Focus On IT

ICT in de Praktijk

FortiGuard Labs: waarom we er nog lang niet van ransomware af zijn

| door:

De afgelopen weken hebben ondernemers vanwege de wereldwijde COVID19-pandemie veel energie moeten steken in aanpassingen in de IT-omgeving. De plotse en grote toename van het aantal thuiswerkers is daar maar één voorbeeld van. Dat zette zowel de IT-afdeling als de IT-beveiliging onder druk. Derek Manky, Aamir Lakhani en Douglas Santos van het FortiGuard Labs-team van Fortinet bespreken de uitdagingen die dit met zich meebrengt.

Terwijl IT-afdelingen de prioriteiten op orde moeten krijgen om tegemoet te komen aan de nieuwe vraagstukken die COVID19 hen presenteert, zitten cybercriminelen niet stil. Volgens de onderzoekers van FortiGuard Labs keren zij ‘netwerken binnenstebuiten’ en richten hun pijlen op kersverse thuiswerkers die vroeger op kantoor werden beschermd door beveiligingsmechanismen aan de netwerkrand.

“Cybercriminelen verspreiden namaakberichten over het coronavirus en voeren allerhande aanvallen uit via sociale media”, zegt Derek Manky, Chief Security Insights & Global Threat Alliances van FortiGuard Labs. “Daarnaast tasten ze de nieuwe netwerkomgevingen die door thuiswerken zijn ontstaan af op kwetsbaarheden. Zo hopen zij organisaties te vinden die in alle haast hebben nagelaten om passende beschermingsmaatregelen te treffen.”

FortiGuard Labs heeft het bedreigingslandschap de afgelopen tijd nauwlettend in het oog gehouden. “We bemerkten een forse toename van het aantal gerichte cyberaanvallen op personen binnen organisaties”, vertelt Aamir Lakhani, Lead Researcher and Cyber Security Expert van FortiGuard Labs. “Deze maken gebruik van phishing-mails en besmette websites. De toevloed van phishing-mails met kwaadaardige bijlagen verklaart waarom we in maart dit jaar het aantal computervirussen met 131% hebben zien toenemen.”

Dit verklaart ook waarom FortiGuard Labs een reductie van het aantal traditionele aanvallen observeerde, voegt Cyber Security Strategist Douglas Santos daaraan toe: “cybercriminelen verleggen duidelijk hun focus. Het aantal ransomware-incidenten zal naar alle waarschijnlijkheid toenemen doordat cybercriminelen proberen om besmette of gehackte apparaten van eindgebruikers te gebruiken als springplank naar het core-netwerk, dat door alle afleiding rond het coronavirus mogelijk niet zo nauwlettend wordt bewaakt als voorheen.

We plukten daarom Derek Manky, Aamir Lakhani en Douglas Santos bij het FortiGuard Labs-team weg voor een ‘digitale’ vraag-en-antwoordsessie over ransomware. Daarmee wilden we meer inzicht verwerven in het risiconiveau van deze cyberbedreiging en wat organisaties zouden moeten doen om daar bescherming tegen te bieden in een tijd waarin hun netwerk voortdurend veranderingen ondergaat.

Is ransomware nog altijd de grootste bedreiging?

“Ransomware behoort absoluut tot de cyberaanvallen die beveiligingsprofessionals slapeloze nachten bezorgen”, zegt Manky. “Bij FortiGuard Labs zien we ook geen tekenen die erop wijzen dat deze bedreiging in de nabije toekomst zal afzwakken. Wat bescherming tegen ransomware betreft zijn beveiligingstools slechts zo goed als het team dat ze beheert. De detectie- en preventiemechanismen van organisaties kunnen door allerhande factoren worden verzwakt, zoals configuratiefouten of een wildgroei aan losstaande oplossingen. De menselijke factor is echter het grootste probleem.”

Santos beaamt dit: “Uit onderzoek van FortiGuard Labs blijken bovendien nog een aantal andere zaken om rekening mee te houden. Zo is er bij de meeste bedrijven die slachtoffer van deze aanvallen zijn geworden sprake van een gebrek aan integraal overzicht en grip. Momenteel zijn er een hoop nieuwe zero day-kwetsbaarheden in omloop. Veel waterhole-aanvallen maken daar gebruik van. Dat betekent dat de volgende grote hack wellicht plaatsvindt bij het volgende bezoek aan een website. Zelfs als je gebruikmaakt van de allerlaatste beveiligingstechnologie ben je voor de real-time detectie van een zero day-aanval nog altijd aangewezen op alle drie pijlers van een robuust beveiligingsprogramma: mensen, processen en technologie.”

