'Ransomware-aanvallen verschuiven van quick-wins naar zorgvuldige opgezette aanvallen'

Ransomware-aanvallen worden steeds gerichter en aanvallers gaan veel meer gefaseerd te werk om op die manier maximale schade aan te richten of zoveel mogelijk winst te behalen. Ook de uitbuiting van kwetsbaarheden in endpoints en andere systemen verbonden met internet is steviger dan ooit. Hierbij ligt de nadruk vaak op verouderde kwetsbaarheden die door beheerders over het hoofd worden gezien. Dit blijkt uit het nieuwe Cybersecurity Dreigingsbeeld en Adviesrapport NL, waarin experts hun visie delen op de stand van zaken in cybersecurity, aangevuld met onderzoekscijfers uit het Security Operations Center van Pinewood.

Waar aanvallers voorheen voornamelijk met hagel schoten, proberen ze in toenemende mate eerst gericht ergens binnen te komen, om vervolgens rond te kijken in een IT-infrastructuur op zoek naar zwakke plekken. Door deze stap-voor-stap aanpak dringen criminelen door tot persoonlijke en/of gevoelige informatie, waardoor de kans groter is dat doelwitten sneller betalen. Hierbij valt op dat bedrijven moeite hebben om deze risico’s goed in kaart te brengen.

De discussie ontstaat of bedrijven bij ransomware-aanvallen wel of niet moeten betalen. Uit ervaring van Pinewoods SOC-specialisten blijkt echter dat betalen eigenlijk geen optie is, omdat het geen garantie is voor een oplossing. Maatregelen als gelaagde beveiliging, actuele draaiboeken die regelmatig geoefend worden, detectie en bewustwording bij medewerkers, actuele back-ups en het netwerk segmenteren, vormen in veel gevallen een goede bescherming tegen de grootste risico’s.

Cybercrime is steeds beter georganiseerd. Er vinden meer en meer ketenaanvallen plaats, waarbij verschillende cybercriminelen een stukje uit een langere aanvalsketen op zich nemen. Zo worden aanvallen ongrijpbaar en criminelen steeds slechter te traceren. In het rapport klinkt de oproep dat bedrijven en overheden beter moeten acteren en samenwerken op de gebieden predictie, detectie en respons zodat een ketenaanval in iedere fase kan worden gestopt. Dit wil volgens Michel van Eeten, hoogleraar Governance of Cybersecurity aan de TU Delft, in de praktijk nog wel eens uitblijven: “Nederland is een kei in het melden van datalekken, maar zet de gouden berg aan informatie die uit deze meldplicht komt niet om in adequate preventie en detectie.”

Eind december 2021 kwam de kwetsbaarheid in de Apache library Log4j aan het licht. Uit de gegevens van Pinewoods SOC is op 8 januari 2022 een duidelijke piek te zien in het aantal pogingen om deze kwetsbaarheid uit te buiten. Opvallend is dat de pogingen daarna flink afnemen tot begin februari. Vanaf dat moment is juist weer een toename te zien en gedurende meerdere weken is er een licht stijgende lijn in het aantal aanvallen, ondanks de uitgebrachte patches. De analisten vermoeden dat er rond die periode nieuwe tools op de (zwarte) markt verschenen die uitbuiting van de kwetsbaarheid juist weer makkelijker maakten.

Uit de SOC-cijfers blijkt sowieso dat veel oudere kwetsbaarheden nog altijd populair zijn onder aanvallers. Hiervoor zijn over het algemeen al patches vrijgegeven, maar deze worden niet altijd doorgevoerd. Na verloop van tijd verdwijnt dan ook de aandacht ervoor, omdat organisaties zich richten op nieuwe kwetsbaarheden. Bij aanvallers blijven de oudere kwetsbaarheden juist wel op de radar staan; ze gaan er actief naar op zoek.