Het komt wel eens voor dat de klantondersteuning van een internationale dienstverlener wel eens te wensen overlaat. Toch kan het voorkomen dat je keurig door vriendelijke ondersteuners bij een wat dubieuzere soort “dienstverlener” wel goed word geholpen: de professionele ransomware exploitant. Bij deze organisaties wordt je op je wenken in je eigen taal bediend om je te helpen hen te betalen en je data weer terug te krijgen. Ransomware as a service is big business. Het zal niet snel stoppen, tenzij alle mogelijkheden zijn uitgebuit. Het is dus belangrijk om je beveiliging op orde te hebben en herstelplannen hebt klaarliggen, want voor je het weet zie je geen andere mogelijkheid dan toch te betalen…

Impact

Wat kan de impact van een ransomware aanval zijn? Probeer je eens in te denken dat je bedrijf voor een paar dagen of weken operationeel stilstaat… Hoeveel geld zou dat kosten? Wellicht genoeg om een aardig zakje losgeld te overwegen. Naast deze financiële domper zul je als organisatie ook het een en ander te verwerken hebben. Tenslotte zul je zelf ook het nodige tussen de oren merken.

Tijdens een dergelijke aanval ben je genoodzaakt om je te buigen over de volgende zaken:

“Wat doen we nu?”

“Wie kan dit voor ons oplossen?”

“Wat gaat dat kosten?”

“Betalen we het losgeld nou wel of toch niet?”

“Wat communiceren we naar onze klanten? De verzekeraar geeft aan dat we het stil moeten houden….”

Zodra je alle bovenstaande zaken hebt opgelost en de schade hopelijk hebt weten te beperken, zul je achteraf je beveiliging opnieuw op orde moeten brengen.

De actualiteit in getallen

Hoe groot is de kans dat je bedrijf aangevallen wordt als we kijken naar de cijfers? Hiervoor zijn een aantal bronnen die we kunnen raadplegen.

Uit gegevens van Statista blijkt dat er in 2022 wereldwijd 1829 cyberincidenten hebben plaatsgevonden. In het tweede kwartaal van 2023 leidde 34% van deze incidenten tot een losgeldbetaling, wat een daling is ten opzichte van het vorige kwartaal. De betaalde bedragen zijn echter wel gestegen. In het eerste kwartaal van 2023 werd gemiddeld 328.000 dollar betaald, terwijl dit bedrag in het tweede kwartaal opliep tot 740.000 dollar.

ransomware-diagram

 

Ransomware aanvallen vormen de kopgroep.

Rapid7 weet te melden dat vanuit meerdere samengestelde bronnen op te maken is dat bijna 5200 succesvolle ransomware gevallen geregistreerd zijn. De werkelijke hoeveelheid zal waarschijnlijk hoger liggen aangezien bedrijven dit over het algemeen graag “onder de pet” houden.

Check Point Research weet te melden dat wereldwijd 1.258 aanvallen per week worden uitgevoerd wereldwijd. Een groei van 8% over de afgelopen 2 jaar. Hierbij worden 1 op 44 bedrijven wekelijks aangevallen.

Hoeveel betalen er losgeld?

De EU weet te melden dat van de bekende gevallen 60% overgaat op betalen. Andere bronnen laat zien dat er wereldwijd zo’n 40% tot 50% betaald. Gezien het aantal ransomware aanvallen tot op heden nog steeds stijgt, kunnen we er vanuit gaan dat er nog steeds een aanzienlijk deel wel betaald.

Omvang

Met deze getallen kunnen we voorzichtig concluderen: wereldwijd gaat dit om ruwweg 1.3 miljard dollar (5.200 x 50% x 500.000 dollar) beslaat.

wereldwijd gaat dit om ruwweg 1.3 miljard dollar

Dit is natuurlijk natte vingerwerk, maar dit maakt wel duidelijk dat het hier om een hoop geld gaat. De trend in de wereld geeft aan dat het om een groeimarkt gaat. Slecht nieuws voor de digitale dienstverleners die de verdediging laten lopen.

Wat gebeurt er bij een ransomware aanval?

Het doel van een ransomware aanval mag duidelijk zijn: geld aftroggelen. Hoe maakt zo’n ransomware partij jou nou duidelijk dat je beter wel kunt betalen? Hoe komt het dat je als bedrijf tot de conclusie dat je beter af bent met zo’n louche partij in zee te gaan? Laten we eens kijken naar hoe een ransomware aanval er doorgaans uitziet.

