Het is niet voor niets dat Forrester concludeert dat het aantal ransomware-aanvallen in het afgelopen jaar met ruim 300 procent is toegenomen. Een trend die volgens hen ook in 2022 blijft doorzetten. Cybercriminelen blijven op zoek naar nieuwe manieren om netwerken te infiltreren. Dit wordt verder benadrukt door onderzoek van het BlackBerry Research & Intelligence-team. Het team ontdekte namelijk onlangs een ongebruikelijk verband tussen de activiteiten van verschillende aanvalsgroepen.
Cybercriminelen netwerken met elkaar en wisselen informatie uit
Cybercriminelen netwerken met elkaar, wisselen informatie uit, ontwikkelen voortdurend nieuwe malware en herzien hun eigen phishing-methoden. Het feit dat kunstmatige intelligentie (AI)- en machine learning (ML)-applicaties aantoonbaar in staat zijn om betere phishing-e-mails op te stellen dan een mens, laat zien hoe vaardig cybercriminelen zijn in het optimaliseren van hun eigen kwaadwillende praktijken.
Groter automatiseringgehalte
Dit blijkt ook uit een publicatie van Fortinet. Zij presenteerden onlangs een nieuwe editie van de halfjaarlijkse FortiGuard Labs Global Threat Landscape Report. Bedreigingsinformatie die in de tweede helft van 2021 werd verzameld, wijst op een toename van het automatiseringsgehalte en de snelheid van cyberaanvallen. Als aanvallers steeds meer vertrouwen op AI en ML en automatisering, doen bedrijven er goed aan om eersteklas defensietools te gebruiken die ook gebaseerd zijn op AI- en ML-technologieën. Benut vooral dezelfde technologie als de aanvallers, is een advies. Maak gebruik van alle beschikbare data en zet, samen met partners en leveranciers, de kracht van AI en ML in. Op die manier kunnen organisaties een volgende stap zetten in het minimaliseren van hun cyberrisico’s en het maximaliseren van hun veerkracht. En zo blijven ze cybercriminelen (hopelijk) een stap voor.
Onvoorspelbaar karakter
Die aanvallers maken inmiddels gebruik van geavanceerdere technieken om langdurig onopgemerkt te blijven. Ze hebben een onvoorspelbaarder en verwoestender karakter dan eerdere aanvallen. Door de opkomst van hybride werken en hybride IT-omgevingen is het aanvalsoppervlak uitgebreid. Een analyse van malware-varianten wijst op een aanhoudende belangstelling van cybercriminelen voor misbruik van omgevingen voor thuiswerken en leren op afstand. Ze maakten veelvuldig gebruik van browsergebaseerde malware. Vaak is er sprake van phishing-trucs of scripts die code injecteren of gebruikers naar kwaadaardige websites omleiden.
Nepmail over Oekraïne-oorlog
Cybercriminelen gebruiken deze technieken om misbruik te maken van de behoefte van mensen aan nieuws over de coronacrisis, sportevenementen en andere actuele onderwerpen om zichzelf toegang tot bedrijfsnetwerken te verschaffen. Zo zien we op dit moment een sterke stijging van nepberichten over de oorlog in Oekraïne en de hoge olieprijzen. Door de opkomst van hybride werken en leren op afstand is er bovendien sprake van minder beveiligingslagen tussen malware en potentiële slachtoffers. Organisaties moeten daarom een beveiligingsaanpak hanteren die op ‘work from anywhere’ is ingericht. Dit is mogelijk met security-oplossingen die gebruikers volgen, ondersteunen en beschermen waar zij zich ook maar bevinden. Dit vraagt daarnaast om geavanceerde endpoint-beveiliging in combinatie met oplossingen die zero-trust mogelijk maken.
Financiële drijfveer
Ransomware is, zoals hierboven beschreven, volop in omloop en krijgt een steeds verwoestender karakter. In Nederland krijgt één op de vijf ondernemers met ransomware te maken, zo blijkt uit cijfers van het KVK Handelsregister. Per week vinden in ons land ongeveer 294 aanvallen plaats. Achter de meeste van deze misdrijven bevindt zich een financiële drijfveer. De gemiddelde hoeveelheid losgeld die werd betaald als gevolg van een geslaagde ransomware-aanval bedroeg vorig jaar zo’n 67.000 euro.
Ook uit data van FortiGuard Labs blijkt dat de opleving in ransomware van vorig jaar nog niet op zijn retour is. Het raffinement, de agressiviteit en de impact van ransomware nemen zelfs toe. Cybercriminelen blijven organisaties bestoken met allerhande bekende en nieuwe ransomware-varianten en laten vaak een spoor van vernieling na. Oude ransomware wordt continu verbeterd.
Ransomware-as-a-Service
Cybercriminelen maken ook gebruik van Ransomware-as-as-Service (RaaS)-businessmodellen. RaaS stelt hen in staat om ransomware te verspreiden zonder die zelf te hoeven ontwikkelen. FortiGuard Labs observeerde een constant niveau van kwaadaardige activiteit rond de nieuwe ransomware-varianten Phobos, Yanluowang en BlackMatter. De cybercriminelen achter BlackMatter beloofden dat zij geen zorginstellingen of vitale infrastructuren zouden aanvallen, maar deden dat toch. Ransomware-aanvallen blijven een pijnlijke realiteit voor organisaties van elke omvang in elke sector. Zij moeten daarom een proactieve beveiligingsaanpak hanteren die real-time overzicht, analyses, bescherming en herstel biedt in combinatie met zero trust, netwerksegmentatie en regelmatige back-ups van data.
Handleiding tegen ransomware-besmetting
KnowBe4 presenteerde onlangs een Ransomware Hostage Rescue Manual. Deze handleiding bevat eenvoudige checklists en gedetailleerde stappen voor de aanpak van ransomware. De onderneming presenteert in de handleiding allereerst belangrijke ransomware-statistieken en verhalen over aanvallen die echt hebben plaatsgevonden. In de praktijk worden veel incidenten immers niet geleerd, terwijl er wel lessen uit te trekken zijn.
Ook worden specifieke stappen die genomen moeten worden zodra ransomware-besmetting is vastgesteld geadresseerd. Uiteraard gaan de auteurs in op de vraag: betalen of niet, na een aanval? En tot slot biedt KnowBe4 een stap-voor-stap checklist voor organisaties die te maken krijgen met een ransomware-incident.
[Dit artikel is eerder gepubliceerd in ChannelConnect april 2022]