WannaCry-aanvallen hebben cybersecurity-landschap ingrijpend veranderd

De WannaCry-aanvallen uit mei 2017 hebben cyberbeveiliging veranderd. De eerste grote ransomware-aanval had destijds enorme impact, stelt Zahier Madhar, security engineer expert bij Check Point Software, in een terugblik. Wannacry maakte furore vanwege zijn buitensporige invloed op het cyberdreigingslandschap. Als de eerste wereldwijde cyberaanval met meerdere vectoren, mogelijk gemaakt door actoren gesponsord door de staat, markeerde het een keerpunt in de cyberbeveiligingsomgeving. Het inspireerde actoren over de hele wereld en beïnvloedde het hele dreigingslandschap voor de vijf daaropvolgende jaren tot nu toe.

Hoe het begon: op 12 mei 2017 werd de wereld het slachtoffer van een grote ransomware-aanval die bekend staat als ‘WannaCry’. De aanval had een ongekende omvang en verspreidde zich als een lopend vuurtje over de hele wereld, met meer dan 200.000 geïnfecteerde Windows-computers in 150 landen in slechts een paar dagen. De schade van de aanval bedroeg miljarden dollars aan verliezen. Het initiële losgeldbedrag was relatief laag: van elk slachtoffer vroeg de ransomware 300 dollar, wat werd verdubbeld naar 600 dollar als de betaling niet binnen de eerste 3 dagen werd gedaan. De wereldwijde impact van de aanval, samen met andere door het regime gesteunde activiteiten van de Lazarus Group, geeft echter aan dat de aanvallers, naast het monetaire aspect, echt uit waren op chaos, paniek en vernietiging.

Begin politiek gebruik ransomware

"WannaCry was geen pionier op het gebied van winstgevendheid, maar het was wel het begin van het politieke gebruik van ransomware", aldus Madhar. "In de afgelopen vijf jaar zijn ransomware-operaties geëvolueerd van willekeurig verzonden e-mails naar miljoenenbedrijven, zoals NotPetya, REvil, Conti en DarkSide, die gerichte en geavanceerde aanvallen uitvoeren die organisaties in elke branche treffen. De vraag om losgeld waarmee Kaseya in 2021 te maken kreeg, bedroeg naar verluidt 70 miljoen dollar."

Belangrijke trends sinds WannaCry zijn onder meer:

• Ransomware met dubbele afpersing;
• Aanvallen op de toeleveringsketen voor maximale verstoring;
• Hogere eisen voor losgeld;
• Aanvallen van nationale staten gericht op kritieke infrastructuur.

Volgens CPR werden in het eerste kwartaal van 2022 wekelijks gemiddeld één op 68 organisaties in Europa getroffen, een stijging van 16 procent op jaarbasis (1 op 80 organisaties in Q1 2021). In Nederland werden wekelijks gemiddeld 82 organisaties getroffen. Organisaties moeten volgens Madhar prioriteit geven aan preventie als ze de toenemende dreiging willen bestrijden.

Nieuwe mogelijkheden misbruik

"Werken op afstand en hybride werken, samen met een versnelde acceptatie van de cloud, hebben voor ransomware-aanvallers nieuwe mogelijkheden voor misbruik gecreëerd. Aanvallen worden steeds geavanceerder met nieuwe trends zoals Ransomware-as-a-Service, dubbele en zelfs driedubbele afpersing. Cybercriminelen dreigen met het publiceren van privé-informatie voor dubbele afpersing en eisen losgeld, niet alleen van de geïnfecteerde organisatie zelf, maar ook van haar klanten, partners en leveranciers (triple extortion)."

Onlangs vonden er twee enorme ransomware-aanvallen plaats in Costa Rica en Peru, beide naar verluidt uitgevoerd door de beruchte Conti ransomware-bende. De aanvallen leidden ertoe dat de Costa Ricaanse regering op 6 mei de noodtoestand uitriep. De regering schat de financiële impact op 200 miljoen dollar, omdat de douane en overheidsinstanties lam gelegd werden. Ook was er een stroomuitval in een van haar steden als gevolg van een storing van een belangrijke energieleverancier. Een van de meest spraakmakende ransomware-aanvallen op kritieke infrastructuur van de afgelopen jaren was die op de Amerikaanse Colonial Pipeline.

Prioriteit voor preventie

Terwijl overheden en grote bedrijven vaak de krantenkoppen halen, zijn ransomware-actoren willekeurig en zullen ze zich richten op bedrijven van elke omvang in alle sectoren. Om zichzelf te beschermen, moeten IT-teams volgens Madhar prioriteit geven aan preventie.

"Het huidige dreigingslandschap vraagt waakzaamheid voor tekenen van een trojan op netwerken, regelmatig bijwerken van antivirussoftware, proactief patchen van relevante RDP-kwetsbaarheden (Remote Desktop Protocol) en het gebruik van tweefactorauthenticatie. Aanvullend controleren speciale anti-ransomware-oplossingen constant op ransomware-specifiek gedrag en identificeren deze onwettige bestandsversleuteling, zodat een infectie kan worden voorkomen en in quarantaine kan worden geplaatst voordat deze vat krijgt. Met deze beveiligingen kunnen organisaties beter voorbereid zijn op wanneer ze worden aangevallen, aangezien een aanval in het huidige klimaat slechts een kwestie van tijd is."