Blog banner ransomware

De kritische rol van de mens in de strijd tegen ransomware

Een enkele muisklik kan een heel bedrijf stilleggen. Dit artikel gaat in op de kritische rol van de mens in de strijd tegen ransomware.

Samengevat:

75% van alle organisaties krijgt vóór 2025 met een ransomware aanval te maken.
54% van de getroffen Nederlandse bedrijven werd dubbel afgeperst
Gemiddeld betalen Nederlandse bedrijven € 96.000 losgeld (Mimecast, 11/2021)
Recente voorbeelden (2021) zijn Q-Park, VDL, Mediamarkt en Ikea.

Inleiding

Ransomware aanvallen nemen toe in aantallen en kwaliteit. Vanwege de hoge succesratio bereiden meer en meer aanvalsgroeperingen hun aanvallen manueel voor. Hoe meer aandacht er aan een aanval wordt besteed, des te beter deze zal zijn. Volgens Gartner zal  minimaal 3 op de 4 organisaties voor 2025 minimaal met een of meerdere ransomware aanvallen te maken gaat krijgen, dat betekent dat het niet alleen de Mediamarkt, VDL of Q-Park het kan overkomen, maar ons allemaal. Dit artikel is bedoeld om meer context rondom een ransomware aanval te geven en hoe organisaties zich weerbaarder kunnen maken tegen ransomware.

Wat is ransomware?

Ransomware is kwaadaardige software die digitale informatie versleuteld met als doel deze te gijzelen. Omdat organisaties op deze manier geen toegang meer hebben tot de informatie die hun bedrijfsvoering mogelijk maakt, wordt in de meeste gevallen losgeld gevraagd om beschikking te krijgen over de sleutel die de data weer leesbaar maakt.

Er bestaan twee soorten ransomware: een ‘locker’ en een ‘crypter’. Een locker vergrendelt het scherm van een systeem, terwijl een ‘crypter’ de bestanden van het systeem versleutelt.

Hoe vindt de besmetting plaats?

Veel organisaties denken nog steeds dat zij niet interessant genoeg zijn voor cybercriminelen. Deze onderschatting is koren op de molen voor hackers. Of je nu een distributeur, voedselproducent, onderzoeker, bank of ziekenhuis bent, elke organisatie heeft kritische processen die afhankelijk zijn van IT en informatie. En dat is precies waar criminelen het op hebben gemunt.

Maar hoe krijgen ze die versleuteling van informatie voor elkaar? Hieronder, de top 5 manieren waarop bedrijven geïnfecteerd raken met ransomware:

Phishing
Onveilige code in (web)-applicaties
Misbruik van kwetsbaarheden in systemen
Bezoeken van onveilige websites
(USB) drive-by

Hoe groot is het probleem?

Een kwantitatieve analyse:

In de afgelopen 18 maanden is het aantal ransomware samples volgens Google opgelopen tot 80 miljoen.
Bij Virustotal worden dagelijks 150.000 ransomware samples gescand. Samples zijn pakketjes of delen van code die bijvoorbeeld ransomware bevatten.
Gartner stelt dat voor 2025, meer dan 75% van alle bedrijven met Ransomware te maken krijgt.
In Nederland is 32% van de geregistreerde bedrijven slachtoffer geweest van Ransomware. (bron: Statista.com).
Gartner stelt dat vanaf 2025 de ransomware industrie naar verwachting 7 miljard Euro waard is.
De opgetelde schade en nevenschade kan oplopen tot 15x de gevraagde losgeldsom om de systemen te ontsleutelen. Denk hierbij aan reputatieschade, verlies van klanten, onderzoekskosten en herstelkosten.
Op 6 oktober is er een ‘Kamerbrief’ opgesteld aan de tweede kamer met de titel: “Tegenmaatregelen ransomware aanvallen.” Waarin vooral ook gepleit wordt voor Europese Samenwerking en (verplichte) basismaatregelen.

Een kwalitatieve analyse::

De toepassing van AI (Artificial Intelligence) in ransomware aanvallen. AI technologie maakt aanvallen nog geavanceerder en het wordt steeds moeilijker om fictie en non-fictie te onderscheiden
Er is een toename van het aantal ransomware aanvallen die geïnitieerd worden door mensen in plaats van software. De kwaliteit en daarmee doeltreffendheid van aanvallen neemt hierdoor toe. Mensen zijn nu eenmaal nog steeds beter is staat om menselijke ‘finesses’ aan te brengen die geloofwaardigheid van berichten vergroot.
Ransomware as a service is niet nieuw, maar wordt wel steeds professioneler. Complete hackers-groeperingen hebben zich hierop toegerust als primaire inkomstenbron.

We kunnen stellen dat het probleem dus groot is en daarmee dus niet meer weg te denken is uit een goede informatiebeveiligingsstrategie.

Hoe kunnen organisaties zich wapenen?

Ga bij het opstellen van een security strategie altijd uit van het feit dat je reeds gehackt bent. Hoewel veel aanbieders het hun doelgroep doen geloven, één wondermiddel bestaat er NIET. Zorg voor een uitgebalanceerd plan. Dit betekent dat je als allereerste moet weten wat je in huis hebt op technisch vlak, maar evenzo belangrijk op vlak van processen en mensen. We spreken in ons vak over de zogenaamde ‘Defense Lifecycle’ die we continue moeten bewaken en daarin belangrijke vragen dienen te beantwoorden. We zetten hieronder een greep uit de vragen per fase uiteen.

Preparation (voorbereiding)

De onderstaande vragen worden in deze fase beantwoord.

