele waarden zijn leuk maar de koopman verloochend de dominee. En de “mannen van eer” zijn uiteindelijk ondernemers aan de andere kant van de wet die geen baat hebben bij slechte marketing.
Met boeven vang je boeven en dat principe is interessant als we kijken naar nieuwe ontwikkelingen in de verdediging, bepaalde patronen zijn verdachter dan de anderen als we kijken naar de anatomie van een ransomware aanval. Ik weet niet wat Marc met laterale bewegingen in het netwerk bedoelt maar pogingen om data te versleutelen herken ik als een I/O commando. En gek genoeg ken ik nog meer commando’s in de I/O die alarmbellen kunnen doen laten rinkelen, het kopiëren van veel data buiten de back-up om is er ook zo één.
‘En de “mannen van eer” zijn uiteindelijk ondernemers aan de andere kant van de wet die geen baat hebben bij slechte marketing’? Dat gold duidelijk niet voor de Hive Ransomware groep en hun eerdere “ondernemingen”. Er zijn landen waar al gauw de helft van de slachtoffers na betaling of helemaal geen of geen effectieve herstelmogelijkheden krijgt of minimaal nog een keer berooft worden.
Gespecialiseerde analisten kunnen aangeven hoe “betrouwbaar” een criminele groep tot dan heeft gehandeld, maar in het verleden behaalde resultaten van gegevensherstel bieden geen garantie voor de toekomst.
Jaap, als daarmee te maken hebt dan ben je heel zuur. Het werk staat in de regel op de computer. Goede reden om dan voorbereid te zijn op alles scenario’s. Zowel beveiliging als backup.
Niet alle situaties zijn hetzelfde, meen begrepen te hebben dat bijvoorbeeld de universiteit van maastricht goed kon onderhandelen met de boeven.
Verstoring van de bedrijfsvoering door de overheid overkomt de besten als we kijken naar sancties van legale bedrijven aan de verkeerde kant van de demarcatielijn. Een gevalletje overmacht zou ik zeggen want da’s pech, geld weg misschien eerst kijken naar de economische schade als gevolg van oplichting. Jongens met blauwe ogen en rode cijfers vertellen de mooiste verhalen maar ze leveren niks.
Wat betreft andere landen, geld dat onder tafel van eigenaar verandert is niet ongebruikelijk als ik kijk naar de corruptie. Immoreel volgens onze westerse maatstaven maar net als losgeld betalen een ruilhandel zonder de toegevoegde waarde van belastingen. En dat we het ontwijken van belastingen niet immoreel vinden maar het ontduiken wel zegt iets over hypocrisie van juridische haarkloverij.
Oja, hetzelfde geldt voor de handel in 0-days want dat hang- en sluitwerk is nogal afhankelijk van het onderhoud aan de code. En op de markt voor exploits zijn sommige statelijke actoren gewoon onze bondgenoten doordat de demarcatielijnen in een digitale wereld niet zo helder zijn. Het probleem wat ik heb met zero trust is dat als je iedereen wantrouwt je een paranoïde persoonlijkheidsstoornis ontwikkelt.