Ransomware is en blijft een hot topic binnen iedere organisatie. Desondanks weet een grote groep nog altijd niet hoe dit soort aanvallen zich ontvouwen. Ransomware-aanvallen gebeuren niet meteen – het is niet één kwaadaardige link en daarna direct een lockdown. In plaats daarvan kunnen aanvallen jarenlang voorbereid worden – van initiële observaties tot de inbraak en het eisen van losgeld. Zo zeggen experts dat Clop zich mogelijk sinds 2021 al bewust was van de MOVEit-exploit. Dus, hoe ziet een ransomware-aanval er precies uit en waarom moeten organisaties dit weten?
De aanvalstijdlijn
Het is een veelvoorkomende misvatting dat ransomware-aanvallen zomaar uit het niets gebeuren. De realiteit is dat cybercriminelen graag hun tijd nemen om hun slachtoffer goed te leren kennen, voordat zij overgaan tot actie. De losgeld-fase is slechts onderdeel van dat wat zichtbaar is (wanneer aanvallers hun aanwezigheid kenbaar maken). Zoals is aangetoond door onderzoekers naar de MOVEit-hack (de grootste hack in 2023 tot nu toe), waren de aanvallers al jaren achter de schermen aanwezig. Maar wat gebeurt er in de aanloop naar het eisen van losgeld?
Aanvallers starten allereerst met een observatiefase. Deze tijd wordt gebruikt om zo veel mogelijk informatie te verzamelen over het doelwit, waaronder zijn mensen, processen en technologie. Dit kan maanden in beslag nemen. Nadat genoeg informatie verzameld is, zullen aanvallers de systemen van het doelwit infiltreren en zichzelf toegang verschaffen, bijvoorbeeld via een phishing-campagne.
Nadat ze toegang hebben zullen de aanvallers zich nestelen in de IT-infrastructuur en een basiskamp opzetten van waaruit ze hun toegang vergroten en laterale bewegingen maken. In deze fase wordt vaak de grootste schade veroorzaakt. Aanvallers kijken ongedetecteerd rond en compromitteren waardevolle systemen. Ze nemen hun tijd om te zorgen voor maximaal rendement.
Hierna zullen aanvallers herstel onmogelijk maken. Dit omvat bijvoorbeeld het aanpassen van backup-routines, documentatie en beveiligingssystemen. Dus wanneer een organisatie een aanval eenmaal door heeft, is het al te laat om de backups in te zetten voor herstel. In de laatste fase maken de aanvallers zich bekend en eisen ze losgeld. In deze fase zullen aanvallers de data van het slachtoffer versleutelen en alle records en backups verwijderen. Dit hele proces kan een jaar of zelfs meerdere jaren duren.
Maak de backup waterdicht
Het feit dat aanvallers langer dan een jaar ongezien in systemen kunnen zitten, kan ontmoedigend zijn. Maar het is essentiële kennis en zorgt voor een gevoel van urgentie bij het implementeren van een robuuste databeveiligingsstrategie. Iedere minuut zonder een databeveiligingsstrategie is een minuut die cybercriminelen kunnen gebruiken om de basis te leggen voor een aanval. Geraakt worden door een ransomware-aanval is onvermijdelijk voor de moderne organisatie. 85% van de organisaties heeft in 2022 te maken gehad met ten minste één cyberaanval. Dit is 10% meer dan het jaar ervoor. Verder zien we dat cybercriminelen zich steeds vaker richten op backups, wat de weg naar herstel langer dan ooit maakt. Dus wat kunnen organisaties met deze informatie? De grootste zorg is de bruikbaarheid van backups voor herstel na een aanval. Stel je voor dat er een jaar geleden in werd gebroken in jouw systemen zonder dat je dat wist. In dat geval is er een grote kans dat ook de backups zijn gecompromitteerd, wat betekent dat je waarschijnlijk probeert te herstellen met een geïnfecteerde backup. Dit wordt voorkomen met de juiste voorbereiding en de juiste backup-strategie.
Organisaties moeten erkennen dat ze hun backups nodig hebben om kritieke data te herstellen als dat nodig is. Deze erkenning zou organisaties moeten stimuleren om serieuze tijd en middelen te investeren om ervoor te zorgen dat backups waterdicht zijn. Dit is alleen mogelijk met de 3-2-1-1-0-backup-regel. Deze backup-regel vereist dat er ten minste drie kopieën zijn van de data, opgeslagen op twee verschillende media, waarvan één off-site en één air-gapped en immutable. Als laatste mogen er in de drie kopieën nul fouten zitten. Werken vanuit de aanname dat cybercriminelen het voorzien hebben op jouw backup, betekent het nemen van voorzorgsmaatregelen zodat je tenminste één onaangetaste backup hebt om te gebruiken voor herstel. Het is hetzelfde als het bewaren van geld bij een bank. Bij een inbraak heeft een dief het vaak voorzien op de kluis, dus het offsite bewaren van waardevolle items en het maken van kopieën van belangrijke documenten geeft wat gemoedsrust.
Verder is het implementeren van een 3-2-1-1-0 backup-regel geen eenmalige actie. Backups moeten continu gemonitord en gecontroleerd worden op fouten. Door dit te doen en strikt te blijven handhaven op de datastrategie, kun je cybercriminelen een stap voor blijven.
Controleer de chaos
Volgens het Veeam Ransomware Trends Report hebben organisaties ten minste drie weken nodig om te herstellen van een ransomware-aanval. De hersteltijd begint tijdens de triage. De onderzoeksfase kan zeer uitgebreid zijn en de impact op herstel is lastig te voorspellen. In deze fase moeten organisaties de bron van de aanval en de schade identificeren. Ze zouden zelfs te maken kunnen krijgen met overheden als die de zaak onderzoeken. Tegelijkertijd kunnen organisaties nog steeds gecompromitteerd zijn. In een worst-case-scenario liggen de werkzaamheden volledig stil terwijl het onderzoek gaande is. Vanzelfsprekend wordt er geen geld verdiend als alles stil ligt. Erger nog, de kosten nemen zelfs toe omdat het intensief is om te herstellen van een grootschalige aanval: IT-teams en belangrijke stakeholders werken 24/7. Daarnaast zijn er juridische kosten, compensatiekosten en reputatieschade.
Het is lastig te voorspellen hoe lang een herstelproces precies duurt. Als je herstelt van een brand, kun je backups of replica’s gebruiken om systemen direct te herstellen; je kunt ervan uitgaan dat de backups veilig zijn. Dit is niet het geval bij een cyberramp. Het kost tijd om te identificeren welke servers geïnfecteerd zijn en of backups of replica’s ook geraakt zijn. Als dit het geval is, kan de ransomware opnieuw terechtkomen in de infrastructuur, waardoor je weer terug bij af bent.
Terwijl ransomware een ernstige dreiging is en enorme schade kan veroorzaken, zijn er maatregelen die organisaties kunnen nemen om de hersteltijd en de mate waarin ze gecompromitteerd kunnen worden, beperken. De 3-2-1-1-1-backup-regel is hierbij essentieel. Ransomware-aanvallen zijn onvermijdelijk en backups zijn steeds vaker doelwit. Door een robuuste data-backup-strategie te implementeren, heb je altijd een betrouwbare kopie van de data om op terug te vallen.
Rick Vanover, Senior Director of Product Strategy bij Veeam Software
Interessant artikel. Hier kunnen we als dienstverlener op het gebied van cybersecurity veel van leren.