4 belangrijke trends in ransomware en hoe daarmee om te gaan
Hoe veranderen ransomware-aanvallen en wat betekent dat voor uw organisatie? Paul Pols, principal security specialist bij Secura, ziet 4 trends als het gaat om ransomware.
... > Ransomware Resilience Assessment (RRA) > 4 Belangrijke Trends in Ransomware
4 trends in ransomware
Twee grote casino’s werden getroffen; privégegevens van topvoetballers dreigden te worden gelekt: de gevolgen van ransomware-aanvallen halen wekelijks het nieuws. Maar wat zijn de ontwikkelingen achter die aanvallen? Paul Pols, principal security specialist bij Secura, ziet 4 trends als het gaat om ransomware.
1. Nieuwe taktieken zijn in opkomst: advertenties en helpdesk
Ransomware werd traditioneel verspreid via phishing e-mails, vaak met Microsoft Office documenten in de bijlage: Word-documenten met besmette macro’s. ‘Maar Microsoft heeft dat een stuk moeilijker gemaakt, zegt Pols. ‘Je ziet dat ransomware-actoren daarom naar andere manieren zoeken om binnen te komen en infecties te realiseren.’
Actoren gebruiken nog steeds phishing-mails, met de malware in allerlei andere soorten bijlages, maar ze verbreden hun werkwijze: ‘Het afgelopen jaar hebben we gezien dat actoren bijvoorbeeld zoekmachineresultaten misbruiken. Ze plaatsen kwaadaardige advertenties bovenaan zoekpagina’s en lokken mensen naar een niet-legitime website om ze daar kwaadaardige software voor te schotelen.’
Nieuwe trucs
Ook social engineering neemt toe, ziet Pols. ‘Actoren bellen een helpdesk en bewegen een medewerker om een wachtwoord te resetten of de multifactorauthenticatie te omzeilen.’ De ransomware-aanval bij MGM Resorts is waarschijnlijk met social engineering van een helpdeskmedewerker begonnen.
Deze verandering betekent dat organisaties minder goed kunnen voorspellen waar een mogelijke ransomware-aanval begint. ‘Ik verwacht wel dat hier consolidatie zal plaatsvinden’, zegt Pols. ‘Na een tijd zal één manier goed blijken te werken. Maar op dit moment werkt de oude methode steeds minder goed, en zie je dat ransomware-groepen uitproberen welke nieuwe trucs ze kunnen gebruiken.’
Paul Pols
Principal security specialist
Secura
Op dit moment zie je dat ransomware-groepen uitproberen welke nieuwe trucs ze kunnen gebruiken om ransomware te verspreiden.
2. Meer organisaties worden genoemd op leak sites
Niemand weet hoeveel ransomware-aanvallen er precies plaatsvinden per jaar, want harde cijfers ontbreken. Maar het aantal organisaties dat op een zogenoemde dark web leak site terecht komt blijft groeien, ziet Pols. Wat betekent dat?
‘Als een organisatie niet van plan is losgeld te betalen, dan dreigen ransomware-groepen vaak om gegevens openbaar te maken. Dan wordt er op de website van zo’n ransomware groep gezegd: ‘We hebben de KNVB gehackt. Ze hebben 10 dagen om te betalen. Doen ze dat niet, dan maken we hun data openbaar.’’
In de eerste negen maanden van 2023 zijn evenveel organisaties op zo’n leak site genoemd als in heel 2022. ‘Als je naar die cijfers kijkt, dan lijkt het aantal ransomware-aanvallen wereldwijd dus te stijgen. Het kan natuurlijk ook zijn dat organisaties vaker op een leak site terecht komen omdat ze steeds minder geneigd zijn om te betalen. Maar die indicatie hebben wij niet.’
‘We weten uit meerdere bronnen, bijvoorbeeld via de opgerolde groep Hive, dat ongeveer 80% van de ransomware-slachtoffers losgeld betaalt voordat ze op een leak website worden geplaatst. Dat betekent dat het daadwerkelijke aantal ransomware-aanvallen waarschijnlijk ongeveer vijf keer zo hoog is als het aantal slachtoffers dat op leak sites wordt gepubliceerd.’
3. De discussie over het betalen van losgeld verhardt
Moet je wel of niet betalen bij ransomware? Die simpele vraag wordt hoe langer hoe meer een mijnenveld, vooral nu grote ransomware-aanvallen vaker voorkomen. De KNVB, die losgeld betaalde aan LockBit, kreeg een berisping van de Autoriteit Persoonsgegevens, voor het ‘in stand houden van een verwerpelijk verdienmodel.’
Pols, die naast cybersecurity ook filosofie studeerde, ziet in de discussie duidelijk een botsing van twee soorten belangen en gedrag. Hij legt uit: ‘In de filosofie zijn twee manieren om het handelen van mensen aan te duiden: rationeel en redelijk. De rationele handeling is de handeling die logisch is voor een individu in een bepaalde positie; vaak gedreven door het eigen belang. De redelijke handeling gaat uit van het belang van de groep: als iedereen in een bepaalde situatie redelijk zou handelen, zou dat het beste resultaat opleveren voor iedereen.’
