Een cyberaanval is geen storing!

Gepubliceerd op 16 juni 2022 om 07:00

Ransomware-aanvallen worden steeds gerichter en aanvallers gaan veel meer gefaseerd te werk om op die manier maximale schade aan te richten of zoveel mogelijk winst te behalen. Ook de uitbuiting van kwetsbaarheden in endpoints en andere systemen verbonden met internet is steviger dan ooit. Hierbij ligt de nadruk vaak op verouderde kwetsbaarheden die door beheerders over het hoofd worden gezien. Dit blijkt uit het nieuwe Cybersecurity Dreigingsbeeld en Adviesrapport NL, waarin experts hun visie delen op de stand van zaken in cybersecurity, aangevuld met onderzoekscijfers uit het Security Operations Center van Pinewood.

Van spray naar spear-aanval

Waar aanvallers voorheen voornamelijk met hagel schoten, proberen ze in toenemende mate eerst gericht ergens binnen te komen, om vervolgens rond te kijken in een IT-infrastructuur op zoek naar zwakke plekken. Door deze stap-voor-stap aanpak dringen criminelen door tot persoonlijke en/of gevoelige informatie, waardoor de kans groter is dat doelwitten sneller betalen. Hierbij valt op dat bedrijven moeite hebben om deze risico’s goed in kaart te brengen.

De discussie ontstaat of bedrijven bij ransomware-aanvallen wel of niet moeten betalen. Uit ervaring van Pinewoods SOC-specialisten blijkt echter dat betalen eigenlijk geen optie is, omdat het geen garantie is voor een oplossing. Maatregelen als gelaagde beveiliging, actuele draaiboeken die regelmatig geoefend worden, detectie en bewustwording bij medewerkers, actuele back-ups en het netwerk segmenteren, vormen in veel gevallen een goede bescherming tegen de grootste risico’s.

Ketenaanvallen

Cybercrime is steeds beter georganiseerd. Er vinden meer en meer ketenaanvallen plaats, waarbij verschillende cybercriminelen een stukje uit een langere aanvalsketen op zich nemen. Zo worden aanvallen ongrijpbaar en criminelen steeds slechter te traceren. In het rapport klinkt de oproep dat bedrijven en overheden beter moeten acteren en samenwerken op de gebieden predictie, detectie en respons zodat een ketenaanval in iedere fase kan worden gestopt. Dit wil volgens Michel van Eeten, hoogleraar Governance of Cybersecurity aan de TU Delft, in de praktijk nog wel eens uitblijven: “Nederland is een kei in het melden van datalekken, maar zet de gouden berg aan informatie die uit deze meldplicht komt niet om in adequate preventie en detectie.”

Petra Oldengarm, directeur van Cyberveilig Nederland, onderschrijft dit in het rapport: “Bedrijven moeten zelf hun weerbaarheid op orde brengen én breder met elkaar gaan samenwerken. En daar schort het nou net aan. Bedrijven die alleen naar preventie kijken maar niets doen aan detectie of respons, delven het onderspit. Wil je weerbaarder worden dan moet je gaan voor het totaalpakket van preventie, detectie en respons. En we moeten breder met elkaar beschikbare informatie uitwisselen over aanvallen en verdedigingstechnieken. Alleen dán winnen we de wapenwedloop die nu gaande is.”

Oude kwetsbaarheden in trek

Eind december 2021 kwam de kwetsbaarheid in de Apache library Log4j aan het licht. Uit de gegevens van Pinewoods SOC is op 8 januari 2022 een duidelijke piek te zien in het aantal pogingen om deze kwetsbaarheid uit te buiten. Opvallend is dat de pogingen daarna flink afnemen tot begin februari. Vanaf dat moment is juist weer een toename te zien en gedurende meerdere weken is er een licht stijgende lijn in het aantal aanvallen, ondanks de uitgebrachte patches. De analisten vermoeden dat er rond die periode nieuwe tools op de (zwarte) markt verschenen die uitbuiting van de kwetsbaarheid juist weer makkelijker maakten.  

