Management

Dit is een bijdrage van Ivanti
Security
aidan-bartos-v9rZ3Yz6fSg-unsplash

Is ransomware aan de winnende hand?

Bestrijd de volgende generatie ransomware  

19 oktober 2020
Door: Ivanti , partner

Bestrijd de volgende generatie ransomware  

Veel mensen vragen zich tegenwoordig af: is ransomware aan de winnende hand? Deze vraag is zeker gerechtvaardigd. Hoewel deze vorm van malware een aantal jaar geleden leek af te nemen, is ransomware sindsdien door een groep met de naam SamSam getransformeerd en op grote schaal nieuw leven ingeblazen.

Vandaag de dag is het gemiddelde betaalde losgeld gestegen naar honderdduizenden euro's en kijkt niemand meer op van bedragen van zeven of acht cijfers. Daarnaast krijgen we nu te maken met geavanceerde aanvallen die uit drie fasen bestaat en meer op een APT lijkt in plaats van op traditionele ransomware.

Newcastle University is het laatste slachtoffer van een reeks ransomwareaanvallen op instellingen voor het hoger onderwijs. Nu alle onderwijsinstellingen weer aan een nieuw studiejaar zijn begonnen, zal het aantal aanvallen in deze sector alleen maar verder toenemen. Waarom? Omdat ransomware het meest effectief is wanneer de aanvaller veel schade kan veroorzaken en een gevoel van urgentie teweeg kan brengen. Het feit dat veel scholen en universiteiten zijn overgestapt op afstands- of hybride onderwijs, draagt bij aan de schade en urgentie die deze aanvallen met zich meebrengen. Als digitale verstoringen onder normale omstandigheden al frustrerend zijn, zijn ze catastrofaal in tijden van afstandsonderwijs. Bovendien richten de volgende generatie ransomwareaanvallen zich op zowel gegevensexfiltratie als de versleuteling van systemen, waardoor bedreigingsactoren over meerdere pressiemiddelen beschikken om hun slachtoffers over te halen. Hoe kan de onderwijssector zich tegen deze verbeterde en vernieuwde ransomwareaanvallen verdedigen? Laten we dit stap voor stap bekijken.
 

  1. In de infiltratiefase vindt de aanvaller een manier om systemen te infecteren om zo voet aan de grond te krijgen in de doelomgeving. De populairste methoden zijn phishing, het uitbuiten van kwetsbaarheden en beveiligingsaanvallen, zoals het compromitteren van inloggegevens en binnendringen via RDP (extern bureaublad). Zodra de aanvaller de infrastructuur is binnengedrongen, begint de verkenningsfase, waarin hij of zij zich over veel systemen verspreidt om gevoelige gegevens en kritieke systemen te identificeren. In deze fase is een goede cyberbeveiliging de meest effectieve verdediging. Beveiligingsteams moeten hun beveiligings- en patchbeheer verbeteren om de kwetsbaarheid voor aanvallen te verkleinen, hun toepassingsbeheer verfijnen om niet-vertrouwde software te blokkeren en hun bevoegdhedenbeheer en 2FA/MFA perfectioneren om de kans te verkleinen dat de bedreigingsactor zich als een gebruiker voordoet.
     
  2. In de volgende fase - gegevensexfiltratie - verzamelt de bedreigingsactor gevoelige gegevens om deze langzaam en methodisch te exfiltreren, vaak met behulp van onverdachte accounts en tools die op het netwerk te zien zijn, waardoor ze vaak allerlei beschermingsmaatregelen weten te omzeilen. Naast een goede cyberbeveiliging, kunnen mogelijkheden zoals eindpuntdetectie en -respons (EDR) hulpmiddelen bieden om actieve bedreigingen in de omgeving op te sporen. Het probleem is echter dat de meeste bedrijven die EDR implementeren, onvoldoende middelen of vaardigheden hebben om effectief actieve bedreigingen te traceren. De mogelijkheden van Zero Trust en Data Loss Prevention kunnen daarom op dit niveau ook nuttig zijn.
     
  3. De meeste organisaties realiseren zich pas dat ze worden aangevallen in de derde fase, wanneer hun infrastructuur op grote schaal wordt versleuteld. Om dit tegen te gaan, zijn back-ups en gegevensherstel van cruciaal belang. Dat is voor bedrijven de enige manier om snel weer aan de slag te gaan wanneer er een gedeeltelijke of volledige versleuteling van gegevens plaatsvindt. Instellingen moeten er min of meer van uitgaan dat ze met ransomware in aanraking zullen komen en om deze reden hun kritieke gegevensopslag bewaken, zodat eventuele ransomwareaanvallen snel worden gedetecteerd en geïsoleerd. Door deze meer gerichte aanpak te hanteren, kunnen organisaties een heleboel ruis buitensluiten en snel en effectief reageren om fase drie te blokkeren.

Het betalen van losgeld wordt altijd afgeraden en is overbodig, mits bedrijven over de juiste praktijken en protocollen beschikken. Het US Office of Foreign Assets Control (OFAC) bracht onlangs een advies uit waarin staat dat elk bedrijf dat het slachtoffer is van een ransomwareaanval, contact moet opnemen met de juiste wetshandhavingsinstanties en zich aan economische sancties en federale richtlijnen moet houden. Veel groepen cybercriminelen worden gesteund door een nationale staat, waardoor u mogelijk de OFAC-richtlijnen schendt wanneer u ze betaalt. Betalen moedigt dus niet alleen verdere aanvallen aan, maar kan bedrijven ook blootstellen aan juridische gevolgen en mogelijke boetes. 

Dus: is ransomware aan de winnende hand? Vooralsnog wel, maar we kunnen op deze veranderende dreiging reageren door deze met effectievere beveiligingsstrategieën te bestrijden.

Door Chris Goettl

 

Reactie toevoegen