Voor de coronacrisis was ransomware al een ernstige bedreiging voor organisaties. De afgelopen maanden is dat alleen maar toegenomen door de vele thuiswerkende collega’s, die vaak met persoonlijke IT-hardware werken. De IT-zichtbaarheid en -controle nemen hierdoor af, en de beveiligingsrisico’s nemen toe. Het effectief bestrijden van ransomware is helaas lastig en vereist meer dan de geijkte oplossingen, zeker onder deze uitzonderlijke omstandigheden.
Ransomware-incidenten vinden steeds frequenter plaats en zijn bovendien veel lucratiever voor degenen die ze uitvoeren. Hackers richtten zich voorheen met name op willekeurige slachtoffers op het web richtten en maakten ze relatief kleine bedragen afhandig. Door heel gericht specifieke organisaties aan te vallen, kunnen ze echter veel meer losgeld eisen en daarmee de Return on Investment (ROI) van hun activiteiten verhogen.
Hoe groot de impact van een gerichte ransomware-aanval kan zijn, blijkt uit de aanval op Norsk Hydro, een internationale aluminiumfabrikant. Dit bedrijf werd besmet met de LockerGoga-ransomware, dat 22.000 servers en pc’s op 170 locaties in 40 landen onbruikbaar maakte. Het bedrijf koos voor de juiste aanpak: het betaalde geen losgeld, communiceerde transparant en schakelde een cybersecurity-team in om de problemen op te lossen, maar leed uiteindelijk toch meer dan 60 miljoen euro schade. De aanval bleek drie maanden eerder gestart met een phishing e-mail, die afkomstig leek te zijn van een klant, en door een nietsvermoedende werknemer werd geopend. Vervolgens konden de hackers de IT-infrastructuur van het bedrijf binnendringen en het ransomware loslaten.
Nu zijn er talloze manieren waarop een organisatie besmet kan raken met ransomware. Denk aan e-mail-, sms- en , Whatsapp-berichten, maar ook allerlei Office-documenten en pdf’s. Hier effectief tegen optreden lijkt onmogelijk, zeker als je ook nog met veel van afstand werkend personeel te maken hebt. Toch kun je wel degelijk grote stappen zetten richting een robuuste verdediging door middel van een gelaagde security-aanpak. Het gebruik van bestaande controle-frameworks zoals de Critical Security Controls (CIS) is daar een belangrijk onderdeel van, maar moet hand in hand gaan met training voor het personeel.
1. Kwetsbaarheden patchen
Een gelaagde security-strategie begint met het op de juiste manier van patchen van je systemen. Bij veel organisaties is dat helaas nog steeds een ingewikkeld en tijdrovend proces. De oplossing is om hun patchmanagementprocessen te automatiseren, wat beveiligingsteams in staat stelt snel bekende kwetsbaarheden op te sporen en de juiste patches op de kwetsbare systemen te installeren. Automatisering vereenvoudigt en versnelt het patchproces, en maakt het bovendien schaalbaar. Ook patch-auditing wordt veel eenvoudiger door deze strategie. Patches worden betrouwbaar en effectief uitgerold door automatisering, en het voorziet auditors direct van de vereiste zichtbaarheid.
2. Controle verbeteren
Het patchproces verbeteren, is een goed begin. Toch is een optimale bescherming tegen ransomware alleen mogelijk door het te combineren met andere security-middelen en -technieken. Denk bijvoorbeeld aan whitelisting, waarmee je lijsten bijhoudt van alle vertrouwde en niet-vertrouwde toepassingen, maar ook van alle gebruikers inclusief de IP-adressen, computers en mobiele apparaten waarmee ze hun werkzaamheden doen. Door niet-vertrouwde applicaties en personen van je netwerk te weren, vergroot je de controle en verlaag je de beveiligingsrisico’s. Verder is het gebruik van antivirus/anti-malwarebescherming ook van cruciaal belang hierbij.
3. Personeel trainen
Uit onderzoek van Verizon blijkt dat 34 procent van de beveiligingsinbreuken te wijten is aan interne actoren. Medewerkers kunnen zowel bewust als onbewust de deuren van een organisatie openen voor hackers. Dit laatste geldt met name als het gaat om ransomware. Een goede antimalware-oplossing biedt wel enige bescherming, maar dit werkt uiteraard alleen op de apparaten waar het is geïnstalleerd, en dan nog is het geen 100 procent betrouwbare bescherming.
Bedrijven moeten er daarom voor zorgen dat al hun medewerkers zich bewust zijn van de vele manieren waarop ransomware de verdediging een organisatie kan doorbreken. Alleen dan kunnen ze er alert op zijn en zullen ze niet (of minder vaak) voor de trucjes van cybercriminelen vallen.
De meeste bekende techniek om ransomware te verspreiden, is via een phishing-bericht. Net als bij het eerdere voorbeeld van Norsk Hydro wordt de aanval in een ogenschijnlijk betrouwbare e-mail verborgen, die een medewerker verleid om op een kwaadaardige link te klikken. Hiermee wordt de ransomware geïnstalleerd, die de bestanden van de organisatie versleutelt. De hacker kan vervolgens losgeld van het bedrijf eisen in ruil voor het veilig ontsleutelen van de gegevens. Door het bewustzijn van medewerkers te vergroten over de enorme risico’s van ransomware, verklein je de kans dat een nietsvermoedende medewerker op een potentieel gevaarlijke link klikt, zonder eerst te verifiëren of het wel een legitiem e-mailbericht is.
In geval van nood
Het streven naar een solide, onfeilbare verdediging is absoluut een nobel streven om ransomware te mijden. Toch moet je als organisatie altijd op het ergst denkbare scenario voorbereid zijn. Slimme organisaties zullen al een disaster recovery plan hebben. Dit houdt meestal in dat ze regelmatig een off-site back-up maken van hun meest waardevolle gegevens. Daarmee kunnen ze, in het geval van een ransomware-aanval, altijd snel weer bij hun gegevens, zonder dat ze een hacker losgeld hoeven te betalen voor het vrijgeven van hun data.
Het is helder dat een steeds veranderende cybersecuritybedreiging zoals ransomware heel intimiderend kan lijken, zeker voor organisaties die hun IT-processen slechts beperkt geautomatiseerd hebben. Als zij echter de hiervoor genoemde maatregelen implementeren in een strategische, gelaagde aanpak, en dat combineren met security-awareness training en een gedegen back-up plan, zijn ze op de goede weg om deze aanvallen in te toekomst te voorkomen en te beheersen.