Bedrijven zijn aan de verliezende hand in de strijd tegen ransomware-aanvallers als het gaat om het beschermen van hun gegevens. Uit het Veeam 2022 Ransomware Trends Report blijkt dat 72 procent van de organisaties te maken heeft gehad met gedeeltelijke of complete aanvallen op hun back-up repositories.
Aanvallen op bekende kwetsbaarheden
Dit had een dramatische impact op hun vermogen om gegevens te herstellen zonder losgeld te betalen. Veeam Software vond dat 80 procent van de succesvolle aanvallen zich richtte op bekende kwetsbaarheden, wat het belang van patching en het upgraden van software benadrukt. Bijna alle aanvallers poogden de back-up repositories van hun slachtoffers te vernietigen om ervoor te zorgen dat zij alleen nog tegen betaling gegevens konden herstellen.
Het ransomware Trends Report onthult de resultaten van een onafhankelijk onderzoeksbureau dat ruim 1.000 IT-leiders ondervroeg wiens organisatie ten minste een keer in de laatste 12 maanden succesvol aangevallen werd door ransomware.
Onderzoekers onderzochten de belangrijkste lessen die uit deze incidenten getrokken werden, hun impact op IT-omgevingen en de stappen die genomen werden om moderne dataprotectie-strategieën te implementeren.
Het onderzoek richtte zich met name op vier IT-persona’s (CISO’s, security professionals, back-up administrators en IT-operations) om inzicht te krijgen in de afstemming van cyberparaatheid in organisaties.
"Ransomware heeft datadiefstal gedemocratiseerd en vereist samenwerking van organisaties uit alle branches. We moeten samenwerken zodat we kunnen afstappen van het betalen van losgeld," zegt Danny Allen, CTO bij Veeam. "Het betalen van cybercriminelen om gegevens te herstellen is geen dataprotectiestrategie. Er is namelijk geen garantie dat gegevens hersteld worden en het risico van reputatieschade en verlies van vertrouwen van de klant is dan ook groot. Belangrijker nog, het bevestigt en beloont criminele activiteit."
76 procent betaalde om de aanval te beëindigen
Van de ondervraagde organisaties betaalde het grootste gedeelte van de slachtoffers (76 procent) losgeld om een aanval te beëindigen en gegevens te herstellen. Terwijl 52 procent het losgeld betaalde en hun gegevens konden herstellen, was dit voor 24 procent niet mogelijk.
Dit komt neer op een kans van een op drie dat het betalen van losgeld nog altijd niet leidt tot het herstellen van gegevens. Negentien procent van de organisaties betaalde het losgeld niet, omdat zij hun gegevens zelf konden herstellen. Dit is wat de overige 81 procent van de slachtoffers moet nastreven: gegevens herstellen zonder losgeld te betalen.
Het aanvalsoppervlak voor criminelen is divers. Zij moeten echter eerst toegang krijgen tot productieomgevingen, doordat gebruikers op kwaadaardige links klikken, ongecensureerde websites bezoeken of klikken op phishing e-mails - dit legt het vermijdbare karakter van veel incidenten bloot.
Nadat criminelen zich succesvol toegang hebben verschaft tot de omgeving, was er weinig verschil zichtbaar in infectie van datacenters, remote office platforms en cloud-hosted servers. In veel gevallen maakten indringers gebruik van bekende kwetsbaarheden, waaronder die van veel gebruikte besturingssystemen en hypervisors, alsmede NAS-platforms en database servers.
Zij lieten dan ook geen enkele mogelijkheid liggen om ongepatchte of verouderde software te exploiteren. Opvallend is wel dat er hogere infectiepercentages werden gerapporteerd door security professionals en back-up administrators in vergelijking met IT-operations of CISO’s, wat impliceert dat "degenen die dichter bij het probleem staan, nog meer van de problemen zien."
Respondenten bevestigen dat 94 procent van de aanvallers proberen om back-up repositories te vernietigen. In 72 procent van de gevallen was deze strategie in ieder geval deels succesvol. Het vernietigen van de lifeline van de organisatie is een populaire aanvalsstrategie die de kans vergroot dat organisaties het losgeld daadwerkelijk betalen.
De enige manier om zich te beschermen tegen dit scenario is door ten minste één onveranderlijke of air-gapped tier te hebben binnen het dataprotectie-framework - wat 95 procent van de ondervraagden nu heeft. Veel organisaties meldden zelfs een zekere mate van onveranderlijkheid of air-gap media in meer dan één laag van hun schijf-, cloud- en tapestrategie.
Andere bevindingen uit het Ransomware Trends Report zijn
-
Orchestratie doet ertoe
Om de herstelbaarheid van hun systemen proactief te garanderen, automatiseert een op de zes (16 procent) IT-teams de validatie en herstelbaarheid van hun back-ups. Vervolgens gebruikt 46 procent van de respondenten tijdens het herstel van een ransomware-aanval een geïsoleerde "sandbox" of testruimte om ervoor te zorgen dat hun herstelde gegevens schoon zijn voordat de systemen opnieuw in productie worden genomen.
