Ransomware blijft een aanhoudend probleem en de kosten lopen op. Volgens Sophos kampte vorig jaar 59% van alle organisaties met ransomwareaanvallen en stegen de losgeldeisen met een factor 5. En die 59% betreft slechts het gedeelte van de aanvallen dat bekend is. Want lang niet alle ransomware-aanvallen worden gedetecteerd of gemeld. Volgens de Autoriteit Persoonsgegevens is het daadwerkelijke aantal aanvallen hoogstwaarschijnlijk een stuk hoger. Vroegtijdige detectie van mogelijke ransomware-aanvallen is dus ontzettend belangrijk als je een hoge rekening wil voorkomen.
Ransomware-kosten stijgen sterk
Gemiddeld betalen bedrijven wereldwijd honderdduizenden euro’s aan losgeld na een ransomware-aanval. Maar hoewel het een makkelijke oplossing lijkt om dit losgeld te betalen, is dit echt niet aan te raden – tenzij er een directe bedreiging is voor de gezondheid en veiligheid van mensen. Je hebt immers nul zekerheid dat aanvallers je data zullen ontsluiten en niet zullen lekken. Vergis je niet, datadiefstal komt regelmatig voor: bij een derde van de ransomware-incidenten die vorig jaar werden genoteerd, werden ook gegevens gestolen. En het is zeer lucratief om na een losgeldbetaling alsnog bedrijfsdata door te verkopen.
Waarom ransomware-aanvallen zo vaak succesvol zijn
De effectiviteit van deze aanvallen is vaak gerelateerd aan de opzet van de beveiligingsinfrastructuur. De meeste beveiligingstools proberen malware te detecteren en erop te reageren nadat een inbraak al heeft plaatsgevonden. Als je alleen kunt reageren op aanvallen, kun je de risico’s niet substantieel verminderen. Deze methode is vaak te traag en foutgevoelig.
Security Operations Centers (SOC’s) worden nu al overspoeld door een overvloed aan meldingen die ze moeten monitoren, onderzoeken en herstellen. Het gemiddelde SOC krijgt meer dan 4000 meldingen per dag, terwijl de gemiddelde tijd die een aanvaller nodig heeft om binnen te dringen slechts 62 minuten is. Dit betekent dat organisaties elke nieuwe ransomware-aanval binnen deze 62 minuten moeten detecteren, onderzoeken en herstellen – het liefst nog sneller. Daarom is het essentieel dat bedrijven hun strategieën voor bedreigingsdetectie niet alleen richten op malware, maar op de stadia voordat deze wordt ingezet.
Proactieve detectie van ransomware-domeinen
Detectie moet terug naar de basis. Bijna alle malware, inclusief ransomware, maakt namelijk gebruik van het DNS-protocol om aanvallen uit te voeren. Volgens onderzoek maakt maar liefst 92% van aanvallers gebruik van dit fundamentele protocol om malware-campagnes te ondersteunen.
DNS speelt een rol in enkele cruciale stappen van de aanvalsketen:
- Phishing: de belangrijkste methode om systemen te besmetten. Het doel is om gebruikersgegevens te stelen om zo eenvoudig toegang te krijgen tot interne netwerken en systemen.
- C2 (Command and Control): wanneer ransomware een netwerk heeft geïnfecteerd, communiceert het via DNS met externe C2-servers om de codes te downloaden die je bestanden versleutelen.
- Data-exfiltratie: gegevens worden vaak met behulp van het DNS-protocol gestolen om detectie te vermijden. Het kan namelijk lastig zijn om data-exfiltratie te spotten tussen al het andere DNS-verkeer.
De grote omvang van ransomware-aanvallen wijst op een geïndustrialiseerd proces dat daarom ook een respons op industriële schaal vereist. Om ransomware-aanvallen effectief te verstoren of te elimineren, moeten beveiligingsteams beginnen met het verstoren van de toeleveringsketen van aanvallers, met de nadruk op de DNS-infrastructuur die wordt gebruikt om campagnes te lanceren. Als je het vergelijkt met de logistieke sector: verstoring van de DNS-infrastructuur kun je zien als het monitoren en blokkeren van belangrijke vaarroutes en (spoor)wegen.
Door proactief domeinen te blokkeren die door ransomware-actoren worden gebruikt, kunnen organisaties al in een vroeg stadium van een aanval ingrijpen, soms zelfs voordat de aanval plaatsvindt. Onze eigen onderzoekers monitoren netwerken continu op kwaadaardige actoren op DNS-niveau en sporen deze vaak dagen of zelfs maanden eerder op dan andere monitoringsmethoden, wat bijvoorbeeld het geval was bij de Blackcat-ransomware.
Het gebruik van DNS voor beveiliging biedt meer dan alleen preventieve voordelen. DNS-gegevens kunnen beveiligingsteams helpen om sneller getroffen apparaten en gebruikers te identificeren (en deze meteen los te koppelen). Door DNS integraal te verwerken in security- en operationele processen, kunnen organisaties de uitdaging van ransomware efficiënt, effectief en op grote schaal aangaan – zonder overweldigd te worden door een stortvloed aan onbruikbare notificaties.
Joris van der Linde, Product Security Specialist Northern Europe bij Infoblox
