Ransomware naar binnen loodsen: cyberaanvallers werken samen

Gastblog door Rob Buddingh, Security Specialist & Co-owner van IP4Sure (Knowledge Partner op het thema Security Operations Center (SOC)).

Steeds meer mensen zijn zich bewust van de ernst van de gevolgen van ransomware. Maar: hoe meer ransomware de kranten domineert, hoe overweldigender het probleem aanvoelt. Dat overweldigende gevoelt leidt in de praktijk tot twee reacties: organisaties nemen direct maatregelen óf ze steken hun kop in het zand. Ook dat laatste is begrijpelijk. Maar handig? Vul zelf maar in.

Wat voor maatregelen houden ransomware buiten de deur? Daar gaan we later in dit artikel dieper op in. Om alvast het tipje van de sluier op te lichten: samenwerken met een SOC is en blijft een sterk wapen in de strijd tegen ransomware.

Het gevecht tegen ransomware is aan het veranderen

Om organisaties beter te beschermen tegen ransomware is het belangrijk te weten hoe een systeem geïnfecteerd raakt. Vooral omdat de methodes aan het veranderen zijn. Cybercriminelen werken vaker samen én aanvallen zijn steeds gerichter: daarbij zijn niet alleen grote spelers, maar ook organisaties in hun supplychain doelwit.

Dat organisaties uit supplychains meegenomen worden, geeft al aan dat cybercriminelen bereid zijn tot onderzoek. Het is echt niet alleen maar schieten met hagel wat ze doen. In tegendeel: ze pluizen volledig uit welke organisaties bereid zijn losgeld te betalen, hoge waarde hebben én kwetsbaar zijn.

De zoektocht naar doorgangen

Cybercriminelen willen zo effectief mogelijk aanvallen. Hoe groter het overlast dat ze veroorzaken, hoe groter de kans op betaling van losgeld. Zijn ze eenmaal binnen? Dan verkennen ze terrein, maken ze misbruik van privileges, om uiteindelijk die ransomware payload handmatig – en dus doeltreffend – te verspreiden. Maar: daarvoor moeten ze eerst op de netwerkomgeving komen.

Om dat voor elkaar te krijgen, speuren ze naar een doorgang: vaak is dat in de vorm van een backdoor of een kwetsbaarheid. Kwetsbaarheden kunnen overal zitten. Zo kan een fout in de code van een website er al voor zorgen dat aanvallers toegang krijgen. Of wat dacht u van zwakke wachtwoorden? Ook die geven toegang.

De aanpak van cybercriminelen is haast te vergelijken met prospecting. Ze hebben ook een pipeline en maken zelfs gebruik van customer support. “Klanten” worden door helpdesks vriendelijk geholpen met de bitcoinbetaling.

Handel in backdoors

Maar het meest opvallend is, dat er een handel lijkt te zijn ontstaan in “instant” ingangen. Er zijn bendes die zich volledig richten op het creëren van zogenoemde backdoors bij organisaties. Die verkopen ze dan door aan ransomwarebendes, zodat zij direct het netwerk op kunnen om hun ransomware te verspreiden.

Die bendes die zich richten op het creëren van backdoors, heten “initial access brokers”. Het gevaar van backdoors is dat ze vaak onopgemerkt blijven, waardoor cybercriminelen vrijspel hebben. Hoe ze die backdoors aanbrengen? Vaak gaat met malware. Die versturen ze o.a. via malafide emails met daarin geïnfecteerde Officedocumenten of linkjes. Proofpoint publiceerde een rapport waarin ze aangaven in 2021 vooral e-mailaanvallen te zien, die – in meerdere stappen – geleid hebben tot ransomwareinfecties.

Samenwerkingen zorgen voor razendsnelle aanvallen

De impact van cybercriminelen groei zo erg, dat steeds meer overheden het gevecht ertegen serieus nemen. Doordat cyberbendes samenwerken en doelwitten losgeld blijven betalen, zijn gerichte aanvallen steeds sneller gerealiseerd én lucratief.

Dwell time van 40 naar 2 dagen

Ook is de zogehete “dwell time” van 40 dagen verkort naar 2 dagen. Dwell time staat voor de hoeveelheid tijd die een hacker binnen omgevingen doorbrengen voordat ze starten met encrypten. Ze moeten namelijk eerst de omgeving onderzoeken om gericht toe te slaan. Nu die dwell time zo kort is, is het belangrijker dan ooit ze op tijd te betrappen.

Zo houdt u dit soort aanvallen tegen

Om aanvallers het zo moeilijk mogelijk te maken ransomware naar binnen te loodsen, raden we – onder anderen – onderstaande maatregelen aan. Om te beginnen is het belangrijk alert te zijn op de ingangen:

• Neem maatregelen tegen aanvallen per mail (denk aan awareness en software die mails vrijmaakt van malafide bijlagen en links)
• Hanteer een beleid om software van derden van apparaten te houden
• Denk ook aan Endpoint Protection
• Zet pentests in om kwetsbaarheden op te sporen
• Laat Vulnerability Management software kwetsbaarheden detecteren

Maar moeilijk betekent niet onmogelijk. Cybercriminelen zijn ambitieus en bereid hun best te doen bij grote organisaties binnen te komen. Die zijn niet voor niets – ondanks hun vaak uitgebreide security maatregelen – vaak het doelwit.

Detecteer een aanval op tijd

Om te voorkomen dat er van alles gebeurt op uw netwerk – zonder dat u het op tijd door heeft – is detectie hét wapen tegen dit soort ransomware-aanvallen. Een Security Operations Centre (SOC) houdt de boel elke dag in de gaten. Zijn er verdachte bewegingen binnen de digitale omgeving? Dan maakt de SOC meteen een melding. Op die manier is het mogelijk in te grijpen voordat het kwaad geschied is.

Een SOC is dus eigenlijk een digitale bewaker die de digitale omgeving continu in de gaten houdt. Zo breed als u dat zelf wilt. Weten wat een SOC – naast ransomware – nog meer detecteert? Lees hier meer over use cases.
Nog verder lezen over ransomware? We schreven het artikel “Wat te doen bij een ransomware-aanval?”, waarin we dieper in gaan op hoe bepalend uw eerste acties zijn voor de gevolgen van zo’n aanval.