Beheer

Security
NCSC

'Nederlandse bedrijven betalen miljoenen in ransomwaregolf'

Ransomwaregolf met 0-days levert afpersers veel geld op, ook in Nederland.

28 november 2019

Ransomwaregolf met 0-days levert afpersers veel geld op, ook in Nederland.

Een reeks internationale aanvallen met geavanceerde ransomware heeft cybercriminelen miljoenen euro's opgeleverd. Het gaat om minstens 1800 bedrijven die getroffen zijn, waarvan een klein deel in Nederland zit. Dit blijkt uit een uitgelekt rapport van het Nederlandse ICT-securityorgaan NCSC. De afpersers hebben het gemunt op grote bedrijven in de chemie, bouw en industrie, maar ook op ziekenhuizen en winkelketens.

In Nederland zijn zowel Nederlandse bedrijven geraakt als ook lokale takken van multinationals, weet de NOS te melden uit het vertrouwelijke rapport van de NCSC (Nationaal Cyber Security Centrum). Die instantie van het ministerie van Justitie en Veiligheid heeft onderzoek naar ransomware uitgevoerd naar aanleiding van aanvallen met dat type malware in het buitenland. De campagne met zeker 1800 slachtoffers wereldwijd is ogenschijnlijk in juli vorig jaar al begonnen.

Lucratieve cybercrime

Ransomware kan flinke impact hebben en bedrijven lamleggen, flinke kosten voor nood- en herstelwerk opleveren, én eventueel nog hoge losgeldbetalingen opleveren. Dat laatste is dus alleen in geval een getroffen organisatie besluit om de digitale afpersers te betalen. Vanuit politie en Justitie wordt dit officieel afgeraden, omdat dit het verdienmodel van de criminelen als het ware valideert. In het geval van deze aanvalsgolf heeft een onbekend aantal bedrijven wèl betaald. Daarbij zijn miljoenen euro's betaald, ook in Nederland, schrijft de NOS.

In sommige gevallen heeft het NCSC een geïnfecteerde organisatie tijdig kunnen informeren, waardoor die kon ingrijpen voordat de versleuteling van data is ingezet. In andere gevallen was de ransomware al geactiveerd. De verschillende stappen van inbreken op netwerken en systemen, het plaatsen van malware en het activeren van ransomware worden zorgvuldig gezet. Soms zaten de aanvallers al maanden binnen bij organisaties, die uiteindelijk zijn afgeperst.

Diensteneconomie

Het NCSC uit in het vertrouwelijke rapport het vermoeden dat het bij deze aanvallen niet puur om één groep daders gaat. De initiële inbraak zou door een criminele bende worden gedaan waarna dan toegang tot de gecompromitteerde omgeving te koop wordt aangeboden aan andere cybercriminelen. De digitale onderwereld kent zo een economie compleet met dienstverleners, onderaannemers, uitvoerders, enzovoorts.

Soms zijn de kopers van toegang dan afpersers, die ransomware inzetten. Soms zijn de kopers datadieven, die informatie stelen. Hiermee komt spionage in beeld, voor bedrijfsdoeleinden of zelfs voor landsbelangen. Bij sommige van de 1800 gevallen, met daaronder een relatief klein deel Nederlandse bedrijven, is veel data weggesluisd. Ook sabotage behoort tot de mogelijkheden, net zoals gecombineerd gebruik (zoals datadiefstal plus afpersing) of zelfs vormen van misbruik door opeenvolgende criminele klanten van de initiële inbrekers.

De overkill van 0-days

Het is onbekend wie er achter de aanvallen zit. Het NCSC uit in het uitgelekte rapport het vermoeden dat Russische criminele groepen verantwoordelijk zijn, maar dat vermoeden wordt gerelativeerd met de opmerking dat het inzicht in die groepen beperkt is. Het is echter waarschijnlijk dat de daders hun ransomwarewerk zullen voortzetten, omdat het een winstgevende activiteit lijkt te zijn gezien de uitbetalingen van miljoenen euro's.

Het NCSC meent dat de daders voorzien zijn van 0-day kwetsbaarheden; gaten in ICT-systemen waarvoor nog geen patches beschikbaar zijn. NOS-verslaggever Joost Schellevis tweet dat er sprake lijkt te zijn van zes of zeven 0-days in bezit van de aanvallers. Cybersecurity-expert Frank Groenewegen van Fox-IT vertelt hem dat dit aangeeft dat het hier om een professionele criminele organisatie gaat. Groenewegen voegt daar aan toe dat dergelijk zwaar geschut in veel gevallen niet echt nodig is om bij organisaties in te breken en datadiefstal of datagijzeling te plegen. "Omdat de beveiliging van veel bedrijven zo slecht is."

Laksheid en blindheid

Recent is bijvoorbeeld al gebleken dat veel bedrijven en overheidsinstanties flinke tijd kwetsbaar waren doordat ze patches voor gaten in VPN-diensten niet hadden geïnstalleerd. Terwijl de patches al maanden beschikbaar waren en het NCSC hiervoor ook waarschuwingen had afgegeven. Onder meer het ministerie van Justitie was laks met het aanpakken hiervan. Bovendien is alleen patchen niet afdoende, waarschuwt de Amerikaanse inlichtingendienst NSA.

Naast VPN-gaten is er sprake van diverse andere kwetsbaarheden, zoals eerder dit jaar het gapende gat in Windows' RDP (Remote Desktop Protocol) en ook het al twee jaar oude SMB-lek wat door de gestolen NSA-malware Eternal Blue valt te misbruiken. In al die gevallen is er géén sprake van 0-days maar van niet - of niet goed - toegepaste patches voor bekende gaten. Dit vanwege complexiteit van ICT-omgevingen, vrees voor bijwerkingen van patches, maar ook door domweg gebrek aan inzicht in ICT-omgevingen. Een brede kwetsbaarhedenscan kan hierbij helpen.

Lees meer over Beheer OP AG Intelligence
1
Reacties
Bop 05 december 2019 16:44

'Betaalden', zeg maar.

Tegenwoordig lijkt de verleden wel te duur, illegaal, te moeilijk, of teveel moeite.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.