Ransomware blijft zich ontwikkelen, ondanks het feit dat mensen zich steeds bewuster worden van het risico en de potentiële gevolgen van zo’n aanval. Ook effectievere securitymaatregelen en internationale samenwerking om criminele groepen op te rollen en te verstoren, houden de groei van ransomware niet tegen. Iedere organisatie is een potentieel doelwit.
Uit een recent onderzoek van Barracuda blijkt dat in 2022 ruim 87 procent van de Benelux-organisaties het slachtoffer was van ten minste één succesvolle ransomware-aanval. Het hoge aantal slachtoffers weerspiegelt waarschijnlijk het enorme aanbod van goedkope en makkelijk te gebruiken Ransomware-as-a-Service ‘diensten’, die het voor veel meer cybercriminelen makkelijk maken om ransomware aanvallen uit te voeren, zonder dat ze daar technische kennis voor nodig hebben.
Dat is echter niet de enige zorg. Uit het onderzoek blijkt ook dat meer dan de helft (55%) van de onderzochte Benelux-organisaties meer dan één keer het slachtoffer was van een ransomware aanval. Die kunnen uitgevoerd zijn door dezelfde criminelen als de eerste aanval, maar ook door andere aanvallers. Het risico op herhalende aanvallen (‘repeat ransomware attacks’) is in de afgelopen jaren al in een aantal onderzoeksrapporten behandeld en verdient dan ook meer aandacht.
Een ransomware aanval kan de dagelijkse activiteiten van de organisatie volledig lamleggen, de supply chain van klanten ontwrichten, chaos en financiële schade veroorzaken en zowel reputatie van bedrijven als hun relaties met klanten beschadigen. Als één succesvolle ransomware aanval dit al kan aanrichten, hoeveel destructiever zijn twee of meer aanvallen dan, vooral als het slachtoffer nog niet volledig hersteld is van het vorige incident?
Om organisaties te helpen om zich beter te verdedigen tegen dit soort herhaalde aanvallen, is het de moeite waard om te kijken waardoor ze in de eerste plaats risico lopen. De onderzoeksresultaten suggereren dat het waarschijnlijk gaat om een combinatie van verschillende factoren, zoals ineffectieve maatregelen op het gebied van security en incident response en de bereidheid om losgeld te betalen.
Risico’s die organisaties kunnen blootstellen aan herhaalde aanvallen:
- Inadequate securitymaatregelen: uit het onderzoek blijkt dat voor 66% van de Benelux-organisaties die slachtoffer zijn geworden van ransomware, de aanval is begonnen met e-mail. Dit kan bijvoorbeeld een phishing e-mail zijn die ontworpen is om inloggegevens te stelen waarmee de aanvallers het netwerk kunnen binnendringen. Webapplicaties en webverkeer zijn het tweede meest voorkomende startpunt en vormen een groeiend risico als onderdeel van een steeds groter dreigingsoppervlak. Organisaties moeten maatregelen nemen om deze basis te beschermen.
- Inadequate incident response en neutralisatie tijdens en na de aanval: dat er bij sommige bedrijven meerdere succesvolle aanvallen mogelijk zijn, wijst erop dat er gaten in de beveiliging zijn die na het eerste incident niet volledig worden gedicht. Daar kunnen verschillende redenen voor zijn. Zo kan een gebrek aan securitymaatregelen, incident response en onderzoekscapaciteit, in combinatie met geavanceerde methodes die moeilijk te detecteren zijn ervoor zorgen dat er backdoors of andere hackingtools niet worden geïdentificeerd en verwijderd. Andere mogelijke redenen zijn openstaande access points of het niet resetten van wachtwoorden van gestolen accounts, zodat die inloggegevens opnieuw misbruikt kunnen worden. Het neutraliseren van een aanval wordt verder bemoeilijkt omdat aanvallers vaak misbruik maken van legitieme IT-beheertools die ook door IT-teams worden gebruikt. Hierdoor vallen wijzigingen die door de aanvallers worden aangebracht gemaakt niet direct op.
- Het losgeld betalen: uit het onderzoek bleek dat meer dan een derde (39%) van de Benelux-organisaties die meerdere keren slachtoffer waren van een ransomware aanval, losgeld hebben betaald om hun data te herstellen. Van de slachtoffers die één keer werden getroffen was dit percentage iets hoger, namelijk 45%. Organisaties die meer dan eens het slachtoffer waren van een aanval gebruikten minder vaak een back-upsysteem om hen te helpen herstellen. Dit zou kunnen verklaren waarom het percentage zo hoog blijft. Ook bestaat het risico dat als eenmaal bekend is dat een organisatie bereid is om te betalen, andere aanvallers zich op hetzelfde slachtoffer richten.
- Een cyberverzekering: opvallend is verder dat het onderzoek laat zien dat wereldwijd ruim driekwart (77%) van de organisaties met een cyberverzekering slachtoffer werd van ten minste één succesvolle ransomware aanval, vergeleken met 65% zonder een cyberverzekering. Dit zou kunnen betekenen dat cybercriminelen zich eerder richten op organisaties met zo’n verzekering, in de aanname dat de verzekeraars bereid zijn het losgeld te betalen om het herstel te versnellen. Ook organisaties die door meer dan één ransomware-aanval werd getroffen hadden vaker een cyberverzekering (70%).
Bescherming tegen ransomware
Veel organisaties onderschatten nog altijd hoe kwetsbaar ze zijn. Uit het onderzoek blijkt namelijk dat slechts iets meer dan een kwart 27% van de ondervraagde organisaties (wereldwijd) zich onvoldoende voorbereid voelde om een ransomware aanval af te slaan.
De securityindustrie heeft een essentiële rol bij het helpen van organisaties om ransomware aan te pakken. Dit kan met securitytechnologieën zoals op AI gebaseerde e-mailbescherming en Zero Trust toegangsmaatregelen, applicatiesecurity, threat hunting, eXtended Detection and Response (XDR) en effectieve incident response om indringers op te sporen en gaten te dichten zodat het voor aanvallers moeilijker om binnen te komen.
Alain Luxembourg, Vice President Benelux and Nordics, Barracuda
Lezenswaardig, maar stellingname over verzekeringen vind ik wat merkwaardig. Je lijkt te veronderstellen dat criminelen dus weten welke organisaties wel en welke niet een cyberverzekering hebben. Het lijkt me logischer dat organisaties die een verzekering hebben, wat lakser zijn met allerlei maatregelen onder het mom van ‘we zijn toch verzekerd, dus….”.