'De bibliotheek voor de bestrijding van digitale criminaliteit'

Home » Cybercrime » Hackers hebben maar twee uur nodig om het hele bedrijfsnetwerk over te nemen

Hackers hebben maar twee uur nodig om het hele bedrijfsnetwerk over te nemen

Gepubliceerd op 27 januari 2021 om 14:00

Er komt mogelijk een nieuwe golf van ransomware-aanvallen aan. Daarvoor waarschuwt het Nederlandse beveiligingsbedrijf Northwave, dat vaak slachtoffers van dat soort aanvallen bijstaat. Het Nederlandse beveiligingsbedrijf waarschuwt ons voor een nieuwe golf aan ransomware-aanvallen. Dit jaar heeft het bedrijf al meerdere phishingmails voorbij zien komen die zogenaamd afkomstig zijn van DocuSign.

Wat was het ook alweer?

Ransomware is een vorm van malware waarbij hackers en cybercriminelen mensen proberen op te lichten door hun bestanden op slot te gooien. In de meeste gevallen sturen de aanvallers een e-mail aan bedrijven en organisaties met daarin een URL die naar een malafide webpagina doorverwijst.

Of ze versturen een e-mail met daarin een bijlage met kwaadaardige macro’s, zoals een Word- of Excel-bestand. Ze hopen dat een onoplettende of niet-geïnformeerde medewerker op de link klikt of de bijlage downloadt. Dan slaan ze hun slag en installeren ze de ransomware op de computer van de werknemer.

Laterale fase en privilege escalatie fase

Als de kwaadaardige software eenmaal geïnstalleerd is, proberen hackers toegang te krijgen tot het gehele bedrijfsnetwerk. Dit noemen we ook wel de 'laterale fase'. Het doel is om meer controle te krijgen over de digitale omgeving van de organisatie waar ze het op gemunt hebben. Uiteindelijk proberen de aanvallers toegang te krijgen tot bestanden waar ze normaal gesproken geen toegang tot zouden hebben. Dit wordt ook wel de privilege-escalatie fase genoemd.

Eerste data stelen dan versleutelen

In de zojuist genoemde fase proberen de daders de ‘kroonjuwelen’ van het bedrijf buit te maken. Ze stelen bedrijfsgevoelige data of versleutelen belangrijke gegevens. Werknemers kunnen dan niet langer bij bestanden, of worden in het ergste geval buitengesloten.

De hackers hebben het bedrijf dan in een houdgreep: hun slachtoffer moet een aardige som losgeld betalen. Zo niet, dan verkopen ze de gestolen data aan de hoogste bieder. Als het geld eenmaal op de rekening van de aanvallers staat, ontvangt het bedrijf een zogeheten decryptor, een tool om versleutelde bestanden van het slot te halen.

Makkelijker gezegd dan gedaan

Zowel de overheid als het Nationaal Cyber Security Centrum (NCSC) adviseert om geen losgeld te betalen. Betalen stimuleert immers het verdienmodel van hackers en cybercriminelen, zo is de gedachte. Dat is echter makkelijker gezegd dan gedaan: iedere dag dat de bedrijfsvoering stil ligt, kost de ondernemer handen vol geld. Ze kiezen dan liever eieren voor hun geld en betalen het losgeld aan de aanvallers. Dat is precies wat de Universiteit Maastricht deed toen hackers eind 2019 het netwerk van de onderwijsinstelling overnamen. De universiteit betaalde omgerekend bijna 200.000 euro om weer toegang te krijgen tot haar systemen.

Veel meer slachtoffers

De Universiteit Maastricht was niet de enige instantie die het slachtoffer werd van ransomware. Afgelopen jaar werden tal van organisaties en bedrijven getroffen door ransomware. Denk aan Spie International, het moederbedrijf achter alcoholfabrikant Jack Daniel’s, speelgoedfabrikant Mattel, chipmaker Foxconn, de Japanse game ontwikkelaar Capcom, en Veiligheidsregio Noord- en Oost-Gelderland (VNOG). En dat is nog maar het topje van de ijsberg.

