Ransomware is een bijzondere vorm van cybercrime. Het woord zegt het al: gijzeling. Uit het cybersecurity benchmarkonderzoek dat Conscia in samenwerking met commercieel marktonderzoekbureau The Blue Hour uitvoert, blijkt dat ransomware als de grootste dreigingsfactor wordt beschouwd (82%). Inmiddels tonen meerdere onderzoeken naar ransomware de cijfers over 2021. Conclusie: de hoogte van het geëiste losgeld blijft stijgen, evenals de gedane betalingen. Betekent dit dat organisaties overgeleverd zijn aan ransomware ‘gangs’? Zeker niet! Ook al zien we ze niet, er wordt gezamenlijk veel waardevolle informatie vergaard en gedeeld over de tactieken en technieken die deze ‘gangs’ hanteren.
Zo weten we dat er in 2021 35 nieuwe ransomeware ‘gangs’ bij kwamen. [1] Sommige groepen luisteren naar misleidende namen als Hello Kitty en Robinhood. Kort samengevat zijn het groepen criminelen die een lucratieve business hebben gevonden in ransomware. Zo ‘succesvol’ zelfs dat Ransomware as a Service (RaaS) wordt aangeboden, door criminelen aan criminelen. De verwachting is dat hun activiteiten de komende jaren alleen maar gaan toenemen.
Feiten en cijfers op een rij
Die groei was afgelopen jaar al merkbaar. Het aantal slachtoffers steeg met 85%, waarbij Amerika met 60% het grootste target was. Gevolgd door EMEA met 31% en Asia Pacific met 9%. De hoogte van het geëiste losgeld nam ook toe met 144% tot 2,2 miljoen dollar. Het bedrag dat uiteindelijk werd betaald lag gemiddeld rond de 500.000 dollar; 78% hoger dan in 2020. [1] Van de door ransomware getroffen organisaties gaat 58% over tot betaling. 14% betaalt meer dan één keer. 41% is binnen een maand hersteld van de aanval, 61% binnen drie maanden.
Dat er vaak wordt betaald, is volgens Maarten Werff, Solution Consultant Cybersecurity bij Conscia, een eyeopener. “Het wordt een steeds volwassenere industrie en vaak voeren ze een dubbele aanval uit. Dus eerst versleutelen ze data zodat deze onbeschikbaar is. Betaal je niet snel genoeg, dan brengen ze de gestolen data – zoals persoonsgegevens – naar buiten. De business impact is dan niet alleen het lamleggen van de organisatie, maar ook imagoschade.”
Werkwijze ontrafelen
De opbouw van een ransomware aanval is vaak hetzelfde. Na binnenkomst, meestal via een phishing attack, blijven ze eerst een tijdje stil, voordat ze zijwaarts gaan bewegen. Niet zo gek dus dat het merendeel (67%) van de respondenten van het benchmarkonderzoek aangeeft, dat het niet weet hoeveel dagen het duurt voordat een aanval wordt opgemerkt. De aanvallers hebben er belang bij om zo lang mogelijk binnen te blijven, om zoveel mogelijk te stelen.
Eenmaal geopenbaard is het vaak duidelijk met welke ‘gang’ men van doen heeft. Meestal beschikt de criminele organisatie over een servicedesk (raar maar waar!). Dat is echter niet het enige waardoor de identiteit van de ransomware groep wordt onthuld. Wereldwijd wordt er kennis en informatie gedeeld over deze ‘gangs’, over de tactieken en technieken die zij hanteren. Ook Conscia deelt hierin mee via het MITRE ATT&CK framework. Kennis maakt macht en het zorgt ervoor dat aangevallen organisaties weerstand kunnen bieden, ondanks dat de criminelen al binnen zijn. Ook al maken organisaties meestal niet wereldkundig dat ze betaald hebben (uit angst voor meer aanvallen en reputatieschade), toch kan het bijdragen aan de bestrijding van cybercrime om dat wel te doen. Volgens Werff zijn er zeker cases waarbij dit wel is gedaan. “Erg dapper en zeer leerzaam voor andere experts!”
Defense-in-Depth
100% bescherming tegen Ransomware gerelateerde malware is niet realistisch, daarom raden wij aan om een “defence-in depth” benadering te hanteren. Dit betekent dat je een gelaagde beveiliging toepast vanuit verschillende invalshoeken; van het implementeren van technische maatregelen tot het maken van beleid en procedures. Door deze aanpak te volgen, heb je meer kansen om malware op te sporen en te stoppen voordat het schade aanricht aan jouw organisatie.
Het uitgangspunt bij de defense-in depth benadering is “assume breach” waarbij je aan neemt dat ieder beveiligingsmechanisme uiteindelijk doorbroken wordt. Maar in plaats van de handdoek in de ring te gooien, kun je stappen ondernemen om de impact hiervan te beperken door krachtige detectie toe te passen waardoor je de reactietijd op incidenten kunt versnellen. Deze detectieve en responsieve maatregelen vragen echter wel de nodige kennis, tijd en expertise van het IT/Security personeel. Wij zien daarom veel organisaties deze detectie en response activiteiten (gedeeltelijk) uitbesteden aan een managed security provider. Het IT security team kan zich op deze manier focussen op het versterken van de cyberweerbaarheid en zorgen voor een betere aansluiting op de doelstellingen van de organisatie. Het is belangrijk om te onthouden dat cybersecurity een doorlopend proces is dat voortdurend moet worden geëvalueerd en aangepast om bij te blijven met het steeds veranderende dreigingslandschap.
Conscia Cybersecurity Expertise
Meer weten over Conscia’s Cybersecurity expertise, MDR en SOC-services?