Uit de SOC-cijfers blijkt sowieso dat veel oudere kwetsbaarheden nog altijd populair zijn onder aanvallers. Hiervoor zijn over het algemeen al patches vrijgegeven, maar deze worden niet altijd doorgevoerd. Na verloop van tijd verdwijnt dan ook de aandacht ervoor, omdat organisaties zich richten op nieuwe kwetsbaarheden. Bij aanvallers blijven de oudere kwetsbaarheden juist wel op de radar staan; ze gaan er actief naar op zoek.

Sebastiaan Kors, CEO van Pinewood: "Het Cybersecurity Dreigingsbeeld en Adviesrapport NL geeft vanuit verschillende experts een gebalanceerde kijk op de huidige status van cybercrime in Nederland, en wat we er tegen kunnen doen. De inzichten, tips en best practices zijn bedoeld om samen tot betere oplossingen te komen om bedrijven, instellingen en uiteraard de mensen erachter te beschermen."

Digitale vrijheid

Peter Lahousse, cybercrime en darkweb trendwatcher bij cybercrimeinfo.nl:  "Om maar meteen met de deur in huis te vallen: ik maak me zorgen. In Nederland vinden we vrijheid heel belangrijk – of het nu gaat over onze nationale vrijheid of over alledaagse vrijheid ten tijde van een pandemie - maar we hebben het te weinig over digitale vrijheid.

Op internet maken steeds meer grote, criminele spelers de dienst uit. Ze belemmeren ons om ons vrij en veilig te bewegen over het web. Ze persen ons af, bestelen en manipuleren ons. Niet gek dat dit ze veelvuldig lukt: overheid, bedrijven en burgers zijn vaak te naïef. We zijn met zijn allen in hoge mate afhankelijk geworden van onze digitale infrastructuur maar zetten onze voordeuren te makkelijk wijd open. Maar liefst 80% van de hacks wordt veroorzaakt door iets simpels als een slecht wachtwoord!"

Een cyberaanval is geen storing

"De grootste bedreiging van dit moment is dus onze eigen onwetendheid. Wat is er nodig om het tij te keren? Om het belang van cybersecurity in de haarvaten van alle lagen van de overheid, van elke grote corporate en iedere mkb’er, van de politie en van elke burger te krijgen? We moeten ons allereerst beter bewust worden van de gevaren. Dat gaat alleen maar als we de gevaren en impact van cybercrime daadwerkelijk zien. Lastig, want deze vorm van criminaliteit is niet zo zichtbaar als andere vormen. Wordt er een pinautomaat leeggehaald, dan zie je vier politiewagens met zwaailichten voorbijkomen. Voor een cyberaanval wordt de sirene niet aangezet. Je moet er dus bewust aandacht voor vragen. Dat kan bijvoorbeeld door het beestje bij de naam te noemen. Een hack is een cyberaanval, geen ‘storing’, zoals een getroffen bedrijf het in zijn externe communicatie vaak noemt.

Ten tweede moeten uiteraard de deuren dicht. Elk bedrijf - groot of klein -, iedere burger en elk overheidsorgaan moet zijn cybersecurity piekfijn op orde hebben. Met slimme wachtwoorden, gedegen beveiliging en de juiste experts op de juiste plek. Daarna is het een kwestie van zorgen dat je klaar bent voor het moment dat het tóch verkeerd gaat. Oefenen dus, zoals we ook doen met een brandoefening. Ga tijdens zo’n oefening tot het gaatje: laat de monitor op de OK van een ziekenhuis ook écht uitvallen, dan wordt de impact tastbaar en vallen de kwartjes. 

Het begint te komen. Heel geleidelijk begint het bewustzijn te groeien. Steeds vaker haalt een cyberaanval het nieuws. De overheid begrijpt steeds beter hoe belangrijk dit is. Bij de log4jaanval kwam het nationale SOC - het NCSC - bij elkaar. Een goede zet: als je samenwerkt en krachten bundelt, kun je een vuist vormen en voorkom je dat iedere cybersecurity-partner het wiel zelf moet uitvinden. We maken stappen. Maar criminelen maken grotere stappen. Zij kennen geen vertragende regels en taaie wetten. Werk aan de winkel dus, om ervoor te zorgen dat onze kleine stapjes grote
sprongen worden."

De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Bron: pinewood.nl

Pinewood Cybersecurity Dreigingsbeeld En Adviesrapport NL
PDF – 757,7 KB 36 downloads

Belgie: 1.700 computers Atlas College Genk geblokkeerd

Het Atlas College in Genk is vanochtend het slachtoffer geworden van computerhackers die opereren vanuit Zwitserland. “De 1.700 computers in het netwerk van onze school zijn onbruikbaar gemaakt, versleuteld. De hackers hebben in een mail om losgeld gevraagd. De Federal Computer Crime Unit en het parket onderzoeken de zaak”, zegt algemeen directeur Christel Schepers van het Atlas College.

Lees meer »

Kamer vragen over losgeld na ransomware aanvallen

D66 heeft minister Grapperhaus van Justitie en Veiligheid om duidelijkheid gevraagd over het betalen van losgeld door publieke instanties bij ransomware aanvallen. De aanleiding voor de Kamervragen is een artikel op Security.NL over cyberverzekeringen die voor een toename van ransomware-aanvallen zouden zorgen. Maar ook het nieuws dat de Universiteit Maastricht losgeld betaalde om door ransomware versleutelde bestanden terug te krijgen. Deze ontwikkelingen zijn mogelijk stimulerend voor cybercriminelen omdat de kans op betaling voor ransomware lijkt toe te nemen.

Lees meer »

Cybercriminelen beproeven hun geluk met Ransomware

Talloze cybercriminelen kiezen ervoor hun geluk te beproeven met het creëren en verspreiden van ransomware-bedreigingen. De toegangsbarrière als het gaat om het creëren van een ransomware-bedreiging is vrij laag. Dit komt omdat er verschillende bouwpakketten voor ransomware zijn, evenals gevestigde Trojans voor gegevensvergrendeling waarvan de code gemakkelijk online beschikbaar is (darkweb). Dit verklaart waarom de meeste nieuw gespotte ransomware-bedreigingen slechts kopieën zijn van reeds bestaande Trojaanse paarden die bestanden coderen. Sommige cybercriminelen bouwen hun bedreigingen echter helemaal opnieuw op. Dit lijkt te zijn wat er gebeurt met de 'Zeoticus' Ransomware.

Lees meer »

Criminele organisaties: Ransomware-as-a-Service verdienpotentieel vergroten

Cybercriminelen blijven het digitale aanvalsoppervlak afspeuren naar nieuwe aanvalsmogelijkheden, zoals internetinfrastructuren en protocollen voor netwerkcommunicatie. De reden hiervoor is dat steeds meer organisaties hun personeel beveiligingstraining en -voorlichting aanbieden, zodat populaire aanvalstechnieken zoals phishing minder succesvol zijn.

Lees meer »

Losgeld betalen aan cybercriminelen?!

De Universiteit Maastricht zou enkele tonnen betaald hebben aan cybercriminelen om de systemen weer draaiend te krijgen. Maar losgeld betalen is niet zonder risico: ‘Ze kunnen actief blijven op je netwerk'.

Lees meer »

Ransomware aanval op Universiteit Maastricht

De Universiteit Maastricht is slachtoffer van een grote cyberaanval. Verschillende websites en ook het mailsysteem werken niet meer. Windows-computers zijn niet meer toegankelijk en sommige websites van de universiteit zijn uit de lucht.

Lees meer »

Hakbit Ransomware

Hakbit Ransomware is een gevaarlijke ransomware infectie. Natuurlijk begrijpen de meeste gebruikers die besmet raken met dit programma niet hoe dat gebeurt, maar als we meer te weten zouden komen over de distributiepatronen van ransomware, zouden we kunnen voorkomen dat 'Hakbit Ransomware' onze systemen binnendringt.

Lees meer »

«   »