Volgens FortiGuard Labs zijn anti-exploit- en endpoint detection & response (EDR)- oplossingen de juiste toepassingen voor het detecteren van malware op endpoints voordat die zich naar het netwerk kan verplaatsen. Een internal segmentation firewall (ISFW) kan vervolgens dynamische segmentatie toepassen om de host in quarantaine te zetten. Een security orchestration, automation & response (SOAR)-oplossing kan snelle tegenmaatregelen treffen op basis van informatie die over de nieuwe bedreiging is verzameld. Deze strategie is volgens de onderzoekers van FortiGuard Labs niet alleen effectief voor ransomware, maar kan worden ingezet voor het blokkeren van de meeste geavanceerde cyberaanvallen.

“De realiteit is dat ransomware geen complexe en geavanceerde malware is”, weet Lakhani. “Dat maakt het echter veel gevaarlijker, omdat de kennisdrempel voor cybercriminelen daardoor laag is. We nemen bij FortiGuard Labs steeds vaker waar dat leken ransomware-toolkits van internet downloaden of bestaande ransomware met minimale programmeerkennis aan te passen. Het is waar dat het merendeel van deze ransomware waarschijnlijk niet met succes kan worden ingezet tegen grote organisaties. Hun beveiligingsappliances zullen die detecteren en blokkeren. In de nieuwe omgeving van kersverse thuiswerkers, overwerkte IT-afdelingen en nieuwe en grotendeels  niet geteste beveiligingsregels wordt de kans op een aanval echter opeens enorm groot. Qua volume voeren andere cyberbedreigingen mogelijk de boventoon. Ransomware is echter een voorname bedreiging vanwege de impact ervan op organisaties. Een ransomware-aanval kan een bedrijf namelijk compleet platleggen.”

Waarom blijven cyberhygiëne en de menselijke factor de belangrijkste zorgen rond ransomware?

“De trieste realiteit is dat de meeste aanvallen te voorkomen zijn”, zegt Lakhani. “Organisaties hebben grote moeite met het patchen van apparaten. Uiteraard is dit niet altijd hun eigen fout. Patches moeten worden getest, en in grote en complexe omgevingen kan dat veel tijd in beslag nemen. Gebruikers krijgen vaak beheerdersrechten voor systemen toegekend om de overhead en kosten van het beheer en de IT-ondersteuning te reduceren. Dit maakt het echter moeilijk om de installatie van patches en updates te automatiseren. FortiGuard Labs concludeerde uit zijn onderzoek dat het in grootschalige, mobiele omgevingen lastig kan zijn om gebruikers patches te laten installeren als gevolg van factoren zoals geografische verschillen. Als deze problemen zouden worden opgelost, zou de meeste ransomware simpelweg niet langer effectief zijn.”

De bewustwording is volgens Manky niet het grootste probleem. “Het probleem is geworteld in het menselijk gedrag. Uit onderzoek van FortiGuard Labs blijkt steeds opnieuw dat bewustzijn en actie twee heel verschillende zaken zijn. Naast grootschalige aanvallen die een complete organisatie op de korrel nemen, maken cybercriminelen ook gebruik van e-mailberichten die bijzonder slim inspelen op het profiel van specifieke medewerkers. Ze doen dat ofwel direct, of met behulp van een nieuwe techniek waarbij ze phishing-mails toevoegen aan een actieve e-mailuitwisseling. Dat vergroot de kans dat erop wordt geklikt. Dit type aanval staat bekend als spearphishing. Als het doelwit een manager op C-niveau is, wordt dit whale phishing genoemd. Het maakt echter niet uit op wie de aanval is gericht. Iedereen is vatbaar voor een goed doordachte phishing-mail die ze ontvangen op een moment waarop ze voldoende zijn afgeleid om hun wantrouwen te laten varen.”

Santos haakt daarop in: “Als we het over de menselijke factor hebben, hebben we het niet alleen over naïevelingen die op kwaadaardige links of bijlagen klikken. FortiGuard Labs toonde aan dat het net zo goed gaat om beveiligingsprofessionals en managers die deze cyberbedreigingen niet begrijpen of niet weten hoe ze die een halt moeten toeroepen. De technologie achter cyberbedreigingen ontwikkelt zich met een sneller tempo dan de meesten van ons kunnen bijbenen. Ondertussen groeit het tekort aan beveiligingstalent. Het is een lastige opgave.”

Hoe denken jullie dat ransomware zich in 2020 zal ontwikkelen?