Botsende belangen
Deze twee belangen botsen als het om ransomware gaat, benadrukt Pols: ‘Het belang van een individuele organisatie is: zorgen dat de schade van een aanval op de organisatie zoveel mogelijk wordt beperkt. Het kan soms goedkoper zijn om losgeld te betalen dan een verlies aan gegevens te accepteren. Vanuit een maatschappelijk belang wil je juist dat een organisatie voor de verliesgevende optie kiest – zelfs bij wijze van spreken eerder failliet gaat dan betaalt. Want als samenleving wil je uiteindelijk het signaal uitsturen: ‘wij betalen niet.’’
Wat is de oplossing voor deze botsende belangen? ‘Wetgeving kan ervoor zorgen dat wat rationeel en wat redelijk is op één lijn komen. Dat zie ik ook als taak van de overheid in een kwestie als deze: de spelregels zo inrichten dat als organisaties daarbinnen handelen in hun eigen belang, dit niet botst met het maatschappelijk belang. Zo zou je bijvoorbeeld kunnen vereisen dat organisaties voor herstellen kiezen, ook als dat de duurdere optie is - zo lang dat het voortbestaan van de organisatie niet bedreigt.’
4. Professionele onderhandelaars veranderen het speelveld
Als organisaties na een ransomware-aanval besluiten het geëiste losgeld te betalen, huren ze steeds vaker een professionele onderhandelaar in, om het bedrag in ieder geval te verlagen. Die ontwikkeling blijft niet zonder gevolgen, ziet Pols: ‘De inzet van professionele onderhandelaars zet het verdienmodel van ransomware-groepen onder druk.’
Pols: ‘Professionele onderhandelaars kunnen ransomware-operators soms bewegen tot flinke kortingen: soms wel tot 90% korting op de originele eis. Een operator, die de aanval feitelijk uitvoert, is misschien net nieuw en daarom eerder geneigd om een klein bedrag te accepteren in plaats van de kans op betaling af te schrijven. Je ziet nu dat sommige ransomware-groepen hier maatregelen tegen nemen.’
Prijsafspraken over losgeld
Ironisch genoeg proberen sommige ransomware-groepen ook het individuele belang en het groepsbelang op één lijn te brengen, zegt Pols: ‘Je ziet bijvoorbeeld een discussie over het vaststellen van minimumbedragen en maximumkortingen voor de losgeldeis. Bijvoorbeeld: je moet als operator minimaal 3% van de jaaromzet van het slachtoffer eisen. Je mag korting geven, maar maximaal 50%, zodat minimaal 1,5% van de omzet als losgeldeis overblijft.’ Ransomware-actoren maken dus prijsafspraken over de hoogte van losgeld.
Wat betekenen deze trends voor uw organisatie?
‘Er is niet één ‘silver bullet’ om een organisatie te beschermen tegen ransomware’, zegt Pols. Eén aandachtspunt: het beschermen van de interne infrastructuur. ‘Omdat actoren meer verschillende manieren vinden om binnen te dringen, wordt het nog belangrijker om het interne netwerk goed te beschermen. Bij veel organisaties is juist dat het meest kwetsbaar. Maar één gecompromitteerde laptop van een medewerker kan leiden tot een situatie waarin een ransomware-groep de volledige IT-infrastructuur onder controle krijgt.’
Beter dan genezen
De kans dat een organisatie getroffen wordt door een ransomware-aanval lijkt nog steeds groter te worden. De prijsafspraken over losgeldeisen geven een inkijkje in de directe schade waar in zo'n geval rekening mee moet worden gehouden. ‘Maar een ransomware-aanval veroorzaakt veel meer schade - van reputatieschade tot schade aan het mentale welzijn van medewerkers. Het devies voor het weerbaarder worden tegen ransomware-aanvallen blijft dan ook: voorkomen is beter dan genezen.’
Omgaan met ransomware
Train uw medewerkers
Wij helpen u om uw medewerkers bewust te maken van malware advertenties en helpdesk-phishing: bekijk ons awareness programma.
Bescherm uw External Attack Surface
We controleren het darkweb en andere plaatsen op gelekte informatie over uw organisatie, zodat u...
Evalueer uw weerbaarheid tegen ransomware
Verklein de kans dat u losgeld moet betalen: beoordeel hoe goed uw organisatie is voorbereid op een ransomware-aanval. Klik hier voor meer informatie.
Zet "Incident Response PRO" in
Ontdek onze 24/7 Incident Response-service. Klik hier voor meer informatie.
Waarom kiezen voor Secura | Bureau Veritas
Het doel van Secura/Bureau Veritas is om uw vertrouwde partner in cybersecurity te zijn. Wij gaan verder dan snelle oplossingen en geïsoleerde diensten. Onze geïntegreerde aanpak zorgt ervoor dat elk aspect van uw bedrijf of organisatie cyberweerbaar is, van uw technologie tot uw processen en uw mensen.
Secura is de cybersecuritydivisie van Bureau Veritas, gespecialiseerd in testing, inspection en certification. Bureau Veritas werd opgericht in 1828, heeft meer dan 80.000 werknemers en is actief in 140 landen.