Waarom datadiefstal het ransomware-landschap volledig verandert

Voorkomen is ook hier veel beter dan genezen

De wereld van cyberverzekeringen is spannend, maar wordt pas echt opwindend als er dingen misgaan. Zeker als je kijkt naar recente ontwikkelingen in de ransomware-industrie.

Waarom datadiefstal het ransomware-landschap volledig verandert

Cyberverzekeringen zijn voor wat betreft de overlevingsstrategie van een organisatie nog nooit zo belangrijk geweest als nu, omdat de zaken potentieel in negatieve zin veranderd. Het aanschaffen van cyberverzekeringen werd minder complex omdat precedenten zijn vastgesteld en de kosten voorspelbaarder zijn geworden met betrekking tot gevallen van ransomware en het vrijgeven van gegevens. Vanwege deze verfijning is het veel eenvoudiger geworden om erachter te komen hoeveel dekking nodig is om te herstellen van een incident. Of het nu gaat om ransomware of een datalek.
Dat is echter allemaal veranderd door de een nieuwe trend op het gebied van ransomware-infecties: data-exfiltratie.

Het nieuwe ransomware-landschap
In het verleden viel ransomware bij wijze van spreken met de deur in huis en gijzelde het je gegevens. Toegang tot die gegevens kreeg je pas weer als je had betaald. Aanvankelijk werden veel organisaties hierdoor overrompeld. Ze waren niet bereid om te werken zonder hun digitale systemen, klantenlijsten, eerdere records of anders gegevens die nodig zijn voor de productie van vervaardigde onderdelen. De focus kwam hierdoor sterk te liggen op het herstellen van gegevens. Organisaties die dachten dat ze geen risico liepen op een catastrofaal falen dat tot het verliezen van hun gegevens kon leiden, openden plotseling hun ogen door de verhalen over andere organisaties. Het onderwerp ‘back-ups’ werd steeds vaker in bestuursvergaderingen behandeld.

Door de toegenomen aandacht voor de mogelijkheid gegevens snel te kunnen herstellen na een ransomware-aanval en zelfs te werken zonder digitale systemen, nam de noodzaak om de aanvallers te betalen drastisch af. Die voelden dit natuurlijk in hun portemonnee en besloten om terug te vechten.

Eind 2019 kwam het eerste geval van ransomware in combinatie met data-exfiltratie om de hoek kijken. Aanvallers hadden hun slachtoffers verteld dat ze gegevens hadden gestolen en deze openbaar zouden maken als ze besloten niet te betalen. Hoewel organisaties hier geen gehoor aan gaven, bleef dat zonder consequenties. De Maze ransomware-groep veranderde dit toen ze 2 GB aan gegevens (van een geclaimde 32 GB) vrijgaven die naar verluidt tijdens de ransomware-aanval eerder die maand werden gestolen. Dit haalde het nieuws en de ideeën over wat te verwachten tijdens een ransomware-aanval veranderden fundamenteel. De mogelijkheid om gegevens te herstellen, beschermt organisaties niet langer tegen deze cybercriminelen; ze moeten zich ook zorgen maken over ongeoorloofde openbaarmaking van gegevens.

Gevolgen voor de planning van cyberverzekeringen
Met het oude model heeft een organisatie misschien 1 miljoen euro begroot om het herstel van een ransomware-aanval te dekken. Dit wordt vaak berekend op basis van de kosten die verbonden zijn aan het opnieuw inregelen van machines, digitaal forensisch onderzoek en geldverlies. Dit als gevolg van downtime wanneer een omgeving tot stilstand komt. In de situatie dat aanvallers gegevens hebben gestolen en deze openbaar maken, zullen beveiligingsprofessionals met een ander type reactie te maken krijgen. Want als klantgegevens worden blootgesteld, moeten beveiligingsprofessionals mogelijk een callcenter- en een speciale informatiewebsite opzetten en krijgen ze te maken met juridische kwesties en mogelijke boetes. En dan hebben we het nog niet over persconferenties en kosten voor externe adviesbureaus.

Kortom, het blootstellen van data leidt tot een ander type reactie. Denk nu eens na over dat beleid van 1 miljoen euro en hoe snel je dat kunt afdekken wanneer je te maken krijgt met min of meer twee verschillende cyberincidenten in één. Natuurlijk kunnen sommige kosten worden gedeeld, maar vaak zullen zelfs gedeelde diensten zoals digitaal forensisch onderzoek extra kosten met zich meebrengen. Dat richt zich niet alleen op het kijken hoe de aanvallers zijn binnengekomen (meestal een phishing-e-mail of portaal voor externe toegang) en welke malware ze hebben achtergelaten, maar ook op het achterhalen van de gegevens die zijn gestolen en in hoeverre en in welke mate dit klantgegevens zijn geweest.

