Wat is er veranderd en wat doen we ertegen?
De cybersecurity-industrie roept voortdurend: ‘Het is niet de vraag óf, maar wanneer je wordt aangevallen’. We moeten eens ophouden met die richtingloze bangmakerij. Erkennen dat je slachtoffer wordt van een ransomware-aanval is iets anders dan het toegeven van een nederlaag. Het is het startschot voor een betere voorbereiding.
Het grootste dilemma tijdens een ransomware-aanval is: betaal ik wel of betaal ik niet? Niemand kan dat voor een ander bepalen. Het enige dat we moeten weten, is dat dit een bedrijfsbeslissing is. Op voorhand een principieel standpunt innemen, zoals ‘nooit betalen’, is misschien niet raadzaam. Je weet namelijk nooit wat de omstandigheden zullen zijn.
Wel of niet betalen
Stel dat de omstandigheden leiden tot het besluit om te betalen. Gezien het huidige geopolitieke klimaat is dat misschien niet eens toegestaan. Dit kan zich ook voordoen als je een cybersecurity-verzekering hebt. Sommige polissen bevatten een clausule die zegt dat de verzekeraar bij een ransomware-aanval de beslissing neemt om wel of niet te betalen. Het is in hun belang de kosten zo beperkt mogelijk te houden. Als het herstel duurder uitvalt dan losgeld betalen, sta je als bedrijf machteloos.
Zelfs als je betaalt, biedt dat geen enkele garantie op wat dan ook. Decoderingssleutels – als je die al krijgt – kunnen zo slecht presteren dat je alsnog weken of maanden nodig hebt om de data weer vrij te krijgen. Evenmin weet je zeker of de dieven de gestolen data zullen vernietigen, zoals ze beloven. Er zijn genoeg voorbeelden waarbij data al was doorverkocht nog voordat de onderhandelingen met het slachtoffer waren gestart. Een andere praktijk, die in ruim 30 procent van de aanvallen voorkomt, is dat een bedrijf extra moet betalen, omdat er meer coderingssleutels zijn gebruikt. Of de aanvallers verhogen de prijs simpelweg omdat ze dat kunnen.
Van bedrijven die betalen, wordt 80 procent een tweede keer aangevallen. Wie betaalt, moet er dus zo snel mogelijk voor zorgen dat de deuren waarlangs ze de eerste keer zijn binnengekomen, nu stevig op slot zitten.
De realiteit van een aanval
Het lijkt erop alsof het aantal ransomware-aanvallen explosief is gestegen[1]. De cijfers vertekenen de werkelijke stijging enigszins, omdat bedrijven inmiddels verplicht zijn dit te melden. Desondanks vinden er veel succesvolle aanvallen plaats. Momenteel is er ergens in de wereld iedere 11 seconden een ransomware-incident. Naar verwachting zal dat rond 2031 iedere 2 seconden gebeuren. De aanvallers komen nog steeds het vaakst (45%) binnen via phishing. De aanvallen vinden grotendeels buiten kantooruren plaats, dus het is zaak om 7x23x365 monitoring te hebben. Als je wordt aangevallen, heb je een gemiddelde kans op 20 dagen storing of bedrijfsonderbreking. Van alle data ben je aan het einde van de rit 39 procent kwijt. Slechts 4 procent van alle slachtoffers kreeg al hun data terug na betaling. De criminelen kunnen jouw data supersnel encrypten en ze nemen gegarandeerd de backup-systemen daarin mee. Hun enige doel is namelijk zoveel mogelijk disruptie veroorzaken, zodat een bedrijf weinig keuze heeft en wel zal moeten betalen.
Een nieuwe twist: datamining
Iedereen kan ransomware maken, het is praktisch as-a-service beschikbaar. Daarnaast creëren zogeheten ‘access brokers’ toegang tot jouw netwerk. Daar doen ze zelf niets, maar ze geven de sleutel van de deur aan de hoogste bieder, als een serviceprovider. Bedrijven die denken dat hun herstelopties prima zijn en niet met de criminelen in gesprek gaan, komen bedrogen uit. Want wie zwijgt krijgt een DDoS-aanval op zijn dak, zodat herstellen praktisch onmogelijk wordt. Behalve het versleutelen van data op de bedrijfsservers worden data steeds vaker ook weggesluisd. Als je niet wilt betalen voor de decodering, doe je het wel om te verhinderen dat jouw data wordt doorverkocht.
Sinds kort worden dezelfde dataminingtools die een bedrijf inzet om hun business te besturen, door criminelen gebruikt op de buitgemaakte data. Een voorbeeld: patiënten van een psychiatrische kliniek in Scandinavië ontvingen mailtjes met de boodschap: als je niet betaalt, publiceren we jouw patiëntendossier. Ook worden bedrijfsmedewerkers direct benaderd om malware op het netwerk te verspreiden, of hun gebruikersnaam en wachtwoord te geven.
In ruil daarvoor wordt hen een percentage van het losgeld beloofd. Hier valt niet tegenop te beveiligen. Criminelen volgen de sociale normen, want vanwege de pandemie activeert praktisch iedereen tegenwoordig blind een QR-code. Een berichtje met een QR-code dat een gemiste voicemail activeert, heeft daarom meer succes dan de ouderwetse link.
Verhelder de risico’s
De vaardigheid van de crimineel om steeds sneller en inventiever kwetsbaarheden te transformeren tot een wapen groeit alarmerend. Ons vermogen om te detecteren en te beheersen bepaalt hoe goed we ons hiertegen kunnen beschermen. We moeten diverse scenario’s uitwerken in ons incidentresponsplan, omdat iedere ransomware-gebeurtenis de bedrijfsleiders dwingt tot het maken van zeer grote beslissingen op basis van weinig of geen informatie. En iedere seconde telt. Naast alle techniek – databescherming, continue monitoring, immutable back-ups enzovoort – is het daarom fundamenteel dat de CIO deze risico’s glashelder maakt aan de bestuurders. Er is namelijk maar één ding moeilijker dan een verdediging tegen een ransomware-aanval op te bouwen. En dat is achteraf moeten uitleggen aan jouw CEO waarom je niet genoeg hebt gedaan om het bedrijf te beschermen.
[1] Als we de cijfers van 2020 vergelijken met die van 2021, zien we dat er in Noord-Amerika een stijging is van 180 procent. Het aantal aanvallen in Europa is gestegen met 234 procent.
De input van dit artikel komt van de spreekbeurt van Paul Furtade ‘Ransomware is changing. Are you ready?’ tijdens de laatste Gartner ITxpo in Barcelona, november 2022.
Lees ook:
- IT-woordkunstenaars zullen floreren
- Insider Threats – de gelegenheid maakt de dief