Phishingmails met malware

Ook in het nieuwe jaar moeten we oppassen. Sinds afgelopen donderdag ziet het in Utrecht gevestigde beveiligingsbedrijf Northwave dat cybercriminelen phishingmails verstuurt met daarin malafide software. De e-mails zijn zogenaamd afkomstig van DocuSign, een tool dat bedrijven en organisaties gebruiken om documenten digitaal mee te ondertekenen.

Digitale handtekening zijn onmisbaar voor instanties. Net als een echte handtekening stelt een digitale handtekening de identiteit van de ondertekenaar vast, en daarmee de onweerlegbaarheid van een bericht (dat het bericht daadwerkelijk van de persoon in kwestie afkomstig is). Daarnaast garandeert een digitale handtekening dat de boodschap niet gewijzigd is nadat deze is ondertekend. Daarmee waarborgt een organisatie de integriteit van de boodschap, oftewel de juistheid en volledigheid van het bericht.

Hackers extreem actief

Steven Dondorp van Northwave vertelt tegenover de NOS dat hackers ‘extreem actief’ waren in december en de eerste week van januari. Daar is volgens hem een eenvoudige verklaring voor: dan zijn de meeste organisaties onderbezet en geeft aanvallers de kans om hun slag te slaan.

Maar ook nu de personele bezetting weer goed geregeld is, zitten hackers niet stil. Northwave waarschuwt bedrijven en overheden voor een nieuwe golf ransomware-aanvallen. Als aanvallers erin slagen om een phishingcampagne succesvol uit te voeren, hebben hackers vaak maar twee uur nodig om het hele bedrijfsnetwerk over te nemen. Vervolgens wordt in de daarop volgende dagen de ransomware geïnstalleerd

Wat kun je doen

Er zijn allerlei dingen die je kunt ondernemen om te voorkomen dat ransomware je computer besmet.

  • Allereerst moet je ontzettend goed opletten dat je niet in een phishing scam trapt. Kijk kritisch naar de links in e-mails. Wordt hij niet tegengehouden door spamfilters en vertrouw je de boel niet? Klik dan vooral niet op de link.
  • Onze tweede advies is om regelmatig updates uit te voeren. Hierdoor maak je het criminelen een stuk moeilijker om misbruik te maken van kwetsbaarheden in het systeem of de software. Bij grote computernetwerk is het verstandig om alle netwerkactiviteiten voortdurend te monitoren. Zo herken je een ransomware-aanval op het moment dat deze plaatsvindt.
  • Zorg dat je de beveiliging van je netwerk en medewerkers op orde hebt. Naast een gebruikersnaam en wachtwoord is het verstandig om de toegang tot kritieke applicaties en belangrijke accounts te beveiligen met tweestapsverificatie. Naast een gebruikersnaam en wachtwoord heb je ook een speciale inlogcode nodig. Deze verandert iedere dertig seconden en ontvang je in de meeste gevallen op je smartphone.
  • Om je internetverbinding te beveiligen is het verstandig om een VPN te gebruiken. Een VPN versleutelt je internetverkeer, maskeert je IP-adres en omzeilt geografische restricties.
  • Tot slot is het natuurlijk verstandig om regelmatig een back-up te maken van je data. Hierdoor voorkom je dat je data zomaar kwijt is. Bewaar deze back-ups op een externe locatie buiten het pand, of sla ze op in de cloud.

Bron: NPO Radio 1, northwave-security.com, nos.nl, vpngids.nl

Meer nieuwsberichten of info over ‘ransomware’?

Van A tot Z (vormen van cybercrime en vaak gebruikte begrippen) in begrijpelijke taal.

 

Tips of verdachte activiteiten gezien? Meld het hier of anoniem.

Lees ook


«   »