Wouter Hoeffnagel - 18 mei 2022

Driekwart van de bedrijven betaalt losgeld hij ransomware-aanval

Driekwart van de bedrijven betaalt losgeld hij ransomware-aanval image

Bedrijven zijn aan de verliezende hand in de strijd tegen ransomware-aanvallers als het gaat om het beschermen van hun gegevens. 72% van de organisaties te maken heeft gehad met gedeeltelijke of complete aanvallen op hun back-up repositories. Dit had een dramatische impact op hun vermogen om gegevens te herstellen zonder losgeld te betalen.

Dit blijkt uit het Veeam 2022 Ransomware Trends Report. Veeam Software, gespecialiseerd in backup-, herstel- en datamanagement-oplossingen voor moderne dataprotectie, meldt dat 80% van de succesvolle aanvallen zich richtte op bekende kwetsbaarheden. Dit benadrukt het belang van patching en het upgraden van software. Bijna alle aanvallers poogden de back-up repositories van hun slachtoffers te vernietigen om ervoor te zorgen dat zij alleen nog tegen betaling gegevens konden herstellen.

Het Veeam 2022 Ransomware Trends Report omvat de resultaten van een onafhankelijk onderzoeksbureau dat ruim 1.000 IT-leiders ondervroeg wiens organisatie ten minste een keer in de laatste 12 maanden succesvol aangevallen werd door ransomware. Onderzoekers onderzochten de belangrijkste lessen die uit deze incidenten getrokken werden, hun impact op IT-omgevingen en de stappen die genomen werden om moderne dataprotectie-strategieën te implementeren. Het onderzoek richtte zich met name op vier IT-persona’s (CISO’s, security professionals, back-up administrators en IT-operations) om inzicht te krijgen in de afstemming van cyberparaatheid in organisaties.

'Betalen is geen dataprotectiestrategie'

“Ransomware heeft datadiefstal gedemocratiseerd en vereist samenwerking van organisaties uit alle branches. We moeten samenwerken zodat we kunnen afstappen van het betalen van losgeld”, zegt Danny Allen, CTO bij Veeam. “Het betalen van cybercriminelen om gegevens te herstellen is geen dataprotectiestrategie. Er is namelijk geen garantie dat gegevens hersteld worden en het risico van reputatieschade en verlies van vertrouwen van de klant is dan ook groot. Belangrijker nog, het bevestigt en beloont criminele activiteit.”

Van de ondervraagde organisaties betaalde het grootste gedeelte van de slachtoffers (76%) losgeld om een aanval te beëindigen en gegevens te herstellen. Terwijl 52% het losgeld betaalde en hun gegevens konden herstellen, was dit voor 24% niet mogelijk. Dit komt neer op een kans van een op drie dat het betalen van losgeld nog altijd niet leidt tot het herstellen van gegevens. 19% van de organisaties betaalde het losgeld niet, omdat zij hun gegevens zelf konden herstellen. Dit is wat de overige 81% van de slachtoffers moet nastreven: gegevens herstellen zonder losgeld te betalen.

Preventie vereist toewijding

Het aanvalsoppervlak voor criminelen is divers. Zij moeten echter eerst toegang krijgen tot productieomgevingen, doordat gebruikers op kwaadaardige links klikken, ongecensureerde websites bezoeken of klikken op phishing e-mails. Dit legt het vermijdbare karakter van veel incidenten bloot. Nadat criminelen zich succesvol toegang hebben verschaft tot de omgeving, was er weinig verschil zichtbaar in infectie van datacenters, remote office platforms en cloud-hosted servers. In veel gevallen maakten indringers gebruik van bekende kwetsbaarheden, waaronder die van veel gebruikte besturingssystemen en hypervisors, alsmede NAS-platforms en database servers. Zij lieten dan ook geen enkele mogelijkheid liggen om ongepatchte of verouderde software te exploiteren.

Opvallend is wel dat er hogere infectiepercentages werden gerapporteerd door security professionals en back-up administrators in vergelijking met IT-operations of CISO’s. Dit impliceert volgens Veeam dat 'degenen die dichter bij het probleem staan, nog meer van de problemen zien.'

Herstel start met onveranderlijkheid

Respondenten bevestigen dat 94% van de aanvallers proberen om back-up repositories te vernietigen. In 72% van de gevallen was deze strategie in ieder geval deels succesvol. Het vernietigen van de lifeline van de organisatie is een populaire aanvalsstrategie die de kans vergroot dat organisaties het losgeld daadwerkelijk betalen. De enige manier om zich te beschermen tegen dit scenario is door ten minste één onveranderlijke of air-gapped tier te hebben binnen het dataprotectie-framework - wat 95% van de ondervraagden nu heeft. Veel organisaties meldden zelfs een zekere mate van onveranderlijkheid of air-gap media in meer dan één laag van hun schijf-, cloud- en tapestrategie.

Andere bevindingen uit het Veeam 2022 Ransomware Trends Report zijn:

  • Orchestratie doet ertoe: Om de herstelbaarheid van hun systemen proactief te garanderen, automatiseert een op de zes (16%) IT-teams de validatie en herstelbaarheid van hun back-ups. Vervolgens gebruikt 46% van de respondenten tijdens het herstel van een ransomware-aanval een geïsoleerde "sandbox" of testruimte om ervoor te zorgen dat hun herstelde gegevens schoon zijn voordat de systemen opnieuw in productie worden genomen.
  • Teams moeten zich verenigen: 81% is van mening dat de cyber- en continuïteits-/disaster recovery-strategieën van hun organisaties op elkaar zijn afgestemd. 52% van de respondenten vindt echter dat de interacties tussen deze teams verbeterd moeten worden.
  • Diversifieer repositories: Bijna alle (95%) organisaties hebben ten minste één onveranderlijke of air-gapped dataprotectie-laag; 74% gebruikt cloud repositories die onveranderlijkheid bieden; 67% gebruikt on-premises disk repositories met onveranderlijkheid of vergrendeling; en 22% gebruikt tape die air-gapped is. Onveranderlijk of niet, organisaties merkten op dat naast disk repositories, 45% van de productiegegevens nog steeds op tape wordt opgeslagen en 62% op een bepaald moment in hun datalevenscyclus naar een cloud gaat.

Het volledige Veeam 2022 Ransomware Trends Report is hier te downloaden.

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024