“FortiGuard Labs ziet een toename in de meer gerichte ransomware-aanvallen die bedrijven schade berokkenen vanuit operationeel en compliance-perspectief”, zegt Manky. “Ik voorspelde al eerder dat deze situatie in 2020 zou verergeren. Malware- en ransomware-aanvallen hebben tegenwoordig een heel ander karakter. Ze worden speciaal op bepaalde interne bedrijfssystemen gericht. Een andere factor die bijdraagt aan het groeiende aantal cyberaanvallen op bedrijven van elke omvang is de toegankelijkheid van Ransomware-as-a-Service (RaaS)-tools. Deze ontwikkeling rond ransomware is iets wat ik jaren geleden al voorspelde. En in 2020 is er alweer sprake van een nieuw fenomeen: ransomware waarmee cybercriminelen inspringen op de kansen die het coronavirus biedt. Hieruit blijkt dat de ontwikkeling van ransomware zich niet louter in de richting van gerichte aanvallen beweegt. Het is veel moeilijker om bescherming te bieden tegen een sterk vertakt aanvalslandschap.”

Santos: “Ja, maar ik denk ook dat er zich nog altijd een nieuwe grootschalige ransomware-exploit kan voordoen, zoals bij WannaCry. FortiGuard Labs bracht aan het licht dat de simpele reden hiervoor is dat er veel meer kwetsbaarheden zijn waardoor ransomware zich kan naar binnen kan wormen. Dan valt te denken aan BlueKeep en de laatste kwetsbaarheid in SMBv3, die naar de naam SMBGhost luistert. Het is simpelweg een kwestie van tijd voordat dit gebeurt.”

Volgens Lakhani toont FortiGuard Labs aan dat er nog een forse toename aankomt van het aantal ransomware-aanvallen. “De COVID-19-pandemie heeft niet alleen voor een verschuiving binnen diverse IT-projecten gezorgd, maar ook voor meer urgentie. Dat geldt voor migraties naar de cloud, toegang op afstand en een grotere afhankelijkheid van web-based applicaties. Veel IT-professionals staan onder grotere druk dan ooit te voeren, met alle stress die daarbij gepaard gaat. Daarnaast staan onder meer zorginstellingen en productie- en transportbedrijven onder een grotere druk dan ooit om hun netwerk in de lucht te houden. Cybercriminelen begrijpen dat bedrijven in deze sectoren liever losgeld betalen dan dat ze te maken krijgen met vertraging of uitval van hun activiteiten.”

De onderzoekers van FortiGuard Labs zijn het erover eens dat, als een apparaat van een telewerker wordt besmet of gehackt, dit kan het uitgroeien tot een springplank naar het core-netwerk van de organisatie. “Malware kan zich zo naar andere telewerkers verspreiden”, zegt Lakhani. “De verstoring van bedrijfsprocessen die daarmee optreedt kan even effectief zijn als een ransomware-aanval die zich op interne netwerken richt. Omdat ook helpdeskmedewerkers tegenwoordig thuiswerken, kan het dagenlang duren voordat apparaten die met een computervirus of ransomware zijn besmet via de post worden ontvangen voor de installatie van nieuwe images. Cybercriminelen begrijpen dat perioden van snelle transitie de bedrijfsvoering van organisaties ernstig kunnen verstoren. In alle haast om bedrijfscontinuïteit te waarborgen is het makkelijk om zaken zoals beveiligingsprotocollen over het hoofd te zien. Cybercriminelen zullen proberen om misbruik te maken van elk beveiligingslek dat achterblijft.”

Wat kunnen organisaties doen?

Manky: “We bevinden ons op een bijzonder kwetsbaar moment in onze overgang naar een digitale economie. Organisaties moeten nu maatregelen treffen om hun netwerken en verbonden bedrijfsactiva te beschermen tegen het groeiende probleem van geavanceerde ransomware.”

Hoewel elke netwerkomgeving er weer anders uitziet, kunnen organisaties volgens FortiGuard Labs beginnen met het uitvoeren van de volgende 20 maatregelen om de risico’s rond ransomware en andere geavanceerde cyberbedreigingen te reduceren.