Fase 1: stilletjes binnendringen

Linksom of rechtsom weet een aanvaller binnen te komen. Of het nu een fishing, spear fishing, smishing, vishing of een andere creatieve aanval is, men probeert binnen te komen. Uiteindelijk lukt het een aanvaller om binnen te komen. In dat geval wordt een stukje software op een van de machines op het interne netwerk gezet en wordt het geactiveerd.

Fase 2a: verstevigen van de positie

Vanaf het moment dat men binnen is, is er meer bewegingsruimte om andere machines te infecteren. Andere openingen worden gevonden op het netwerk om alternatieve toegang te vinden om tegenmaatregelen te omzeilen. Informatie over systemen en data wordt geïdentificeerd en verzameld om een aanval gericht uit te kunnen voeren.

Fase 2b: versturen van belangrijke data

Nadat belangrijke data en systemen zijn geïdentificeerd wordt er gestart met het versturen van alle belangrijke data waar de indringer zijn handen aan kan krijgen. Dit is vaak snel een relatief stille activiteit. De dagelijkse operatie van het slachtoffer wordt nu zo min mogelijk beperkt. Enkel het verkeer naar buiten zal wat meer zijn dan normaal. De aanvallende partij wil nu nog niet gedetecteerd worden. Dit gaat zo door totdat alle data verstuurd is en ondertussen wordt de ransomware op de juiste systemen geplaatst, klaar om geactiveerd te worden.

Het plan van de aanvaller

Gedurende de voorgaande fases zal op afstand een specifiek plan worden bedacht en klaargezet om zoveel mogelijk druk op het slachtoffer te creëren. Bedenk dat het verkrijgen van toegang op administrator machines en administrator credentials een belangrijk doelwit zijn. Externe informatiebronnen over hoe het systeem is opgezet (bijvoorbeeld fysieke scheiding van netwerk die wellicht via een omweg toch te bereiken zijn) zullen worden gebruikt om de belangrijkste systemen en data te kunnen gijzelen. De organisaties die dit uitvoeren verdienen hier veel geld mee. Ze hebben vaak ervaring en bij organisaties waar wat te halen valt, loont het de moeite om dit plan goed uit te denken.

Fase 3: de, niet zo stille, activatie

Op het moment dat de meest gevoelige plekken zijn “vastgegrepen” worden de duimschroeven in korte tijd goed aangedraaid: het netwerk gaat haperen of gaat zelfs plat, systemen werken niet meer, alle gevoelige data worden nu zichtbaar encrypted weergegeven in applicaties en het belangrijkste: je dagelijkse operatie ligt op zijn gat . . .

Fase 4: het verzoek tot afbetaling

Ondertussen komen de vragen binnen. Vragen van medewerkers, klanten en investeerders. Ondanks dat je geen zin hebt dit probleem bespreekbaar te maken, zul je toch moeten handelen. Het informeren van belangrijke stakeholders zoals management, eigenaren en verzekeringen zal noodzakelijk zijn. Wat zeg je tegen die stakeholders? Het hulpmiddel van de gijzelnemers dat je meekrijgt: “Betaal ons het bedrag X en je kunt weer door met geld verdienen”. De verleiding is nu groot om toch over te gaan op betalen, zelfs voor de eigenaren van het bedrijf.

Fase 4b: nogmaals het verzoek tot betalen

In geval je operationele zaken weer op orde hebt, loop je nog steeds het gevaar om gechanteerd te worden. Zeker wanneer je hebt laten zien dat je gevoelig bent om te betalen zal men opnieuw proberen je te laten betalen om de gestolen data geheim te houden. Misschien niet zo urgent voor het dagelijkse werk, maar het is natuurlijk wel een lastig probleem voor gevoelige data.

Fase 5: De nasleep

Na een aanval is het belangrijk om lessen te trekken. Analyseer de werkwijze en zorg er in ieder geval voor dat dezelfde aanval niet nog een keer succesvol zal zijn. Op dit moment betekent dit voor veel bedrijven dat er toch meer begroot moet worden aan digitale verdediging. Je zult je moeten aanpassen om ervoor te zorgen dat in ieder geval niet dezelfde aanval opnieuw plaats vindt.

Waar moet je op letten bij software ontwikkeling?

Het is belangrijk om te realiseren is dat iedereen in de digitale toeleveringsketen en de eindgebruikers zich bewust moeten blijven van risico’s en begrijpen dat zij een verantwoordelijkheid dragen. 100% waterdichte systemen bestaan wellicht niet, maar we moeten het wel zo moeilijk mogelijk maken. Hieronder een aantal tips die kunnen helpen bij de digitale verdediging.

