Ransomware is de belangrijkste cyberdreiging waarmee organisaties tegenwoordig worden geconfronteerd. Maar onlangs hebben leiders van de National Security Agency en de FBI beide gaf aan dat aanvallen afnamen in de eerste helft van 2022. De combinatie van sancties tegen Rusland, waar veel cybercriminele bendes vandaan komen, en het crashen van cryptocurrency-markten kan een effect hebben gehad, waardoor het voor ransomware-bendes moeilijk is om geld op te halen en hun uitbetalingen te krijgen.
Maar we zijn nog niet uit het bos. Ondanks een tijdelijke dip, floreert ransomware niet alleen, maar evolueert het ook. Tegenwoordig is ransomware-as-a-service (RaaS) geëvolueerd van een gestandaardiseerd, geautomatiseerd model dat vertrouwt op voorverpakte exploitkits, tot een door mensen bediende, zeer gerichte en geavanceerde bedrijfsvoering. Reden voor bedrijven van elke omvang om zich zorgen te maken.
RaaS . worden
Het is algemeen bekend dat de hedendaagse cybercriminelen goed uitgerust, zeer gemotiveerd en zeer effectief zijn. Ze zijn niet per ongeluk zo gekomen, en ze zijn niet zo effectief gebleven zonder continu hun technologieën en methodologieën ontwikkelen. De motivatie van massaal financieel gewin is de enige constante geweest.
Vroege ransomware-aanvallen waren eenvoudige, technologiegedreven aanvallen. De aanvallen zorgden voor een verhoogde focus op back-up- en herstelmogelijkheden, waardoor kwaadwillenden op zoek gingen naar online back-ups en deze ook versleutelden tijdens een aanval. Het succes van de aanvaller leidde tot grotere losgelden, en de grotere losgeldeisen maakten het minder waarschijnlijk dat het slachtoffer zou betalen en waarschijnlijker dat wetshandhavers erbij betrokken zouden raken. Ransomware-bendes reageerden met afpersing. Ze gingen niet alleen over op het versleutelen van gegevens, maar ook op exfiltratie en dreigementen om de vaak gevoelige gegevens van de klanten of partners van het slachtoffer openbaar te maken, wat een complexer risico op merk- en reputatieschade met zich meebracht. Tegenwoordig is het niet ongebruikelijk dat ransomware-aanvallers de cyberverzekeringspolis van een slachtoffer opzoeken om het losgeld te helpen bepalen en het hele proces (inclusief betaling) zo efficiënt mogelijk te maken.
We hebben ook minder gedisciplineerde (maar even schadelijke) ransomware-aanvallen gezien. Als u er bijvoorbeeld voor kiest om op zijn beurt losgeld te betalen, wordt een slachtoffer ook geïdentificeerd als een betrouwbare kandidaat voor een toekomstige aanval, waardoor de kans groter wordt dat het opnieuw wordt getroffen, door dezelfde of een andere ransomwarebende. Onderzoek schat tussen 50% tot 80% (PDF) van organisaties die losgeld betaalden, kregen een herhaalde aanval.
Naarmate ransomware-aanvallen zijn geëvolueerd, zijn ook beveiligingstechnologieën geëvolueerd, vooral op het gebied van identificatie en blokkering van bedreigingen. Antiphishing, spamfilters, antivirus- en malwaredetectietechnologieën zijn allemaal verfijnd om moderne bedreigingen aan te pakken om de dreiging van een compromis via e-mail, kwaadaardige websites of andere populaire aanvalsvectoren te minimaliseren.
Dit spreekwoordelijke kat-en-muisspel tussen kwaadwillenden en beveiligingsproviders die betere verdedigingen en geavanceerde benaderingen bieden om ransomware-aanvallen te stoppen, heeft geleid tot meer samenwerking binnen wereldwijde cybercriminelen. Net zoals kluizenkrakers en alarmspecialisten die worden gebruikt bij traditionele overvallen, zijn experts in de ontwikkeling van malware, netwerktoegang en exploitatie de drijvende kracht achter de huidige aanvallen en voorwaarden geschapen voor de volgende evolutie in ransomware.
Het RaaS-model van vandaag
RaaS is geëvolueerd tot een geavanceerde, door mensen geleide operatie met een complex bedrijfsmodel met winstdeling. Een RaaS-operator die in het verleden misschien zelfstandig werkte, contracteert nu met specialisten om de kans op succes te vergroten.
