Het aantal ransomware-aanvallen blijft toenemen. Uit ons jaarlijkse overzicht van XDR detectie- en incidentgegevens blijkt dat er in 2024 maar liefst vier keer zo veel ransomware-aanvallen zijn gedetecteerd als in het jaar daarvoor. Het is voor IT-securityteams een enorme uitdaging om hun organisaties hiertegen te beschermen. Ze worden voortdurend gebombardeerd met securitymeldingen en -events. Dan moeten ze door de al deze ruis zien te kijken om erachter te komen of afwijkende of verdachte activiteiten mogelijk potentiële dreigingen zijn of niet: gaat het om legitieme activiteiten van medewerkers of systemen, of is dit een aanvaller? Maar wat nu als er stukjes ontbreken in de security? Twee verschillende, waargebeurde ransomware-incidenten gericht op bedrijven en gemitigeerd door Barracuda Managed XDR laten zien wat er kan gebeuren als de securitymaatregelen onvolledig zijn.
Incident #1: Een Play ransomware-aanval
- Blinde vlekken in de security: gecompromitteerde domain admin accountgegevens, een onbeschermde server die niet zichtbaar is voor de securityoplossingen, misbruik van legitieme, commercieel verkrijgbare IT-tools
Om ongeveer 1:00 uur ’s nachts gebruikten aanvallers de buitgemaakte inloggegevens van een domain admin account om toegang te krijgen tot een onbeveiligde remote desktop server van hun doelwit. Door het gebrek aan security werden de afwijkende activiteiten op de domain controller niet opgemerkt. Vervolgens probeerden de aanvallers om met behulp van commercieel verkrijgbare tools een lijst met accountgegevens te bemachtigen en daarmee lateraal door het netwerk te bewegen. Deze activiteit werd opgemerkt door securitytools die deze schadelijke activiteit onmiddellijk blokkeerden.
De aanvallers probeerden vervolgens de securitymaatregelen uit te schakelen en te manipuleren en kopieën van bestanden te verwijderen – een bekende voorbode van het uitvoeren van ransomware. Ook deze activiteit werd gedetecteerd en geblokkeerd. Om 03:20 uur probeerden de aanvallers de Play ransomware uit te voeren en daarmee verschillende devices te versleutelen. Deze poging werd om 03:23 uur tegengehouden, toen de aangevallen endpoints geïsoleerd werden van de rest van het netwerk.
Als alle systemen goed beveiligd waren en er meer inzicht was geweest, had deze aanval al uren eerder geneutraliseerd kunnen worden.
Incident #2: Een Akira ransomware-aanval
- Blinde vlekken in de security: onbeveiligde devices in het netwerk, een VPN zonder multifactorauthenticatie (MFA), een vergeten account dat was aangemaakt voor een externe leverancier en niet was gedeactiveerd toen deze leverancier vertrok.
Voorafgaand aan de hoofdaanval – die ook in dit geval midden in de nacht plaatsvond – kregen de aanvallers de inloggegevens in handen van een vergeten account dat was aangemaakt voor een leverancier en dat niet was gedeactiveerd toen deze leverancier vertrok. De aanvallers gebruikten deze accountgegevens om via een open VPN-kanaal – dat niet was beveiligd met MFA – verbinding te maken met het netwerk van hun doelwit.
De aanvallers werden opgemerkt toen ze lateraal door het netwerk probeerden te bewegen met malware voor het stelen van informatie en een hackmethode waarmee wachtwoorden kunnen worden omzeild om toegang tot een computersysteem te verkrijgen. Deze schadelijke activiteiten werden geblokkeerd, maar de aanvallers gingen door. Toen ze zich realiseerden dat endpointsecurity werd gebruikt op alle devices in het netwerk, probeerden ze deze endpointsecurity uit te schakelen.
Nadat dit mislukte, verlegden ze hun focus naar een onbeveiligde server van waaruit ze de rest van de aanval wilden uitvoeren, zonder dat ze ‘last’ hadden van de endpointsecurity van het bedrijf. Hier lukte het de aanvallers om hun rechten te verhogen tot beheerdersniveau. Daarmee wilden ze de ransomware-fase van de aanval uitvoeren, een uur later. De aanvallers startten de ransomware eerst op de onbeveiligde server en probeerden vervolgens op afstand devices te versleutelen die ze via het netwerk konden bereiken. De aanval werd als snel gedetecteerd door securitytools, die aangevallen devices isoleerden. Binnen vier minuten was de ransomware uitgeschakeld.
Conclusie: de noodzaak voor complete security
Deze incidenten laten zien hoe cyberaanvallen in toenemende mate uit meerdere fasen bestaan en op meerdere niveaus worden uitgevoerd, waarbij aanvallers zich snel aanpassen aan veranderende of onverwachte omstandigheden en actief op zoek gaan naar en misbruik maken van alles dat onbeschermd en toegankelijk is. Door onvolledige security kunnen aanvallers toegang krijgen tot netwerken en kunnen onder de radar blijven tot ze besluiten om lateraal te bewegen. Bij gebrekkige security kunnen ze verschillende fases van de aanval voorbereiden en lanceren vanaf devices die niet gescand en gemonitord (kunnen) worden door securitytools.
De beste bescherming tegen dergelijke aanvallen is een complete, gelaagde verdediging met geïntegreerd en volledig inzicht. Dit moet gecombineerd worden met een sterke focus op de basisprincipes van cybersecurity. Bijvoorbeeld:
- dwing altijd MFA af, vooral op VPN-accounts die extern toegankelijk zijn;
- implementeer wachtwoordbeleid om inloggegevens regelmatig te wijzigen, om misbruik van oude wachtwoorden te voorkomen;
- controleer regelmatig de actieve gebruikersaccounts en schakel accounts uit die niet langer in gebruik zijn.
Alain Luxembourg, Vice President Western Europe, Barracuda
