Wat we te verbergen hebben zit goed verstopt.

Wat je niet ziet, bestaat niet.
Of toch wel?

Doelbewuste aanvallen op processen zijn business as usual

Cybercriminelen hebben hun verdienmodellen fijngeslepen door nog meer schade aan te richten. De laatste tijd komt vooral ransomware vaak voor. Bij deze geavanceerde vorm van malware sluipen criminelen in het systeem, blokkeren de toegang en versleutelen de data. Vervolgens dreigen ze gevoelige gegevens te verhandelen of openbaar te maken. De getroffen organisatie krijgt weer toegang tot het netwerk en bezit van de gegevens na betaling van losgeld (ransom). Deze doelbewuste aanvallen op processen zijn helaas een alledaags fenomeen. In Nederland is al 45% van alle bedrijven slachtoffer geweest.

Hoe kwam het zo ver? De oorsprong van ransomeware-aanvallen dateert uit de jaren 80, aanvankelijk als experimenteel vermaak van jonge techneuten. Maar al snel ontdekten cybercriminelen het speelveld en werd het een lucratieve inkomstenbron. Het begon met het versleutelen (encrypten) van data. Na betaling van losgeld ontving het slachtoffer een decoderingsleutel. Toen kwamen criminelen op het idee om extra geld te eisen door te dreigen met de verkoop van gevoelige gegevens aan andere partijen. Voor het wissen van gekopieerde data moest ook betaald worden.

Dilemma

Getroffen bedrijven staan bij deze ‘double extortion’ oftewel dubbele afpersing (netwerktoegang terugkrijgen plus terugkopen gecodeerde data) voor een moeilijk dilemma: het verlies dragen of betalen.

Niet betalen neemt grote risico’s met zich mee voor waardevolle gegevens waaronder intellectueel eigendom. Bovendien bewaren veel bedrijven en instellingen vertrouwelijke gegevens van klanten, leden of gebruikers van hun diensten. Als die openbaar worden komt de wetgeving om de hoek. Dat kan leiden tot aanzienlijke boetes ondermeer vanuit de Algemene Verordening Gegevensbescherming (AVG). Deze wetgeving heeft tot doel de privacyrechten van individuen te beschermen.

Van dubbele naar meervoudige afpersing

De professionaliseringsslag van cybercrime levert steeds slimmere methodieken en meer geld op. Na de double kwam de triple extortion. Deze is ook wel bekend als RDDoS: Ransomware in combinatie met DDoS-aanvallen. Een bedreiging die vooral effectief is omdat hij extra druk zet op het slachtoffer.

De aanval heeft de volgende stappen:

1. Langzaam en ongemerkt binnendringen van systemen met ransomware, waarna klantdata en andere bedrijfsgevoelige gegevens worden versleuteld.
2. Tegelijk legt een DDoS-aanval de capaciteit van het digitale frame en ondersteunende servers plat.
3. Dreigen met het openbaar maken of verkoop van de gegevens.

RDDoS heeft bewezen zeer effectief te zijn voor bendes. De dreiging van het versleutelen of publiceren van kostbare gegevens na de ransomware-aanval in combinatie met een DDoS-aanval creëert een enorme druk. In zo’n stressvolle situatie, met zeer waarschijnlijke desoriëntatie onder ICT-medewerkers en/of externe securityprofessionals word je min of meer gedwongen om te betalen. Daar komt extra druk bij als de criminelen het complete netwerk hebben gegijzeld. Dan ontbreken ook nog eens de middelen om de toegang tot de infrastructuur te herstellen.

Ransomware as a Service

RaaS is een nieuw cybercrime fenomeen. Op Dark Web zijn RaaS-pakketten te koop voor doe-het-zelf  ransomware-aanvallen. Het kost soms maar een paar honderd euro of een percentage van de binnengehaalde buit. Technische kennis is niet nodig, het pakket heeft instructies om stapsgewijs een aanval in te zetten met een dashboard om de status realtime te volgen. Je kunt bij wijze van spreken op je gemak thuis achter de keukentafel een geavanceerde aanval lanceren.

Achteroverleunen en afwachten?

De schrik zit er goed in bij ondernemers. Bij talloze bedrijven en instellingen, klein en groot, van MKB tot internationaal opererende organisaties komen cyberincidenten voor. En hoe professioneler de criminele bendes worden, hoe moeilijker de defensie. Na triple extortion komt de viervoudige, de vijfvoudige… waar eindigt het? Toch is achteroverleunen geen optie. Niet alleen omdat het mogelijk losgeld kan kosten, ook vanwege de wet- en regelgeving, het bedrijfsimago, het vertrouwen van klanten en investeerders. En niet in de laatste plaats de onzekerheid en emoties onder medewerkers als ze de impact van een aanval beleven. Aan de slag dan maar.

Sensoren op strategische posities

Ransomeware-aanvallen zijn effectief te bestrijden. S3detect van de S3Group is een product dat potentiële beveiligingsproblemen detecteert. Het is speciaal ontwikkeld voor midden- en kleine organisaties. Als criminelen het systeem zijn binnengekomen kan langzame datadiefstal en voorzichtige versleuteling zorgen dat ze lang opgemerkt blijven. Door plaatsing van sensoren die afwijkende patronen herkennen kunnen verdachte bewegingen worden gedetecteerd. S3detect is verbonden met een alarmcentrale die realtime bedreigingen monitort en bestrijdt.

Andere preventieve maatregelen zijn een zero-trust toegangsbeleid tegen de infiltratie van het systeem en het beperken van de communicatie tussen compartimenten om te voorkomen dat indringers zich over het netwerk verplaatsen. Om de impact van een aanval te minimaliseren kunnen workloads worden geïsoleerd. Tot slot een advies: houd rekening met de risico’s van systeem-beheersrechten. Hoe meer medewerkers een beheerdersprofiel hebben, hoe groter de kans op achterdeurtjes voor criminelen en de installatie van malware.

S3 Group biedt realtime beveiligingsoplossingen. Speciaal voor midden- en kleinere organisaties is S3detect ontwikkeld. Dit monitort ICT-omgevingen 24/7 op verdachte patronen en heeft een ultrakorte responstijd via de eigen professioneel bemande alarmcentrale. Voor een oriënterend gesprek over onze uitgebreide en proactieve benadering van cyberveiligheid kunt u hier contact opnemen.

Meer weten?

Neem contact op met:
Gerald Schaapman
info@s3group.nl
+31 (0)318 230006