Het cyberlandschap is voortdurend in ontwikkeling en wordt steeds geavanceerder. Toch zijn er bepaalde aanvalsmethoden waar cybercriminelen altijd op kunnen terugvallen. Een van deze aanvalsmethoden – phishing – bestaat al sinds jaar en dag, maar is nog steeds even populair.
Uit ons State of the Phish-rapport van 2020 blijkt zelfs dat meer dan de helft van de organisaties vorig jaar minstens één keer met een succesvolle phishing-aanval te maken heeft gehad. Dit toont aan dat het nog steeds deel uitmaakt van het wapenarsenaal van cybercriminelen. Ongeacht de aanvalsmethode was er echter regelmatig sprake van een bekende payload: ransomware. Zo maakte 65% van de organisaties vorig jaar melding van een ransomware-aanval.
Sterke toename
Het aantal gevallen waarbij ransomware via phishing werd verspreid, nam in 2019 sterk toe. Dit komt mede door GrandCrab, die naar schatting meer dan 2 miljard dollar aan afkoopsommen heeft opgeleverd.
Dat deze ’traditionele’ aanvalsmethoden nog steeds succesvol zijn, moet binnen de cybersecurity-branche als zorgwekkend worden ervaren. Hoe is het mogelijk dat, ondanks het feit dat we ons zo bewust zijn van deze tactieken en de gevolgen ervan, ze nog steeds zoveel schade aanrichten?
Er is misschien wel sprake van een verrassend gebrek aan kennis. Zowel qua verdediging tegen dit soort aanvallen als wat te doen als zo’n aanval plaatsvindt.
Hoeveel weten we werkelijk over ransomware?
Voor eindgebruikers komt het antwoord op deze vraag misschien als een verrassing: heel weinig. Over de hele linie is er een zorgwekkend gebrek aan kennis van gangbare cybersecurity-termen.
Van de 3500 ondervraagde werknemers in zeven landen begreep slechts 31% de definitie van ransomware. Dit percentage is nog lager bij de jongere generatie. Slechts 24% van de personen tussen 23 en 38 jaar begreep de term, tegenover 28% in de leeftijdscategorie van 18 tot 22 jaar, 33% in de categorie van 39 tot 54 jaar en 43% van de 55-plussers.
Deze potentiële taalbarrière vormt een belangrijke uitdaging bij het trainen van eindgebruikers om dergelijke veelvoorkomende bedreigingen te herkennen en te bestrijden.
Eindgebruikers
De veiligheid van onze organisaties staat of valt met het nemen van goede beslissingen door de eindgebruikers. Zij vormen de laatste verdedigingslinie bij ransomware-aanvallen. Dat velen van hen niet bekend zijn met wat als een relatief basisbegrip kan worden beschouwd, komt enigszins als een verrassing.
Het is duidelijk dat cybersecurity-teams zich geen aannames kunnen veroorloven. Training en opleiding van het personeel moet regelmatig en uitgebreid zijn. Niet alleen de meest recente bedreigingen moeten worden behandeld, maar ook onderwerpen zoals ransomware, waarvan men vooraf misschien had verwacht dat er al bepaalde kennis over was.
Betalen of niet betalen?
Helaas stopt het gebrek aan kennis over ransomware niet bij het herkennen van een aanval. Er is net zo veel verwarring over wat te doen wanneer een aanval succesvol is.
Zo had minister van Onderwijs Ingrid van Engelshoven de Universiteit Maastricht afgeraden om het losgeld te betalen aan de cybercriminelen die achter de ransomware-aanval op de universiteit zaten.
Ook de politie raadt slachtoffers van ransomware-aanvallen af om het geëiste geld te betalen omdat anders het verdienmodel van criminelen in stand wordt gehouden.
Aan de andere kant gaf de Vereniging Nederlandse Gemeenten (VNG) aan dat betalen een optie kan zijn wanneer een aanvaller al heel lang in het netwerk zit en beheerdersrechten heeft verworden. Of wanneer er geen goede back-ups meer beschikbaar zijn. Toch stelde een woordvoeder namens de VNG dat het primaire advies is dat er geen losgeld betaald moet worden.
Zakelijke beslissing
Dat gezegd hebbende ligt elke beslissing om al dan niet te betalen uiteindelijk bij het slachtoffer. Sommige mensen denken dat de keuze om losgeld te betalen een zakelijke beslissing is, net als vele andere. De beslissing moet worden genomen na afweging van alle mogelijke opties en de inschatting van het risico ten opzichte van de beloning.
Voor kritieke organisaties zoals ziekenhuizen en lokale overheden lijkt het betalen van losgeld de snelste en meest effectieve oplossing. Hierbij ben je echter wel afhankelijk van het feit of cybercriminelen zich aan hun woord houden. En zoals veel bedrijven het afgelopen jaar hebben ontdekt, is dit zelden het geval.
Van de organisaties die in 2019 slachtoffer werden van ransomware, koos 33% ervoor om losgeld te betalen. De uitkomsten daarvan waren wisselend. Meer dan tweederde (69%) kreeg na betaling weer toegang tot gegevens en systemen. Van de andere organisaties kreeg 22% geen toegang terwijl 7% te maken kreeg met aanvullende losgeldeisen en daarna nog steeds geen toegang kreeg. De overige 2% betaalde extra losgeld voordat zij weer toegang kregen tot de gegevens en systemen.
Ransomware bestrijden – ervoor, tijdens en erna
Net zoals beproefde aanvallen nog steeds succes hebben, zijn beproefde verdedigingsmechanismen ook succesvol. Tenminste, wanneer ze effectief worden uitgevoerd – Zoals altijd is voorkomen veel beter dan genezen.
Een brede en diepgaande cybersecurity is cruciaal. En dit begint met educatie en training op elk niveau. Het doel is niet dat eindgebruikers de definitie van ransomware kunnen opnoemen. Maar om een cultuur te creëren waarin cybersecurity altijd centraal staat.
Dit houdt in dat er uitgebreide en regelmatige trainingen worden gegeven die veel verder gaan dan het herkennen van een aanval. Medewerkers moeten de motieven achter een ransomware-aanval begrijpen, wat ze moeten doen als ze vermoeden dat er een aanval is, hoe hun gedrag de slagingskans kan beïnvloeden, en hoe ze zich kunnen redden als de aanval een infectie wordt.
Als het gaat om de lastige kwestie van het betalen van losgeld, is er geen eenvoudig antwoord. Voordat je een beslissing neemt, moet je alle andere opties overwegen, overleggen met cybersecurity-professionals, back-ups herstellen en weten dat het betalen van losgeld geen wondermiddel is. Het is zoals men zegt: de gelegenheid maakt de dief.
Jim Cox, Area Vice President Benelux Proofpoint