Een RaaS-operator — die specifieke ransomware-tools onderhoudt, met het slachtoffer communiceert en betalingen beveiligt — zal nu vaak samenwerken met een hacker op hoog niveau, die de inbraak zelf zal uitvoeren. Het hebben van een interactieve aanvaller in de doelomgeving maakt live besluitvorming tijdens de aanval mogelijk. Door samen te werken, identificeren ze specifieke zwakheden binnen het netwerk, escaleren ze privileges en versleutelen ze de meest gevoelige gegevens om uitbetalingen te garanderen. Daarnaast voeren ze verkenningen uit om online back-ups te vinden en te verwijderen en beveiligingstooling uit te schakelen. De gecontracteerde hacker werkt vaak samen met een toegangsmakelaar, die verantwoordelijk is voor het verlenen van toegang tot het netwerk via gestolen inloggegevens of reeds bestaande persistentiemechanismen.
De aanvallen die het resultaat zijn van deze samenwerking van expertise hebben het gevoel en het uiterlijk van 'ouderwetse', door de staat gesponsorde geavanceerde aanvallen in de vorm van een dreiging, maar komen veel vaker voor.
Hoe organisaties zichzelf kunnen verdedigen
Het nieuwe, door mensen bediende RaaS-model is veel geavanceerder, doelgerichter en destructiever dan de RaaS-modellen uit het verleden, maar er zijn nog steeds best practices die organisaties kunnen volgen om zichzelf te verdedigen.
Organisaties moeten gedisciplineerd zijn over hun veiligheidshygiëne. IT verandert voortdurend en elke keer dat een nieuw eindpunt wordt toegevoegd of een systeem wordt bijgewerkt, kan dit een nieuwe kwetsbaarheid of een nieuw risico introduceren. Beveiligingsteams moeten gefocust blijven op best practices op het gebied van beveiliging: patchen, multifactorauthenticatie gebruiken, sterke referenties afdwingen, het Dark Web scannen op gecompromitteerde inloggegevens, werknemers trainen hoe ze phishing-pogingen kunnen herkennen, en meer. Deze best practices helpen het aanvalsoppervlak te verkleinen en het risico te minimaliseren dat een toegangsmakelaar een kwetsbaarheid kan misbruiken om toegang te krijgen. Bovendien, hoe sterker de veiligheidshygiëne een organisatie heeft, hoe minder "ruis" er zal zijn voor analisten om door te sorteren in het Security Operations Center (SOC), waardoor ze zich kunnen concentreren op de echte dreiging wanneer er een wordt geïdentificeerd.
Naast best practices op het gebied van beveiliging, moeten organisaties er ook voor zorgen dat ze beschikken over geavanceerde detectie- en reactiemogelijkheden voor bedreigingen. Omdat toegangsmakelaars tijd besteden aan het uitvoeren van verkenningen in de infrastructuur van de organisatie, hebben beveiligingsanalisten de mogelijkheid om ze te herkennen en de aanval in een vroeg stadium te stoppen, maar alleen als ze over de juiste tools beschikken. Organisaties moeten kijken naar uitgebreide detectie- en responsoplossingen die telemetrie van beveiligingsgebeurtenissen op hun eindpunten, netwerken, servers, e-mail- en cloudsystemen en applicaties kunnen detecteren en kruiscorreleren. Ze hebben ook de mogelijkheid nodig om overal te reageren waar de aanval wordt geïdentificeerd om deze snel af te sluiten. Grote ondernemingen hebben deze mogelijkheden wellicht ingebouwd in hun SOC, terwijl middelgrote organisaties wellicht het beheerde detectie- en responsmodel voor 24/7 monitoring en respons op bedreigingen willen overwegen.
Ondanks de recente afname van ransomware-aanvallen, mogen beveiligingsprofessionals niet verwachten dat de dreiging snel zal verdwijnen. RaaS zal blijven evolueren, waarbij de nieuwste aanpassingen zijn vervangen door nieuwe benaderingen als reactie op innovaties op het gebied van cyberbeveiliging. Maar met een focus op best practices op het gebied van beveiliging in combinatie met belangrijke technologieën voor het voorkomen, detecteren en reageren van bedreigingen, zullen organisaties weerbaarder worden tegen aanvallen.
