Ransomware-aanvallen nemen toe en veroorzaken ongekende financiële schade. Criminelen richten zich met hun aanvallen niet alleen vaker op grotere entiteiten met hogere inkomsten, maar ook op kritieke maatschappelijke voorzieningen. Zo is het aantal aanvallen op de gezondheidszorg in 2023 gestegen van 60% naar 67%. Dreigingen worden daarnaast groter door de komst van kunstmatige intelligentie, die het criminelen makkelijker maakt om op een ongekend tempo geavanceerde ransomware-campagnes te lanceren. Want naarmate AI-tools toegankelijker worden, zal de mogelijkheid om cybercriminaliteit te automatiseren en te verbeteren toenemen. Het wordt dan ook steeds belangrijker voor organisaties om deze vorm van cybercrime te bestrijden. Of nog beter: voorkomen.
De schade door ransomware-aanvallen neemt gestaag toe. Criminelen hebben alleen in 2023 al meer dan $1 miljard aan organisaties ontfutseld. Uit onderzoek van Sophos blijkt dat 59% van alle organisaties vorig jaar werd getroffen door ransomware, waarvan 56% losgeld betaalde om hun data terug te krijgen.
Maar de herstelkosten van ransomware-aanvallen bestaan uit meer dan alleen het betalen van losgeld. Betalen zou nooit een optie moeten zijn, tenzij er direct gevaar is voor de gezondheid en het leven van mensen, omdat je nooit zeker weet of en hoe aanvallers je gegevens zullen vrijgeven. Maar zelfs als bedrijven back-ups hebben en hun gegevens kunnen herstellen zonder losgeld te betalen, lopen ze bijvoorbeeld nog steeds het risico dat hun data wordt gestolen en gelekt, wat tot significante bedrijfsschade kan leiden. Datadiefstal komt geregeld voor: bij een derde van de ransomware-incidenten die vorig jaar werden geregistreerd, werden ook gegevens gestolen. Het kostte bedrijven gemiddeld $2,73 miljoen om te herstellen van deze aanvallen – exclusief het losgeld.
Verstoring van de bedrijfscontinuïteit is een andere voor de hand liggende consequentie van ransomware-aanvallen. Er zijn talloze voorbeelden van kritieke publieke diensten die vaker worden geraakt door ransomware, zoals openbare rechtbanken, of noodhulpdiensten zoals politie en brandweer.
Waarom aanvallen vaker slagen
De slagingskans heeft te maken met het ontwerp van de securitystack. De meeste security-tools proberen malware te detecteren en erop te reageren op basis van het gedrag van malware nadat een breuk al heeft plaatsgevonden. Als je alleen in staat bent om achter aanvallen aan te lopen, is het niet mogelijk om risico’s daadwerkelijk te verkleinen. Deze aanpak is vaak te traag en foutgevoelig. Security Operations Centers (SOC’s) worden bijvoorbeeld nu al overweldigd door grote aantallen notificaties die ze moeten monitoren, onderzoeken en herstellen. Het gemiddelde SOC krijgt meer dan 4000 notificaties per dag. Daarentegen is de gemiddelde inbraaktijd voor een aanval slechts 62 minuten. Dit betekent dat organisaties elke nieuwe ransomware-aanval binnen deze 62 minuten feilloos moeten detecteren, onderzoeken en herstellen – en liever nog eerder. Anders is een grootschalig securityincident te verwachten. Daarom is het nu tijd voor organisaties om hun strategieën voor detectie en reactie op bedreigingen aan te passen en verder te gaan dan de traditionele malware-gerichte benaderingen.
Vroegtijdige detectie en uitschakeling van ransomware-domeinen
Terug naar de basis. Bijna alle malware, inclusief ransomware, gebruikt het fundamentele DNS-protocol om aanvallen uit te voeren. Volgens de Amerikaanse veiligheidsdienst NSA maakt 92% van de malware op de een of andere manier gebruik van DNS om hun campagnes uit te voeren.
DNS wordt gebruikt voor een aantal cruciale stappen in de aanvalsketen:
- Phishing: De primaire methode om systemen te besmetten. Het doel is gebruikersgegevens te stelen om gemakkelijker toegang te krijgen tot interne netwerken en systemen.
- C2 (Command and Control): Zodra ransomware een netwerk heeft besmet, gebruikt het DNS-communicatie met externe C2-servers om de versleutelingscode te downloaden en bestanden te versleutelen.
- Data-exfiltratie: Gegevens worden vaak geëxporteerd via DNS om detectie te vermijden.
De enorme omvang van het ransomwareprobleem toont dat er een geïndustrialiseerd proces achter zit dat een soortgelijke respons op industriële schaal vereist. Om ransomware-aanvallen succesvol te verstoren of te elimineren, moeten securityteams daarom beginnen met het verstoren van de toeleveringsketen van de aanvallers, met een focus op de DNS-infrastructuur van waaruit de campagnes worden gelanceerd. Door proactief domeinen te blokkeren die uiteindelijk door ransomware-actoren worden gebruikt, kunnen organisaties namelijk al ingrijpen in een veel vroeger stadium van een aanval, soms zelfs al voor de aanval plaatsvindt. Onze eigen DNS-onderzoekers monitoren netwerken voortdurend op kwade actoren op DNS-niveau en komen deze vaak dagen of zelfs maanden eerder op het spoor dan andere monitoringmethoden, zoals het geval was bij de Blackcat ransomware.
De waarde van het gebruik van DNS voor security gaat verder dan proactieve preventie. DNS-, DHCP- en IPAM-gegevens kunnen securityteams bovendien helpen om sneller getroffen apparaten en gebruikers te identificeren. Door DNS holistisch te integreren in beveiligingsarchitecturen en operationele processen kunnen organisaties de uitdaging van ransomware dus efficiënt, effectief en op grote schaal aangaan.
Dit is een ingezonden bijdrage van Infoblox. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.