Waarom ransomware een groot cyberbeveiligingsprobleem is en wat er moet worden gedaan om het te stoppen Bekijk nu
Ransomware is zo'n groot probleem geworden dat zelfs leiders van de wereldwijde grootmachten deze aanvallen nu bespreken op spraakmakende topbijeenkomsten.
De cyberaanvallen – waarbij criminelen netwerken versleutelen en betalingen eisen die in ruil voor de decoderingssleutel tot miljoenen dollars kunnen oplopen – waren een van de belangrijkste discussiepunten tijdens de eerste persoonlijke ontmoeting van de Amerikaanse president Joe Biden en de Russische president Vladimir Poetin .
Ransomware stond op de agenda na verschillende spraakmakende campagnes tegen Amerikaanse doelen, die aanzienlijke verstoringen veroorzaakten.
Moeilijk te traceren betalingen
Als organisaties het losgeld betalen, wordt het betaald in cryptocurrency – en er is een argument dat het cybercriminelen gemakkelijk heeft geholpen om geld van ransomware.
Voor criminelen is het belangrijkste om het geld eruit te krijgen en door cryptocurrency zoals bitcoin te gebruiken, kunnen ze dit doen op een manier die moeilijk te traceren is – en cruciaal, ze vermijden zoiets als een gewone bankrekening die kan worden gebruikt om ze te identificeren .
“Als het gaat om cybercriminaliteit, wordt het genereren van inkomsten echt ingewikkeld. Het is altijd een soort bottleneck geweest – je kunt een bajillion creditcardnummers in handen krijgen, maar het deel waar je het omzet, dat is waar alles stopt”, zegt Hultquist.
“Cryptocurrencies boden een soort van manier om dat te omzeilen, omdat het hen in staat stelt dit geld vrijelijk buiten de reguliere systemen te verplaatsen en veel gemakkelijker inkomsten te genereren. Het is niet noodzakelijk de cryptocurrency die dit voedt, de enorme uitbetalingen voeden dit. Cryptocurrency maakt gewoon de gemakkelijker geld verdienen”, voegt hij eraan toe.
De Russische hoek
En wanneer ransomware-aanvallen zo financieel succesvol zijn, zullen ze blijven plaatsvinden, vooral als cybercriminelen opereren vanuit landen waar hun regeringen een oogje dichtknijpen voor hun activiteiten.
De consensus is dat veel van de meest beruchte ransomwarebendes vanuit Rusland opereren en dat ze geld mogen verdienen met ransomware, zolang ze hun activiteiten maar op het westen richten.
“De Russische staat en de Russische criminele onderwereld zijn niet hetzelfde, maar er is begrip tussen hen en begrip is dat wat de staat betreft, Russen geld kunnen verdienen op een manier die bij hen past”, zegt Ciaran Martin, hoogleraar praktijk aan de Blavatnik School of Government van de Universiteit van Oxford – en voormalig directeur van het NCSC.
Tijd voor verandering?
Ransomware is al jaren een probleem, vooral omdat ziekenhuizen regelmatig het slachtoffer worden van aanvallen tijdens de piek van de coronaviruspandemie, maar de aanval op Colonial Pipeline heeft een bepaalde snaar geraakt.
De pijpleiding die bijna de helft van de benzinetoevoer naar het noordoosten van de Verenigde Staten levert, was stilgelegd en dat was voor iedereen duidelijk: dit was niet alleen een bedrijf dat niet kon functioneren zonder het gebruik van bepaalde bestanden, dit was kritieke infrastructuur die afgesloten vanwege ransomware.
“Er zal 'vóór Colonial Pipeline' en 'after Colonial Pipeline' zijn, het is zo'n mijlpaal in de manier waarop de economie van de bedreigingsactoren gaat werken”, zegt DeGrippo. “Het is geen losgeld meer van bestanden, het is een losgeld van je bestaan. Het vrijkopen van de mogelijkheid om hotdogs, bier en benzine te krijgen is een heel ander spelletje.”
De Verenigde Staten hebben een sterke relatie met olie en gas en dat maakte de verstoring veroorzaakt door de ransomware-aanval op de Colonial Pipeline onmogelijk voor de Biden-regering om te negeren – en het begon toen het ministerie van Justitie het grootste deel van de bitcoin in beslag nam gebruikt om het losgeld te betalen.
Zelfs de operators van DarkSide ransomware-as-a-service probeerden afstand te nemen van de aanval en beweerden dat “ons doel is om geld te verdienen en geen problemen voor de samenleving te creëren”. Ze beweren zelfs dat ze in de toekomst extra checks en balances op hun “partners” zullen instellen.
Maar nu hebben de ransomwarebendes misschien meer afgebeten dan ze kunnen kauwen.
“Ze willen niet zoveel bekendheid, ze willen erkend worden, ze willen dat mensen betalen – maar ik denk niet dat ze per se de Amerikaanse regering op hun spoor willen hebben – ze namen het waarschijnlijk een stap te ver. Ik weet zeker dat de andere ransomware-bendes behoorlijk boos op hen zijn”, zegt Hultquist.
