Hoe je jouw organisatie beschermt tegen Ransomware-as-a-Service

De impact van RaaS

Cybercriminelen maken steeds vaker gebruik van Ransomware-as-a-Service (RaaS), met alle gevolgen van dien. Maar wat houdt RaaS precies in? En waarom wordt het steeds populairder? In deze blog beantwoord ik deze vragen en geef ik tips hoe jij jouw organisatie en medewerkers hiertegen kunt beschermen.

Wat is Ransomware-as-a-Service?

Ransomware-as-a-Service is een model waarbij cybercriminelen kwaadaardige software, die gebruikt kan worden om ransomware aanvallen mee uit te voeren, verkopen aan andere criminelen. Deze criminelen kunnen vervolgens dus zelf ransomware aanvallen uitvoeren, zonder dat zij de benodigde technische kennis bezitten om deze complexe malware te programmeren. RaaS kan dus gezien worden als een criminele variatie op het SaaS-bedrijfsmodel (Software-as-a-Service). Door deze ontwikkeling wordt het uitvoeren van ransomware aanvallen dus steeds toegankelijker voor kwaadwillenden zonder technische achtergrond, aangezien je geen handige hacker meer hoeft te zijn om een organisatie (digitaal) aan te vallen. De RaaS-aanbieders zorgen bovendien vaak ook voor technische ondersteuning bij het verspreiden van de ransomware of voor de onderhandelingen met slachtoffers over bijvoorbeeld losgeld. Het enige dat de afnemers van RaaS dus hoeven te doen is doelwitten vinden om de ransomware bij uit te rollen, bijvoorbeeld door medewerkers van een organisatie phishingmails met de ransomware te sturen. In ruil voor hun diensten ontvangt de aanbieder een vast bedrag voor de afgenomen software en vaak ook een percentage van het verkregen losgeld. RaaS is dus een erg lucratief businessmodel voor cybercriminelen, wat de toegenomen populariteit verklaart.

Een voorbeeld van Ransomware-as-a-Service dat je moet kennen

De bekendste aanbieders op de RaaS-markt zijn Lockbit en CL0P, bij wie je via het dark web een dienst kunt afnemen om door middel van ransomware de data van een bedrijf te laten versleutelen. Vervolgens wordt er losgeld geëist voor het vrijgeven van deze gegevens. Een voorbeeld hiervan is de aanval in 2023 op bestand-uitwisselingssoftware MOVEit, die in Nederland vaak door makelaars wordt gebruikt bij de verkoop van huizen. Bij deze hack werd gebruik gemaakt van zero-day kwetsbaarheden (een beveiligingslek in software dat bij de ontwikkelaar nog onbekend is, waardoor er nog geen patch of oplossing beschikbaar is), waardoor honderden organisaties wereldwijd werden getroffen. Van onder anderen banken, ziekenhuizen en overheidsinstanties werden gevoelige gegevens gegijzeld. De aanvallers dreigden deze openbaar te maken als het losgeld niet werd betaald. Dit leidde tot langdurige verstoringen in bedrijfsprocessen en hoge kosten voor het herstel. Dit voorbeeld illustreert dat de impact van een RaaS-aanval enorm kan zijn. 

Het is daarom van cruciaal belang dat je medewerkers waarschuwingssignalen van een RaaS-aanval herkennen. Het op tijd signaleren en rapporten van een mogelijke aanval kan de impact op de organisatie beperken. Deze signalen zijn:

• Ongebruikelijke netwerkactiviteit
• Verhoogde CPU- en schijfgebruik
• Onbekende bestanden of processen
• Blokkering van beveiligingssoftware
• Pop-upberichten of losgeldnotities
  

Ook interessant: in onderstaande aflevering van de Oh, Behaav podcast vertelt onze gast Tim Janssen (Manager IT Operations) vrijuit hoe een ransomware aanval alle kernprocessen van het bedrijf waarvoor hij werkt in een klap stillegde, wat ervoor nodig was om de infrastructuur te herstellen en hoe je zo'n aanval in de toekomst zou kunnen voorkomen.

6 maatregelen die je organisatie beter beschermen tegen ransomware

Nu we weten wat RaaS is en hoe gemakkelijk het voor criminelen is om ransomware aanvallen uit te voeren, is het belangrijk om te weten welke preventieve maatregelen je kunt nemen om de kans op een succesvolle aanval te verkleinen en de impact hiervan te beperken. 