  1. Patch waar mogelijk alle besturingssystemen, apparaten en software. Maak daar een prioriteit van voor je thuiswerkers, zeker als zij met persoonlijke apparatuur een verbinding met het bedrijfsnetwerk maken.
  2. Als apparaten niet kunnen worden gepatcht, moet je zorgen voor passende mechanismen die een waarschuwing afgeven als die apparaten een verbinding met het netwerk proberen te maken.
  3. Zorg ervoor dat er op alle endpoints een geavanceerde cybersecurity-oplossing is geïnstalleerd, zoals een anti-exploit- of EDR-oplossing.
  4. Maak gebruik van mechanismen voor toegangsbeheer zoals multifactor-authenticatie.
  5. Maak gebruik van Network Access Control (NAC) voor het inspecteren en blokkeren van persoonlijke apparaten van werknemers die niet aan de beveiligingsregels voldoen.
  6. Segmenteer je netwerk in beveiligingszones om de verspreiding van infecties te voorkomen en koppel mechanismen voor toegangsbeheer aan de dynamische segmentatie.
  7. Maak gebruik van inventory-tools en Indicators of Compromise (IOC)-lijsten om na te gaan welke bedrijfsactiva het meeste gevaar lopen en de beveiliging daarvan op prioriteit in te delen.
  8. Werk de signatures van je indringerpreventiesysteem (IPS) en de antivirus- en antimalware-oplossingen op apparaten van eindgebruikers bij.
  9. Maak back-ups van systemen en bewaar die offline, samen met eventuele hardware en software die je mogelijk nodig hebt voor het herstellen van het netwerk.
  10. Breid je strategie voor bedrijfscontinuïteit/disaster recovery uit met maatregelen voor het herstellen van ransomware. Stel een herstelteam samen, voer praktijkoefeningen uit en wijs van tevoren verantwoordelijkheden toe, zodat systemen in het geval van een succesvolle aanval snel kunnen worden hersteld.
  11. Werk je e-mail- en web security gateways bij met functionaliteit voor het inspecteren van e-mailbijlagen, websites en bestanden op malware en het uitfilteren daarvan.
  12. Installeer content disarm & recovery (CDR) -oplossingen voor het onschadelijk maken van kwaadaardige bijlagen.
  13. Maak gebruik van een sandbox om bestanden, documenten of programma’s die mogelijk schadelijke inhoud bevatten in een veilige omgeving te openen en analyseren.
  14. Blokkeer advertenties en alle sociale netwerken die geen zakelijke relevantie hebben.
  15. Zorg voor netwerktoegang op basis van het principe van zero trust en combineer dit met inspectie op malware, zodat gebruikers geen bedrijfskritische applicaties, data of diensten kunnen besmetten.
  16. Zorg voor whitelisting van applicaties om te voorkomen dat er onbevoegde applicaties worden gedownload of uitgevoerd.
  17. Maak gebruik van een CASB-oplossing ter voorkoming van het gebruik van niet-goedgekeurde SaaS-oplossingen.
  18. Maak gebruik van tools voor forensische analyse om de herkomst van infecties te achterhalen, na te gaan hoe lang cyberbedreigingen zich binnen de bedrijfsomgeving ophielden en te waarborgen dat de malware van alle apparaten is verwijderd, zodat die niet opnieuw de kop opsteekt.
  19. Richt je planning op de zwakste schakel in je beveiligingsketen: gebruikers van apparaten en applicaties. Training is van essentieel belang, maar op zich niet genoeg. Met de juiste tools, zoals veilige e-mailgateways, kun je korte metten maken met de meeste, zo niet alle phishing-mails en kwaadaardige bijlagen.
  20. Doe een beroep op mensen, technologie en processen om snel bedreigingsinformatie te verzamelen over real-time aanvallen op je netwerk en tref passende tegenmaatregelen. Maak daarbij zoveel mogelijk gebruik van automatisering. Dit is van cruciaal belang om geavanceerde cyberaanvallen in de kiem te smoren.

Dit is geen tijd om je aandacht te laten verslappen

Volgens de onderzoekers van FortiGuard Labs moeten organisaties momenteel op spitsroeden lopen om de bedrijfsvoering in de lucht te houden. “Dat maakt hen kwetsbaarder dan ooit voor cybercriminelen die misbruik van de coronacrisis willen maken”, zegt Santos. “Ransomware en andere geavanceerde cyberbedreigingen nemen geen gas terug omdat wij het nu even druk met andere zaken hebben. Uit onze voortdurende analyses van het bedreigingslandschap blijkt dat het tegenovergestelde waar is.”

De meeste organisaties zouden hun thuiswerkstrategie op orde moeten hebben, stelt FortiGuard Labs. “Dit is een perfect moment om de bovengenoemde maatregelen te treffen, je beveiligingsregels grondig onder de loep te nemen en de benodigde wijzigingen aan te brengen”, zegt Manky. “Deel de risico’s op prioriteit in en pak ze een voor een aan. Met elke stap die je neemt om je beleidsregels en beveiligingspraktijken aan te scherpen is er weer een cyberbedreiging minder om je zorgen over te maken.” “En we kunnen momenteel allemaal wel wat minder zorgen gebruiken”, besluit Lakhani.