Dreigingsanalyse

Een gedegen dreigingsanalyse is van vitaal belang. De meeste ontwikkelaars weten dat OWASP enkele zeer goede aanwijzingen heeft over veelvoorkomende bedreigingen. Deze zullen waarschijnlijk ook op jouw situatie van toepassing zijn. Houdt je eigen software regelmatig tegen het licht van deze bedreigingen.

Thread modeling is een ander handig hulpmiddel om meer inzicht te krijgen in de bedreigingen voor jouw specifieke software en/of platform. Threat modeling helpt ook de beveiligingsonderwerpen met de juiste prioriteit op orde te krijgen.

De resultaten van deze analyse moeten worden opgenomen in je technische ontwerp, maar deze zijn ook al tijdens het ontwerp van de gebruikersinterface van belang. Ondanks dat een hoop ontwikkelaars bewust zijn van kwetsbaarheden in de productieomgeving, zijn er toch genoeg die verwachten dat de hosting partij zorgdraagt voor be beveiliging van een online product. Dit is een misvatting, de software zelf introduceert kwetsbaarheden en hosting partijen kunnen slechts tot een gedeelte van het systeem bewaken en mitigeren. Tenslotte is security by design een praktijk die niet altijd grondig genoeg wordt toegepast om aanvallen goed te voorkomen.

Het is verstandig om hier voldoende aandacht aan te besteden.

Backups

De klassieker is natuurlijk om backups te maken. Backups lokaal, backups op andere plekken, recente backups, wat oudere backups (voor het geval vijandige software al in de recente backups zitten) en vergeet niet regelmatig te testen of deze backups ook werkelijk werken. Dat laatste wordt regelmatig achterwege gelaten.

Software Bill of Materials

Zorg ervoor dat de Software Bill of Materials (SBOM) wordt opgemaakt en transparant wordt gecommuniceerd naar alle belanghebbenden. Gebruik analysetools zoals Snyk of Mend bolt om eventuele kwetsbaarheden van afhankelijkheden zichtbaar te maken. Mitigeer deze op de juiste manier en in de juiste prioriteit.

Neem verantwoordelijkheid

Controleer op risico’s voordat je implementeert. Doe peer reviews, zet penetratietests in en zet wellicht een vorm van bounty-programma op. Deze kunnen je helpen kwetsbaarheden aan te pakken en veerkrachtig te worden. Wees zo open mogelijk over incidenten. Richt je op het leren van fouten uit het verleden. Problemen onder de pet houden niet een onderdeel van het pad naar veilige software. Het helpt ook om incidenten van anderen te kijken en te leren. Zo kun je je ervaring uitbreiden.

Help je klant wanneer ze in nood zijn

Een andere vorm van verantwoordelijkheid dragen is je klant helpen bij ransomware aanvallen. De kans is groot dat ze je nodig hebben wanneer ze een aanval ondergaan. Op zo’n moment je klant helpen om acute problemen op te lossen zal de relatie met je klant sterk verbeteren. De inzichten die jij hiermee vergaart zullen je helpen de beveiliging van jouw product of dienst te verbeteren. Belangrijke tip: een eerste reactie van je klant kan lijken op een aanspraak op jouw rol bij de levering van je product en/of dienst, probeer hier doorheen te prikken door de focus op de huidige problematiek te richten en oplossingen aan te reiken naar je klant. Het is naderhand waarschijnlijk gemakkelijker om over deze onderwerpen te praten wanneer de zaken weer normaal draaien en het stof is gedaald. Onthoud hierbij: deze situaties zijn altijd een leerervaring voor iedere partij die erbij betrokken is, zowel voor jou als voor je klant.

Tips bij acute ransomware problemen

  1. Probeer vooral niet te betalen.
  2. Probeer met een tool als Crypto Sheriff je data te ontsleutelen en de malware te verdrijven. Hier zijn vaak oplossingen beschikbaar voor reeds bekende ransomware.
  3. Probeer een backup eerst in een afgeschermde omgeving te implementeren, de malware kan namelijk al in je backup zitten!
  4. Analyseer het netwerkverkeer, vooral verdacht verkeer naar buiten je eigen netwerk is waarschijnlijk relatief eenvoudig van je eigen verkeer te onderscheiden.
  5. Zorg ervoor dat je backup schoon is van de malware voordat je deze opnieuw implementeert, door bijvoorbeeld op een afgeschermde omgeving dit te verifiëren.
  6. Last but not least: Leer. Onderzoek werkwijzen en implementeer verdediging hiertegen voor jouw situatie. Neem maatregelen om op zijn minst dezelfde inbreuk te voorkomen. Probeer bij voorkeur ook de beveiligingsmaatregelen in de toeleveringsketen te verbeteren.