Ransomware beu? Aanvallers worden slimmer

Jeff Costlow, CISO ExtraHop

Ransomware is een cyberdreiging waar u al jarenlang over hoort en leest en daarom misschien beu bent. Aanvallers echter nog lang niet, die worden alsmaar slimmer. Zij kunnen er namelijk eenvoudig geld mee verdienen en slagen er steeds vaker in de toegangsbeveiliging van apparatuur en netwerken te omzeilen. Volgens het Verizon Data Breach Investigations Report 2019 (DBIR) blijft het aantal ransomware-aanvallen gestaag toenemen en is het nu de 2de grootste cyberdreiging. Hoe kunt u zo’n aanval het beste voorkomen?

Lucratieve inkomstenbron

Het succes en de groei van ransomware-aanvallen is deels te verklaren door de eenvoudige wijze waarop cybercriminelen er geld mee kunnen verdienen. Het is voor velen een lucratieve inkomstenbron geworden. Verder zijn er binnen het ransomware-ecosysteem tools beschikbaar gekomen die het gebruik van deze aanvalsmethode voor iedereen toegankelijk maken. Hoewel belangenorganisaties mensen waarschuwen en hulp bieden om een gijzeling door ransomware te voorkomen, worden de aanvallers alsmaar slimmer.

Focus op bedrijfskritische systemen

Securitymanagers zijn veel bezig geweest met de (mobiele) apparatuur van gebruikers en toegang tot het netwerk te beveiligen, terwijl cybercriminelen de focus verlegden naar bedrijfskritische servers en systemen. Medio juli zijn in Duitsland bijvoorbeeld nog elf ziekenhuizen en vier zorginstellingen en in de Verenigde Staten de cloudhostingprovider Insynq platgelegd. Om zo’n ransomware-aanval te voorkomen is er meer aandacht nodig voor de totale ICT-infrastructuur en het dagelijks gebruik daarvan.

Database en server gijzelen

Cybercriminelen beseffen dat ze meer schade veroorzaken en dus een hoger losgeld kunnen vragen, als ze erin slagen een database of server te versleutelen. Het niet beschikbaar zijn daarvan gedurende enkele uren  veroorzaakt als snel een miljoenenverlies. Containerrederij Maersk heeft wereldwijd honderden miljoenen aan schade geleden door de geslaagde NotPetya-aanval op hun servers. Er worden nog regelmatig nieuwe type ransomware-aanvallen ontdekt op bepaalde apparatuur, zoals onlangs voor de NAS-systemen van QNAP.

Remote toegang misbruiken

Een voorbeeld waaruit blijkt dat aanvallers steeds slimmer worden, is het toenemend gebruik van SamSam.  In combinatie met een goede voorbereiding helpt deze ransomwaresoftware cybercriminelen bij het omzeilen van beveiligingsoplossingen, om vervolgens kritische servers vrijwel onopgemerkt over te nemen. Daarvoor misbruiken ze onder andere de standaard Remote Desktop (RDP) functie van Microsoft Windows. Omdat SamSam niet met een ‘control & command’ server communiceert, is zo’n aanval moeilijk te ontdekken.

Windows Powershell ingang

Er is ook al ransomware actief die geen bestanden op een systeem installeert, maar de legitieme Windows Powershell programmeertaal gebruikt om toegang te krijgen tot netwerkservers. Deze Powerware misbruikt vervolgens macro’s in Office-bestanden om op een slimme wijze malafide softwarescripts te activeren. Steeds meer ransomware-ontwikkelingen zijn gericht op het ongemerkt passeren van oude generatie oplossingen voor netwerkbeveiliging, om van binnenuit de databases en servers van organisaties te gijzelen.

North-South versus East-West

Tot voor kort waren veel beveiligingsoplossingen gericht op het monitoren en inzichtelijk maken van zogeheten ‘North-South’-verkeer, oftewel vanaf de gebruikers naar de servers en het datacenter. Als cybercriminelen erin slagen deze beveiliging via versleutelde communicatie te omzeilen, kunnen ze binnen het netwerk ongestoord hun gang gaan. Om ransomware te ontdekken is het daarom noodzakelijk ook al het interne verkeer tussen de servers, ‘East-West’ genoemd, inzichtelijk te maken en te monitoren.

Aanval tijdig detecteren en voorkomen

Behalve al het netwerkverkeer beter inzichtelijk maken en monitoren is het belangrijk dat gijzelingspogingen worden gedetecteerd en voorkomen, voordat de aanvaller schade kan aanrichten. De nieuwe ransomware- ontwikkelingen zijn verontrustend en noodzaken organisaties om er anders naar te gaan kijken dan alleen maar een vorm van malware. Veel traditionele beveiligingsoplossingen zijn ontwikkeld voor oude generatie mal- en ransomware, terwijl de nieuwe ontwikkelingen om een andere aanpak en tools vragen.

Netwerkgedrag realtime monitoren

Ondanks het gebruik van nieuwe technologie blijft ransomware zich merendeels op een voorspelbare en dus detecteerbare wijze gedragen, waaronder het verkennen van systemen. Oude technieken zoals het scannen op virussen zijn tegenwoordig onvoldoende geschikt om ransomware te ontdekken. Alleen via het realtime monitoren van alle netwerkverkeer is het mogelijk afwijkend gedrag en interne bedreigingen tijdig te signaleren en de benodigde actie te ondernemen om het gijzelen van systemen en data te voorkomen. 

Blinde vlekken voorkomen

Ransomware-gebruikers proberen continu blinde vlekken te vinden en te benutten, om onzichtbaar hun doel te bereiken en daarna waardevolle data of systemen te gijzelen. Behalve realtime inzicht in het netwerkverkeer en -gedrag hebben organisaties daarom ook geautomatiseerde beveiligingstools nodig, die ransomware tijdig detecteren en verwijderen. Wanneer medewerker of klanten ten onrechte geen netwerktoegang krijgen, ondervindt de business daar eveneens schade van.

Nieuwe generatie cybersecurity-oplossingen

De nauwkeurigheid en reactiesnelheid bij het bestrijden van cyberaanvallen blijven van cruciaal belang, zeker in de laatste stadia van ransomware-aanvallen. Gelukkig zijn er al nieuwe generatie cybersecurity-oplossingen beschikbaar voor het inzichtelijk maken van blinde vlekken in de volledige ICT-infrastructuur. Let er echter op dat deze ook bewezen functionaliteit voor het detecteren en tegenhouden van slimmere ransomware bevatten en maak daar zo snel mogelijk gebruik van.