De dreiging van ransomware is nog steeds groot – zoals blijkt uit hoe de Ierse gezondheidsdienst weken na een Conti-ransomware-aanval, die dagen na de aanval op de koloniale pijpleiding plaatsvond, nog steeds te maken had met verstoringen, maar er is een gevoel dat recente gebeurtenissen mogelijk een keerpunt kunnen zijn.
“Er is op zijn minst aannemelijk te maken dat de afgelopen maand strategisch schadelijk is geweest voor de criminelen en dat men hoopt dat we – let op, de zeer zorgvuldige taal – dat we op een bepaald moment kunnen terugkijken op deze periode als piek-ransomware”, zegt Martin.
“Dat is nog lang niet zeker, het is nog niet eens waarschijnlijk, maar regeringen beginnen in te zien dat dit echt kwaad kan.”
In de nabije toekomst zal ransomware echter effectief blijven zolang organisaties kwetsbaar zijn om te worden gehackt door cybercriminelen, zoals blijkt uit de manier waarop aanvallen over de hele wereld verstoringen blijven veroorzaken.
Maar het is mogelijk om weerbaarheid op te bouwen tegen cyberaanvallen – waaronder ransomware – en het voor cybercriminelen veel moeilijker te maken om het netwerk in de eerste plaats te compromitteren.
ZIE: Een winnende strategie voor cyberbeveiliging (ZDNet speciaal rapport) | Download het rapport als pdf (TechRepublic)
Een groot deel van deze veerkracht kan worden opgebouwd door ervoor te zorgen dat hygiëneprocedures voor cyberbeveiliging, zoals het tijdig installeren van beveiligingspatches, het voorkomen van het gebruik van eenvoudige wachtwoorden en het gebruik van multi-factor authenticatie, in het hele netwerk worden toegepast. Omdat ransomware-bendes opportunisten zijn, verkleint het de kans op een succesvolle aanval door het hen moeilijker te maken.
“Het soort dingen dat nuttig is: zichtbaarheid op je netwerk om te kunnen zien of er voorloperactiviteit plaatsvindt, begrijpen waar je activa en netwerk zijn, en dat goed in kaart brengen en begrijpen. Deze standaard goede processen beschermen tegen ransomware ', zegt Fairford.
Regelmatig bijwerken van back-ups en ze offline opslaan biedt ook een andere manier om de ernst van ransomware-aanvallen te verminderen, want zelfs als het netwerk is versleuteld, is het mogelijk om het te herstellen zonder cybercriminelen te betalen, wat hun belangrijkste inkomstenbron afsnijdt.
Desalniettemin heeft de opkomst van dubbele afpersingsaanvallen een extra laag complexiteit aan dit probleem toegevoegd, omdat als de organisatie geen losgeld betaalt, ze worden geconfronteerd met het vooruitzicht dat mogelijk gevoelige informatie over werknemers en klanten wordt gelekt.
“Heb je een plan als je informatie begint uit te lekken?”, zegt Hultquist. “Die stukjes moeten nu op hun plaats zitten, niet wanneer het de waaier raakt”
Het feit dat de VS en andere regeringen praten over ransomware zou ook als katalysator moeten werken voor elke organisatie – die om welke reden dan ook geen specifieke plannen had om een ransomware-aanval te voorkomen of te beschermen – om nu over hun plannen te beslissen .
Omdat zelfs in het ergste geval, wanneer het netwerk is versleuteld met ransomware, een vast plan kan helpen het incident te beheren en het mogelijk minder schadelijk te maken.
“Bedrijven moeten om de tafel gaan zitten met hun leidinggevenden en zij moeten beslissen: 'Als we het slachtoffer zijn van ransomware, hoeveel zijn we dan bereid te betalen, wie in het bestuur zal bevoegd zijn om hierover te onderhandelen en wat is onze relatie? bij wetshandhaving zijn als het gebeurt?'. Dan kijk je elk kwartaal opnieuw en vraag je: 'is dit nog steeds onze beslissing als we te maken krijgen met een ransomware-aanval, is dit dan nog steeds ons actieplan?'”, zegt DeGrippo.
“Als je nog niet hebt besloten hoe je het gaat aanpakken, zal het niet in je voordeel uitpakken”, voegt ze eraan toe.
MEER OVER CYBERVEILIGHEID
Ransomware groeit in een alarmerend tempo, waarschuwt GCHQ-chefWitte Huis dringt er bij Amerikaanse bedrijven op aan ransomware serieus te nemenRansomware is nu een nationaal veiligheidsrisico. Deze groep denkt te weten hoe ze het moeten verslaanNieuwe DOJ-taskforce om ransomware aan te pakken, zegt rapportRansomware: dramatische toename van aanvallen veroorzaakt op aanzienlijke schaal schade
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 