1. Gebruik multifactor authenticatie (MFA)
   MFA voegt een extra beveiligingslaag toe door naast een wachtwoord ook een tweede verificatiestap te vereisen. Dit maakt het voor aanvallers moeilijker om toegang te krijgen tot een account, zelfs als de aanvaller over het wachtwoord van het account beschikt. 
   
   
2. Houd software en systemen up to date
   Door systemen regelmatig te updaten dicht je bekende beveiligingslekken die criminelen vaak gebruiken om toegang te krijgen. Veel ransomware aanvallen maken gebruik van kwetsbaarheden in verouderde software. 
   
   
3. Implementeer detectie- en response systemen
   Detectie- en response systemen kunnen verdachte activiteiten identificeren en blokkeren. Deze systemen monitoren het netwerkverkeer en blokkeren verdachte activiteiten, waardoor ransomware kan worden onderschept voordat het schade kan aanrichten. 
   
   
4. Maak back-ups van data
   Het regelmatig maken van een back-up is essentieel om gegevens te herstellen zonder losgeld te betalen, mocht je toch getroffen worden door een RaaS-aanval.
   
   
5. Maak gebruik van een VPN en netwerksegmentatie
   Segmentatie van het netwerk en gebruik van een VPN zorgen ervoor dat zelfs wanneer een deel van het netwerk wordt gecompromitteerd, de ransomware niet makkelijk toegang krijgt tot andere delen in het netwerk. Dit beperkt de impact van een aanval en ondersteunt bij het beschermen van gevoelige data. 
   
   
6. Train medewerkers op cyberbewustzijn
   Phishing blijft een van de meest gebruikte methoden om een aanval te starten. Ook een ransomware aanval begint vaak met phishing. Door medewerkers te trainen in het herkennen van verdachte e-mails, links en bijlagen kun je de kans verkleinen dat ransomware zich door menselijk falen verspreidt. 
   
   

Wat je nog meer kunt doen

Naast alle preventieve technische maatregelen speelt bij het beschermen tegen ransomware aanvallen het trainen van de mens een cruciale rol. Vaak leunen we volledig op het IT-team, terwijl de meeste succesvolle aanvallen nog steeds beginnen met een menselijke fout (bijvoorbeeld het klikken op een schadelijke link of het openen van een geïnfecteerde bijlage). Ter afsluiting van dit blog wil ik daarom nog aandacht besteden aan een aantal tips hoe je medewerkers weerbaarder maakt tegen dit soort dreigingen.

1. (Nogmaals) Train de mens!
   Training en continuïteit in het security awareness programma verhoogt het cyberbewustzijn en helpt medewerkers om verdachte activiteiten vroegtijdig te herkennen en te voorkomen dat zij onbedoeld bijdragen aan een succesvolle aanval.
   
   
2. Creëer bewustwording rondom social engineering en phishing
   Social engineering is een manipulatietechniek die vaak wordt ingezet bij een ransomware aanval om toegang te krijgen tot gevoelige informatie. Phishing is een van de meest voorkomende hiervan en vaak de eerste stap in een aanval.
   
   
3. Veilig remote werken
   Leer medewerkers hoe ze veilig verbinding maken, door bijvoorbeeld alleen goedgekeurde devices en VPN-verbindingen te gebruiken. Zorg er ook voor dat medewerkers weten hoe zij sterke en unieke wachtwoorden maken. 
   
   
4. Rapporteren van incidenten
   Een duidelijke meldingsprocedure en training over hoe en wanneer mogelijke incidenten moeten worden gemeld zijn essentieel. Hoe sneller de detectie, hoe kleiner de impact. Dit kan verdere verspreiding voorkomen.
   
   
5. Systemen updaten
   Hoewel dit technisch gezien vaak een IT-verantwoordelijkheid is, is het van belang dat medewerkers begrijpen waarom updaten van systemen belangrijk is. Als zij begrijpen dat het uitstellen van updates hun apparaten kwetsbaar kan maken voor aanvallen, zullen zij mogelijk sneller updates doorvoeren. 
   

Het trainen van de mens in cyberveiligheid is een voortdurende taak die verder gaat dan een eenmalige training. Continuïteit in je security awareness programma doorvoeren is daarom cruciaal bij de weerbaarheid tegen cyberdreigingen.