Een cyberaanval is geen storing!

Gepubliceerd op 16 juni 2022 om 07:00

Ransomware-aanvallen worden steeds gerichter en aanvallers gaan veel meer gefaseerd te werk om op die manier maximale schade aan te richten of zoveel mogelijk winst te behalen. Ook de uitbuiting van kwetsbaarheden in endpoints en andere systemen verbonden met internet is steviger dan ooit. Hierbij ligt de nadruk vaak op verouderde kwetsbaarheden die door beheerders over het hoofd worden gezien. Dit blijkt uit het nieuwe Cybersecurity Dreigingsbeeld en Adviesrapport NL, waarin experts hun visie delen op de stand van zaken in cybersecurity, aangevuld met onderzoekscijfers uit het Security Operations Center van Pinewood.

Van spray naar spear-aanval

Waar aanvallers voorheen voornamelijk met hagel schoten, proberen ze in toenemende mate eerst gericht ergens binnen te komen, om vervolgens rond te kijken in een IT-infrastructuur op zoek naar zwakke plekken. Door deze stap-voor-stap aanpak dringen criminelen door tot persoonlijke en/of gevoelige informatie, waardoor de kans groter is dat doelwitten sneller betalen. Hierbij valt op dat bedrijven moeite hebben om deze risico’s goed in kaart te brengen.

De discussie ontstaat of bedrijven bij ransomware-aanvallen wel of niet moeten betalen. Uit ervaring van Pinewoods SOC-specialisten blijkt echter dat betalen eigenlijk geen optie is, omdat het geen garantie is voor een oplossing. Maatregelen als gelaagde beveiliging, actuele draaiboeken die regelmatig geoefend worden, detectie en bewustwording bij medewerkers, actuele back-ups en het netwerk segmenteren, vormen in veel gevallen een goede bescherming tegen de grootste risico’s.

Ketenaanvallen

Cybercrime is steeds beter georganiseerd. Er vinden meer en meer ketenaanvallen plaats, waarbij verschillende cybercriminelen een stukje uit een langere aanvalsketen op zich nemen. Zo worden aanvallen ongrijpbaar en criminelen steeds slechter te traceren. In het rapport klinkt de oproep dat bedrijven en overheden beter moeten acteren en samenwerken op de gebieden predictie, detectie en respons zodat een ketenaanval in iedere fase kan worden gestopt. Dit wil volgens Michel van Eeten, hoogleraar Governance of Cybersecurity aan de TU Delft, in de praktijk nog wel eens uitblijven: “Nederland is een kei in het melden van datalekken, maar zet de gouden berg aan informatie die uit deze meldplicht komt niet om in adequate preventie en detectie.”

Petra Oldengarm, directeur van Cyberveilig Nederland, onderschrijft dit in het rapport: “Bedrijven moeten zelf hun weerbaarheid op orde brengen én breder met elkaar gaan samenwerken. En daar schort het nou net aan. Bedrijven die alleen naar preventie kijken maar niets doen aan detectie of respons, delven het onderspit. Wil je weerbaarder worden dan moet je gaan voor het totaalpakket van preventie, detectie en respons. En we moeten breder met elkaar beschikbare informatie uitwisselen over aanvallen en verdedigingstechnieken. Alleen dán winnen we de wapenwedloop die nu gaande is.”

Oude kwetsbaarheden in trek

Eind december 2021 kwam de kwetsbaarheid in de Apache library Log4j aan het licht. Uit de gegevens van Pinewoods SOC is op 8 januari 2022 een duidelijke piek te zien in het aantal pogingen om deze kwetsbaarheid uit te buiten. Opvallend is dat de pogingen daarna flink afnemen tot begin februari. Vanaf dat moment is juist weer een toename te zien en gedurende meerdere weken is er een licht stijgende lijn in het aantal aanvallen, ondanks de uitgebrachte patches. De analisten vermoeden dat er rond die periode nieuwe tools op de (zwarte) markt verschenen die uitbuiting van de kwetsbaarheid juist weer makkelijker maakten.  

Uit de SOC-cijfers blijkt sowieso dat veel oudere kwetsbaarheden nog altijd populair zijn onder aanvallers. Hiervoor zijn over het algemeen al patches vrijgegeven, maar deze worden niet altijd doorgevoerd. Na verloop van tijd verdwijnt dan ook de aandacht ervoor, omdat organisaties zich richten op nieuwe kwetsbaarheden. Bij aanvallers blijven de oudere kwetsbaarheden juist wel op de radar staan; ze gaan er actief naar op zoek.

Sebastiaan Kors, CEO van Pinewood: "Het Cybersecurity Dreigingsbeeld en Adviesrapport NL geeft vanuit verschillende experts een gebalanceerde kijk op de huidige status van cybercrime in Nederland, en wat we er tegen kunnen doen. De inzichten, tips en best practices zijn bedoeld om samen tot betere oplossingen te komen om bedrijven, instellingen en uiteraard de mensen erachter te beschermen."

Digitale vrijheid

Peter Lahousse, cybercrime en darkweb trendwatcher bij cybercrimeinfo.nl:  "Om maar meteen met de deur in huis te vallen: ik maak me zorgen. In Nederland vinden we vrijheid heel belangrijk – of het nu gaat over onze nationale vrijheid of over alledaagse vrijheid ten tijde van een pandemie - maar we hebben het te weinig over digitale vrijheid.