Andere gevolgen van de nieuwe ransomware-dreiging
Een andere impact van de nieuwe ransomware-dreiging is dat aanvallen vaak niet worden gemeld. Dit is ook logisch als gegevens niet buiten de organisatie terecht zijn gekomen, de aanval beperkt is tot enkele machines en daarom de activiteiten snel weer online kunnen plaatsvinden. In een dergelijke situatie is er in de meeste gevallen geen reden om het issue buiten de organisatie te melden. Het is in feite hetzelfde als elke andere vervelende malware-infectie.

Datadiefstal verandert dat allemaal. Als klantgegevens worden ontvreemd, vooral als ze niet zijn versleuteld, heb je op dit moment te maken met totaal andere eisen met betrekking tot rapportages en het doen van meldingen.

Interessant genoeg werden de richtlijnen van de Amerikaanse Health and Human Services (HHS) over dit onderwerp al in 2016 gepubliceerd in het document ‘FACT SHEET: Ransomware and HIPAA‘. Hierin werd al rekening gehouden met het risico van datadiefstal door ransomware. In essentie staat er dat als gegevens niet zijn versleuteld op de plek waar ze zijn opgeslagen op het moment dat de ransomware toeslaat, de gebeurtenis als een inbreuk moet worden gemeld. Ik verwacht dat dit artikel nog geruime tijd de norm blijft voor inbreukmeldingen over ransomware die gegevens steelt. Zelfs buiten de gezondheidszorg en de door HIPAA gereguleerde sectoren.

Hoe te verdedigen tegen aanvallen
Met deze trend in gedachte is de focus op gegevensback-up en -herstel niet langer voldoende. In feite is het dat nooit geweest. Het was en is altijd beter om ransomware vóór de infectie te stoppen. Een mening die niet altijd wordt gedeeld door mensen die vinden dat het probleem te groot is om te voorkomen.

Dat laatste is wat mij betreft gewoon niet waar. Hoewel geen enkele organisatie honderd procent beveiliging kan garanderen (zo’n wondermiddel bestaat niet), gebruiken veel organisaties het als een excuus om daarom maar te focussen op herstel in plaats van preventie. Dat is een enorme fout; ook een dure, nu gegevens steeds vaker worden gestolen en blootgesteld.

Om je te wapenen tegen aanvallen, moet je niet alleen goede back-ups hebben, maar ook de oorzaak aanpakken. In het geval van ransomware vinden, zoals eerder vermeld, de aanvallen bijna altijd plaats via een phishing-e-mail of via een externe toegangsportal (zoals Windows Remote Desktop Protocol of RDP) die onveilig wordt blootgesteld aan het internet.

De meest effectieve manier om met phishing om te gaan, is het bewustzijn van gebruikers te vergroten door middel van training. Alleen zijn technische mensen vaak niet de beste trainers voor niet-technische werknemers. En hoewel er weinig mensen zijn die het leuk vinden om training voor eindgebruikers samen te stellen en te geven, is het veel te belangrijk om te negeren.

Met betrekking tot het probleem van externe toegang schakel je waar mogelijk Multi-Factor Authentication (MFA) in, log je alle authenticatiepogingen, vergrendel je accounts na meerdere pogingen en meld je fouten snel. Dit helpt beveiligingsprofessionals om brute aanvallen te herkennen en verkleint de kans dat aanvallers kunnen inloggen met behulp van credential stuffing-technieken of veelgebruikte wachtwoorden (niet geheel toevallig twee voorbeelden die ook in een training aan bod moeten komen).

Samenvatting
Ransomware zal niet snel van het toneel verdwijnen en de nieuwste ontwikkelingen maken het erger dan ooit. Organisaties doen er verstandig aan om de huidige dekking voor cyberverzekeringen te herzien en ervoor zorgen dat deze ook rekening houden met nieuwe bedreigingen van ransomware-aanvallen. Bovendien is het zinvoller dan ooit om preventieve maatregelen te treffen om in de eerste plaats dit soort problemen te voorkomen. Denk aan de allernieuwste security awareness-trainingen en het herzien van de configuratie en controles rond externe toegangspoorten.

Author: admin

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *