‘Contouren van een cyberwar worden zichtbaar’

  1. 22 dec 2017
  2. 0 reacties

Wat zijn de securitytrends voor 2018? Volgens Erik Remmelzwaal, directeur bij beveiligingsspecialist DearBytes, wordt het een bewogen jaar met aanvallen. In 2017 hebben we met WannaCry en NotPetya de potentiële impact van een cyberwar ervaren. Door geopolitieke spanningen is de kans groot dat we dit soort aanvallen vaker gaan meemaken. Of dit leidt tot meer beveiligingsbewustzijn? “Ik denk dat we op een andere manier een gedragsverandering teweeg moeten brengen.”

2017 was op het gebied van security een jaar met pieken en dalen. Grootschalige aanvallen als WannaCry en Petya zorgden voor veel schade en onrust. Tegelijkertijd kreeg het onderwerp de politieke aandacht die het verdient. Zo werd bekend dat Rutte III structureel 95 miljoen euro per jaar reserveert voor cybersecurity.

awareness_dearbytes

Die extra middelen zullen in 2018 hard nodig zijn. DearBytes signaleerde in 2017 meerdere trends die in 2018 mogelijk voor nog grotere problemen gaan zorgen. Remmelzwaal licht er vijf uit:

  1. Ransomware wordt nog persoonlijker

Ransomwareaanvallen waren in het verleden meestal gericht op grote aantallen privégebruikers. “Maar cybercriminelen weten inmiddels dat het veel lucratiever is om zakelijke gebruikers zeer gericht en persoonlijk aan te vallen. Een slachtoffer is eerder geneigd om een groot geldbedrag te betalen als aanvallers belangrijke bedrijfsprocessen gijzelen. Door het gerichte en persoonlijke karakter van de aanval is bijvoorbeeld een nepmail moeilijker van echt te onderscheiden.”

Voor de hand liggende doelwitten zijn politici en de directeuren van organisaties zoals grote advocatenkantoren en financiële instellingen. Die beschikken over veel gevoelige gegevens en kunnen het gevraagde bedrag snel op tafel leggen. “Maar ook de gezondheidszorg en het onderwijs lopen gevaar. Neem ziekenhuizen. Het direct patchen van kwetsbare apparatuur is daar lang niet altijd een optie. Als ransomware operaties onmogelijk maakt, is de verleiding om te betalen echter groot.”

  1. Contouren van een cyberwar worden zichtbaar

Totale verwoesting lijkt steeds vaker de opzet van aanvallers. Remmelzwaal: “De Petya-uitbraak in juni 2017 was een goed voorbeeld van zo’n ‘Destruction of Service’ (DeOS)-aanval. In eerste instantie leek het te gaan om ransomware, maar al snel werd duidelijk dat vernietiging van data en verstoring van processen het primaire doel was. En dan met name data en processen in Oekraïne.”

“Door Petya weten we nu eindelijk hoe een cyberwar eruitziet”, aldus Remmelzwaal. “Daar gaan we nog meer voorbeelden van zien. Het zou me verbazen als het in 2018 tot een cyber-staakt-het-vuren komt.”

  1. Computers lopen vast door coinminers

De hoge bitcoinkoers heeft voor een ware goudkoorts gezorgd. Moderne ‘goudzoekers’ delven nieuwe cryptocurrencies zoals bitcoins en ether door met speciale, krachtige computers ingewikkelde cryptografische raadsels op te lossen. Maar dat delven gebeurt soms ook met illegale middelen, waarschuwt Remmelzwaal.

“We zien nu de opkomst van de ‘coinminers’. Dit is malware die bijvoorbeeld met behulp van een worm zoveel mogelijk computers besmet om de computerkracht van de slachtoffers vervolgens te misbruiken voor het minen van cryptocurrencies. Slachtoffers hebben vaak niet door dat ze zijn gecompromitteerd, al zou een trager reagerende computer en een hogere energierekening daar wel op kunnen wijzen.”

  1. Doxware: chantage met datalekken

Cybercriminelen te slim af zijn door te zorgen voor een goede back-up die je na een besmetting met ransomware direct terugzet? En gewoon niet betalen? Daar hebben de aanvallers iets op gevonden. Want als het slachtoffer niet betaalt, dan publiceer je de (gevoelige) data toch gewoon online?

“Hiermee is het vrij nieuwe fenomeen doxware geboren: ransomware die waardevolle of gevoelige informatie openbaar maakt tenzij je het losgeld betaalt”, zegt Remmelzwaal. “Doxware geeft cybercriminelen een stok achter de deur voor als het slachtoffer weigert te betalen.”

  1. Sextortion wordt een steeds groter maatschappelijk probleem

Doxware past volgens de directeur van DearBytes binnen de bredere trend dat afpersers slachtoffers chanteren met het dreigement data te onthullen. Dat kunnen belangrijke bestanden of geheime chats zijn, maar ook naaktfoto’s of privéseksfilmpjes van het slachtoffer. “Dan hebben we het over ‘sextortion’ en daarmee kunnen oplichters levens verwoesten, ook het leven van bijvoorbeeld directeuren die met compromitterend materiaal onder druk worden gezet om bepaalde beslissingen te nemen.”

Bij sextortion kan de afperser een cybercrimineel zijn die het materiaal uit een Dropbox- of iCloud-account heeft gestolen, maar ook een ex die zint op wraak. “Ik hoop in ieder geval dat het kabinet in 2018 vaart maakt met het als zelfstandig delict strafbaar stellen van wraakporno”, aldus Remmelzwaal.

Security-awareness

“Genoeg redenen om in 2018 nog meer aandacht te besteden aan security-awareness”, concludeert Remmelzwaal. “Niemand wil bijdragen aan een cyberwar of het slachtoffer worden van chantagepraktijken. Het bevorderen van het beveiligingsbewustzijn wordt ook afgedwongen in de Algemene Verordening Gegevensbescherming. Iedereen die met persoonsgegevens werkt, moet weten hoe daar veilig mee om te gaan. De vraag is hoe we campagnes opzetten die effect hebben.”

Remmelzwaal is niet erg onder de indruk van de impact van de meeste security-awarenesscampagnes. “Dreigingen zoals bankingtrojans, datalekken, cyberspionage en ransomware zijn nooit een trigger geweest om gedrag te veranderen. En je kunt je afvragen of de traditionele vormen van voorlichting en het opleggen van boetes wel werken. Ik denk eigenlijk dat we nu een heilloze weg bewandelen.”

Om zijn mening kracht bij te zetten, verwijst hij naar het Nationaal Cybersecurity Bewustzijnsonderzoek. Hieruit blijkt dat Nederlanders zich nog altijd maar weinig zorgen maken over hun digitale veiligheid op het werk. Veel Nederlanders denken dat ze een phishingmail wel herkennen, terwijl dat in de praktijk vaak niet zo blijkt te zijn. “Die zelfoverschatting maakt van medewerkers een gemakkelijk doelwit. Vaak is ook de gedachte: het valt allemaal wel mee, we worden bang gemaakt door de securityfabrikanten. Bedrijven nemen pas actie op het moment dat ze zelf hard getroffen zijn.”

Stevigere boodschap

“Misschien moeten we niet meer kiezen voor de ‘zachte aanpak’, maar kijken of we met een boodschap die indruk maakt een gedragsverandering kunnen realiseren”, stelt Remmelzwaal. Als voorbeeld geeft de directeur EduCrypt: een ransomwarecampagne waarbij niet geld de drijfveer was, maar educatie. Na versleuteling van bestanden toonde EduCrypt een tekstbestand met het wachtwoord om de versleuteling op te heffen en het programma waarmee je dat kon doen. Het virus was verder ongevaarlijk. Het diende alleen als een waarschuwing om voortaan goed op te letten bij het downloaden van internet.

“Ik heb er mijn twijfels over of zo'n harde variant effectief is. Maar misschien is de politiek er in 2018 klaar voor om in samenwerking met het bedrijfsleven campagnes op te zetten die echt blijven hangen”, besluit Remmelzwaal. “Mensen schrik of angst aanjagen is zeker niet de manier, maar de boodschap mag wel wat steviger worden.”