Op internet maken steeds meer grote, criminele spelers de dienst uit. Ze belemmeren ons om ons vrij en veilig te bewegen over het web. Ze persen ons af, bestelen en manipuleren ons. Niet gek dat dit ze veelvuldig lukt: overheid, bedrijven en burgers zijn vaak te naïef. We zijn met zijn allen in hoge mate afhankelijk geworden van onze digitale infrastructuur maar zetten onze voordeuren te makkelijk wijd open. Maar liefst 80% van de hacks wordt veroorzaakt door iets simpels als een slecht wachtwoord!"

Een cyberaanval is geen storing

"De grootste bedreiging van dit moment is dus onze eigen onwetendheid. Wat is er nodig om het tij te keren? Om het belang van cybersecurity in de haarvaten van alle lagen van de overheid, van elke grote corporate en iedere mkb’er, van de politie en van elke burger te krijgen? We moeten ons allereerst beter bewust worden van de gevaren. Dat gaat alleen maar als we de gevaren en impact van cybercrime daadwerkelijk zien. Lastig, want deze vorm van criminaliteit is niet zo zichtbaar als andere vormen. Wordt er een pinautomaat leeggehaald, dan zie je vier politiewagens met zwaailichten voorbijkomen. Voor een cyberaanval wordt de sirene niet aangezet. Je moet er dus bewust aandacht voor vragen. Dat kan bijvoorbeeld door het beestje bij de naam te noemen. Een hack is een cyberaanval, geen ‘storing’, zoals een getroffen bedrijf het in zijn externe communicatie vaak noemt.

Ten tweede moeten uiteraard de deuren dicht. Elk bedrijf - groot of klein -, iedere burger en elk overheidsorgaan moet zijn cybersecurity piekfijn op orde hebben. Met slimme wachtwoorden, gedegen beveiliging en de juiste experts op de juiste plek. Daarna is het een kwestie van zorgen dat je klaar bent voor het moment dat het tóch verkeerd gaat. Oefenen dus, zoals we ook doen met een brandoefening. Ga tijdens zo’n oefening tot het gaatje: laat de monitor op de OK van een ziekenhuis ook écht uitvallen, dan wordt de impact tastbaar en vallen de kwartjes. 

Het begint te komen. Heel geleidelijk begint het bewustzijn te groeien. Steeds vaker haalt een cyberaanval het nieuws. De overheid begrijpt steeds beter hoe belangrijk dit is. Bij de log4jaanval kwam het nationale SOC - het NCSC - bij elkaar. Een goede zet: als je samenwerkt en krachten bundelt, kun je een vuist vormen en voorkom je dat iedere cybersecurity-partner het wiel zelf moet uitvinden. We maken stappen. Maar criminelen maken grotere stappen. Zij kennen geen vertragende regels en taaie wetten. Werk aan de winkel dus, om ervoor te zorgen dat onze kleine stapjes grote
sprongen worden."

De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Bron: pinewood.nl

Pinewood Cybersecurity Dreigingsbeeld En Adviesrapport NL
PDF – 757,7 KB 41 downloads

De meest gevreesde Ransomware versleutelingen

Netwalker in een ransomware die in september 2019 werd ontdekt. Het draagt een tijdstempel van eind augustus 2019. Netwalker is een bijgewerkte versie van Mailto die ontdekt werd door de onafhankelijk cybersecurity-onderzoeker en Twitter-gebruiker GrujaRS.

Lees meer »

Spie International bevestigt ransomware aanval

Spie International is het slachtoffer geworden van cybercriminelen. Ze slaagde erin om de Nefilim-ransomware op het computernetwerk van het bedrijf te installeren. Inmiddels werken alle systemen weer en draait de productie weer als vanouds. Wel is er data buitgemaakt van diverse klanten.

Lees meer »

"Storing" bij Canon

Dat er veel meer cybercrime slachtoffers zijn dan wordt gemeld, is inmiddels wel duidelijk. Er heerst nog altijd een taboe rondom slachtofferschap van digitale delicten.

Lees meer »

Het businessmodel van 'Ransomware as a Service'

Vorige week werd Garmin slachtoffer van een ransomware aanval door de Russische hackers group Evil Corp. Dagenlang waren de diensten van Garmin onbereikbaar. Het is steeds makkelijker om dit soort aanvallen te doen omdat er zoiets bestaat als 'Ransomware as a Service' (RaaS).

Lees meer »

Het Nederlands kenniscentrum watertechnologie en slachtoffer van Ransomware, heeft besloten niet te zeggen wat er betaald is aan cybercriminelen

Het Friese onderzoeksinstituut Wetsus heeft na overleg met de politie besloten om het bedrag dat aan een cybercrimineel werd betaald voor het ontsleutelen van bestanden niet bekend te maken. Begin februari raakte het netwerk van Wetsus via een "openstaande serverpoort" door niet nader genoemde ransomware besmet. Een dag na de infectie betaalde Wetsus het losgeld omdat dit goedkoper was dan het zelf herstellen van de systemen.

Lees meer »

Klik en versleuteld is terug

In de afgelopen maand hebben onderzoekers van Proofpoint een toename van e-mail-gebaseerde ransomware-aanvallen waargenomen waarbij ransomware al in de eerste fase werd gebruikt. Dit is opmerkelijk omdat de afgelopen jaren aanvallers de voorkeur gaven aan downloaders (doxware) in de eerste fase van een aanval.

Lees meer »

Betaal geen losgeld: "De kans is groot dat er bij de ontsleuteling tal van problemen opduiken"

Organisaties die door ransomware worden getroffen moeten het losgeld voor het ontsleutelen van hun bestanden niet betalen, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. Het NCSC heeft vandaag een factsheet gepubliceerd waarin advies wordt gegeven om infecties door ransomware te voorkomen en wat organisaties in het geval van een besmetting kunnen doen.

Lees meer »

«   »