-
Teams moeten zich verenigen
81 procent is van mening dat de cyber- en continuïteits-/disaster recovery-strategieën van hun organisaties op elkaar zijn afgestemd. 52 procent van de respondenten vindt echter dat de interacties tussen deze teams verbeterd moeten worden.
-
Diversifieer repositories
Bijna alle (95 procent) organisaties hebben ten minste één onveranderlijke of air-gapped dataprotectie-laag; 74 procent gebruikt cloud repositories die onveranderlijkheid bieden; 67 procent gebruikt on-premises disk repositories met onveranderlijkheid of vergrendeling; en 22 procent gebruikt tape die air-gapped is. Onveranderlijk of niet, organisaties merkten op dat naast disk repositories, 45 procent van de productiegegevens nog steeds op tape wordt opgeslagen en 62 procent op een bepaald moment in hun datalevenscyclus naar een cloud gaat. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: veeam.com, managersonline.nl
Meer info over ransomware
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Meer rapporten bekijken of downloaden
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer ransomware nieuws
Logistiek bedrijf in Brabant betaalt losgeld na infectie door ransomware
De Brabantse logistiek dienstverlener 'Van der Helm Logistics' heeft cybercriminelen losgeld betaald nadat bestanden door de Lockbit-ransomware waren versleuteld. De realtimeback-ups waren ook door de ransomware versleuteld en de tapestreamer voor de tapeback-ups was kapot gegaan. Dat laat het bedrijf tegenover De Volkskrant weten.
Minister: "Door losgeld te betalen worden criminele activiteiten beloond en gestimuleerd"
Minister van Justitie en Veiligheid Ferd Grapperhaus vraagt verzekeraars om het losgeld dat cybercriminelen eisen bij ransomware niet langer te vergoeden. De minister is van mening dat de geleden schade als gevolg van het niet-betalen van het losgeld het uitgangspunt moet zijn van verzekeraars. Door het gevraagde losgeld te vergoeden, werken ze cybercriminaliteit in de hand.
2,3 miljoen dollar aan cybercriminelen betaald
Wisselkantoor Travelex betaalde 2,3 miljoen dollar aan cybercriminelen na een ransomware-aanval. De systemen van Travelex werden begin januari versleuteld door ransomware. Travelex heeft cyberecriminelen betaald om verloren data terug te krijgen blijkt uit bronnen van The Wall Street Journal.
Organisaties lopen flink risico om geraakt te worden door ransomware
Organisaties lopen flink risico om geraakt te worden door ransomware én de impact kan dan groot zijn. Dit geven IT’ers aan in het 2020-securityonderzoek van AG Connect ‘Reageren op ransomware’, wat is uitgevoerd vlak voordat de coronacrisis uitbrak in Nederland.
Grootste energiebedrijf van Portugal getroffen door ransomware
'Energias de Portugal (EDP)', het grootste energiebedrijf van Portugal, is op tweede paasdag getroffen door ransomware. De aanvallers claimen dat ze tien terabyte aan data van de servers van EDP hebben gestolen en dreigen die openbaar te maken tenzij het bedrijf 10 miljoen euro losgeld betaalt, zo melden beveiligingsonderzoekers Vitali Kremez en 'MalwareHunterTeam' op Twitter.
"Sterke toename van het aantal aanvallen met ransomware op ziekenhuizen" zegt Interpol
Er is een sterke toename van het aantal aanvallen met ransomware op ziekenhuizen en medische instellingen, zo stelt Interpol, dat zowel ziekenhuizen als politiediensten in 194 landen voor de verhoogde dreiging heeft gewaarschuwd.
De Ryuk-ransomware is afgelopen maand gebruikt voor aanvallen op 10 gezondheidsorganisaties
De Ryuk-ransomware blijft zich richten op ziekenhuizen tijdens de coronacrisis.
Begeleidingscentrum Open Thuis in Hasselt (B) slachtoffer van ransomware-aanval
Open Thuis vzw in Hasselt, een begeleidingscentrum voor volwassenen met een beperking, is het voorbije weekend het slachtoffer geworden van een aanval met gijzelsoftware.
Ransomware criminelen zetten toch data van medische instelling online na aanval
De criminelen achter de 'Maze-ransomware' hebben data online gezet van een Brits onderzoeksbedrijf dat medicijnen en vaccins voor ziektes maakt. De groep beloofde eerder dat juist niet te doen.
Laat je niet gijzelen door ransomware
Ransomware kosten escaleren, met wereldwijde schade voorspeld tot $ 20 miljard tegen 2021, volgens 'Northport-gebaseerde Cybersecurity Ventures'.
Scholen kwetsbaar voor ransomware tijdens vakanties
De Stichting Limburgs Voortgezet Onderwijs (LVO), met 23 scholen verspreid over 31 locaties, is 19 februari getroffen door een nieuw soort ransomware dat nog niet door virusscanners werd herkend.
Politie: pas op voor nieuwe ransomware technieken
Tegenwoordig worden bij ransomware-aanvallen niet alleen bestanden versleuteld, maar ook data gestolen. Wanneer er niet aan de betaling wordt voldaan, dreigen ransomware-criminelen nu met het online verspreiden van de gestolen bedrijfsdata. De politie waarschuwt afgelopen zondag in 'Reporter Radio' voor deze ontwikkeling.