Is mijn organisatie klaar voor grootschalige cyber incidenten?
Wat is het plan bij een succesvolle ransomware aanval? (bijv.: Betalen we losgeld?
Kent iedereen zijn rol en verantwoordelijkheden?
Zijn al mijn (kritische) assets bekend en is eigenaarschap toegekend?
Hoe zijn back-ups geregeld? (Bijv. online versus offline)
Is er een recovery plan en wordt deze regelmatig op een goede werking getest?

Prevention (voorkomen)

Het voorkomen van een succesvolle aanval is misschien wel het moeilijkste dat er is, maar het kan wel. Zeker wanneer mensen, processen en de technologie afgestemd op elkaar te werk gaat.

Zijn mijn medewerkers in staat om risicovolle situaties zowel online als offline te herkennen?
Zijn de tools en processen goed ingericht om meldingen van dergelijke situaties soepel te laten verlopen?
Simuleren we de werking van onze processen met behulp van penetratietesten en social engineering simulaties?
Hoe is de ‘security hygiëne’? De basis op orde is het minimale devies. Denk hierbij aan betrouwbaar asset management, een goed werkend (risk-based) vulnerability management proces en een strakke organisatie en administratie van de toegangsrechten en authenticatiemechanismen en tot slot de netwerksegmentatie.

Detection (detectie)

Het doel van detectiemechanismen moet altijd zijn het detecteren in zo vroeg mogelijk stadium van een succesvolle aanval. Maar laat er geen misverstand over bestaan dat het selecteren van de juiste oplossingen hiervoor een complexe zaak is. De Volgende vragen zijn minimaal van belang:

Beschikken we over alle relevante telemetrie om de juiste detecties te doen (Denk aan EDR, MDR, IPS en Firewall data)?
Zijn we in staat om IOC (indicators of compromise) te herkennen en te beoordelen?
Hebben we een SOC (intern of extern) met de juiste knowhow en skillsets tot onze beschikking?
Zijn mijn medewerkers in staat om afwijkingen te herkennen (denk hierbij aan de herkenning van risicovolle situaties onder de kop prevention).

Mitigation (onschadelijk maken)

Het volledig wegnemen, dus 100% garantie op 0% succesvolle aanvallen is een utopie. Wel is het zaak om er binnen jouw risicoprofiel alles aan te doen om het te voorkomen en de kans te minimaliseren tot een acceptabel niveau. Hier komt alles samen en dienen we onszelf twee vragen te stellen:

Hebben we voldoende maatregelen over de assen mens, proces en technologie ingeregeld om er alles aan te doen om infecties te voorkomen.
Hoe snel zijn we in staat om te reageren na een succesvolle aanval? Denk isoleren, analyseren en mitigeren waarbij alles een andere oplossing behoeft in de vorm van mensen, processen en technieken.

Maken mensen het verschil?

Uiteindelijk blijft het een samenspel van de vaste drie-eenheid, namelijk: Mens, proces en Technologie. In onze visie is de mens echter de sleutel naar effectiviteit van de overige dimensies waarin maatregelen worden genomen. Sterker nog, wanneer men alleen vertrouwt op technologie verlaagt dit de weerbaarheid en wanneer organisaties haar eigen processen niet blind kan vertrouwen nemen de kansen op negatieve business impact elke seconde toe.

Technologie

Technologie kan niet bestaan zonder de mens. Mensen creëren, implementeren en beheren technologie. Hierin kunnen fouten worden gemaakt en precies van deze fouten maken hackers misbruik. De beste Vulnerability Management oplossing zal niet werken als de mensen eromheen het proces niet volgen, waardoor de patches niet worden uitgerold.

In elk aspect van de organisatie waar mensen en technologie samenwerken is training cruciaal om te zorgen dat die technologie optimaal gebruikt wordt en zodoende zijn mitigerende werking behoudt.

Processen

Mensen bedenken de processen en volgen de processen (als het goed is). Het klopt dat steeds meer processen geautomatiseerd worden, maar feit blijft dat als de mens ergens in dat proces niet doet wat er verwacht wordt in specifieke situaties, dat het proces zijn effectiviteit gaat missen.

Het trainen van medewerkers op het juist en tijdig volgen van processen kunnen het verschil maken bij een ransomware uitbraak. Immers hoe sneller je kunt reageren hoe kleiner de schade zal zijn.

De Mens

Uiteindelijk zal de mens dus een sleutelrol vervullen als het gaat om de effectieve werking van de beschikbare technologie en processen. Het gedrag dat we daarin vertonen is echter alles bepalend. We hebben als security community een zeer belangrijke taak te vervullen op dit vlak. Daarbij is het hebben van de juiste kennis en expertise over de beschikbare processen en technologie al lang niet meer voldoende. Kennis is niets meer dan een randvoorwaarde voor ons gedrag. Daarnaast moeten we als organisaties onze medewerkers goed faciliteren, met andere woorden maak het de medewerkers zo eenvoudig mogelijk om bepaald gedrag te vertonen.

Hoe je de drempels voor gewenst gedrag kunt verlagen en daarmee gewenst veilig gedrag behandelen we in dit artikel.

Kortom

Ransomware is een fenomeen dat niet weg te denken is uit het digitale tijdperk. Het is een verdienmodel en een kostenpost tegelijkertijd. Onlangs verscheen er in de Volkskrant een mooi artikel waarin de hackersgroepring ‘LockBIT’ verantwoordelijk is voor 1 op de 3 ransomware aanvallen in de wereld en daarmee jaarlijks miljoenen buit maakt.

Wees niet naïef en begin zo snel mogelijk met het opstellen van de volgende hypothese voor jouw organisatie: “Alle kritische bedrijfsprocessen zijn platgelegd door een ransomware aanval”.

Kortom, bereid je voor alsof je al gehacked bent!