Steeds vaker hoor je over organisaties die geraakt zijn door een ransomware aanval waarbij er gekozen is om de afpersers te betalen om de aanval te laten stoppen en de systemen en data weer vrij te geven. Waarom zou een organisatie dat doen als de back-ups op orde zijn en er een disaster recovery plan is wat gevolgd kan worden om alle systemen en data weer operationeel te krijgen?
De belangrijkste reden hiervoor is dat de ransomware aanvallen de laatste tijd steeds geraffineerder worden en in tegenstelling tot eerdere grootschalige aanvallen (denk bijvoorbeeld aan WannaCry in 2017) niet langer volledig geautomatiseerd zijn, maar door mensen worden gestuurd. Dit houdt in dat er tegenwoordig vaak, nadat aanvallers zich toegang hebben verschaft, eerst onderzoek wordt uitgevoerd in de data en op de systemen van de organisatie voordat er wordt overgegaan tot het uitbuiten van de toegang en het versleutelen van data. Dit leidt tot een aantal specifieke risico’s.
Met inzicht in de systemen kunnen zowel de operationele data en systemen als back-ups versleuteld worden. Het is belangrijk tenminste één kopie van de back-ups te hebben die ‘statisch’ is, die dus niet door ransomware veranderd of versleuteld kan worden. Dit is te realiseren door te werken met specialistische immutable storage oplossingen of door back-ups offline en ‘air-gapped’ op te slaan.
Doordat aanvallers eerst de data van de organisatie doorzoeken voor er overgegaan wordt tot versleuteling kan het gevraagde losgeld zodanig vastgesteld worden dat de kosten van herstel hoger zijn dan het losgeld. Economisch gezien een simpele keuze, maar wel één waarbij het business model van de cybercriminelen in stand gehouden wordt.
Daarnaast hebben vrijwel alle organisaties informatie die beschermd moet blijven: financiële data van en over het bedrijf, concurrentiegevoelige informatie, maar ook persoonsgegevens van klanten en personeel waar onder de AVG strenge plichten voor gelden met betrekking tot bescherming en het voorkomen dat deze gegevens onterecht in de handen van derden terechtkomen.
Tijdens deze fase van de aanval wordt dit soort data vaak ge-exfiltreerd en wordt na versleuteling van de data dubbele druk gezet om het losgeld te betalen. Het is niet alleen om de versleutelde data weer vrij te krijgen, maar er wordt ook gedreigd dat bij het uitblijven van betaling de gestolen data openbaar gemaakt zal worden. Wat weer tot extra schade voor de organisatie kan leiden. Hierdoor kan het zijn dat er toch gekozen wordt om het losgeld te betalen, terwijl er wel degelijk back-ups beschikbaar zijn om de systemen weer werkend te krijgen.
De vergelijking valt te maken met de inbreker die met zijn gereedschap rondloopt en op zoek is naar een geschikt doelwit, die gaat eerder op een deur of raam af die op een kier staat of waarvan bekend is dat het gereedschap werkt op het slot dat gekraakt moet worden. Het makkelijkste doelwit wordt als eerste gepakt.
Daarom is het zaak om het aanvallers zo moeilijk mogelijk te maken, zodat een aanval voor hen een te grote tijdsinvestering wordt. Dus náást het op orde hebben van de back-ups, train je medewerkers zodat er via spoofing en phishing mails geen aanvallers binnen kunnen komen. Zorg voor toezicht op je netwerk om te zien of er onbekende processen actief zijn die data versturen of ontvangen. Verzorg de administratie van de software en apparatuur die je gebruikt en houdt alles up to date. Verouderde software en apparatuur hebben vaak bekende lekken en de gereedschapskist van de aanvaller heeft precies de juiste programma’s om die te misbruiken.
Til je organisatie naar een hoger niveau door de consultants van Cyber7 een assessment uit te laten voeren en te helpen met de implementatie van de processen, tools en training om ervoor te zorgen dat de criminelen aan uw deur voorbijgaan en een ander doelwit zoeken.
Neem contact met ons op of lees meer Cyber7 blogs.
Fout: Contact formulier niet gevonden.