De plaag van ransomware gaat door, met incidenten die een Amerikaans record bereikten in het tweede kwartaal van 2021, terwijl aanvallers uitbreiden naar verticale industrieën en zich richten op kritieke infrastructuur. Ook de vraag om losgeld is toegenomen. Volgens IT Governance is het gemiddelde decoderingssleutelpercentage van aanvallers $ 140.000, maar veel organisaties betalen uiteindelijk veel meer dan dat.
De ransomware-dreiging evolueert sneller dan het vermogen van mensen om bij te houden. Een veel voorkomende misvatting is dat payloads meestal worden afgeleverd via phishing-e-mails. Hoewel dat in veel gevallen waar kan zijn, is de kans groter dat de nieuwe soort ransomware wordt gelanceerd door een indringer die al een inbreuk op het netwerk heeft gemaakt. In feite is de strijd nu gericht op het monitoren van activiteit binnen uw omgeving in plaats van te voorkomen dat gebruikers op onbekende links klikken.
Een andere achterhaalde overtuiging is dat frequente back-ups de beste herstelstrategie zijn. Hoewel dat waar kan zijn voor aanvallen met minder capaciteiten, heeft een aanvaller die zich al binnen een netwerk bevindt, niet alleen de mogelijkheid om back-ups in gevaar te brengen, maar ook kritieke gegevens te exfiltreren (en uiteindelijk te lekken).
Sluit achterdeuren
Het meest gebruikelijke toegangspunt is Remote Desktop Protocol (RDP), een functie van Microsoft Windows waarmee één computer verbinding kan maken met andere om een grafische gebruikersinterface weer te geven voor toepassingen zoals gedeelde whiteboards. RDP-kwetsbaarheden blijven zich vermenigvuldigen, en veel daarvan zijn het gevolg van een slechte configuratie of het niet toepassen van patches.
“Dankzij zoveel recente, spraakmakende aanvallen door een opkomende hackergroep, Lapsus$, hebben we uit de eerste hand gezien hoe effectief RDP-toegang kan zijn om die allerbelangrijkste eerste toegang te bieden”, aldus Rodman Ramezanian, Enterprise Cloud Security Advisor bij Skyhigh Security. “Als ze eenmaal binnen zijn, kan de ransomware-lading zelf uren of dagen later komen.”
Door geavanceerde verkenningen uit te voeren, kunnen indringers aanvallen richten op maximale pijn. De toenemende precisie van aanvallen is een van de redenen waarom de vraag naar losgeld stijgt, ondanks het feit dat bedrijven meer proactieve maatregelen nemen om zichzelf te beschermen.
Preventie-inspanningen richten op het detecteren van aanvallen voordat ze plaatsvinden, is het sluiten van de staldeur nadat het paard al halverwege het veld is. In feite is de aanval vaak de laatste fase in een doorbraak.
Segmenteer, detecteer en bestuur
Gegevens hebben geen jurisdictie. Naarmate meer gegevens naar de cloud worden verplaatst, volgt ransomware. Als je bedenkt dat aanvallers daar nog meer data in handen kunnen krijgen, is het gemakkelijk te begrijpen waarom de cloud zo aantrekkelijk voor hen is geworden.
Om deze reden is uniforme gegevensbescherming op gebruikersapparaten, webverkeer en cloudomgevingen absoluut noodzakelijk. Met een Security Service Edge (SSE)-strategie die gegevensverliespreventie (DLP)-mogelijkheden omvat, kunnen beveiligingsteams gegevensexfiltratie automatisch blokkeren, waardoor de veelvoorkomende dubbele afpersingsbedreigingen van ransomware tegenwoordig worden voorkomen.
De grondbeginselen van een zero-trust-architectuur sluiten aan bij de basisprincipes van de minste bevoegdheden, waarbij een gebruiker de minimale toegangsniveaus of machtigingen krijgt die nodig zijn om hun werk uit te voeren. Een echte zero-trust-aanpak verbindt een gebruiker rechtstreeks met de applicatie die ze nodig hebben, zonder ooit het netwerk bloot te leggen. Beveiligingsteams kunnen gebruikers continu authenticeren en ze rechtstreeks verbinden met applicaties, in plaats van inherent te vertrouwen op verkeer van een intern netwerk of bedrijfsapparaat.
Microsegmentatie is een ander kernconcept zonder vertrouwen. Het houdt in dat de toegang tot applicaties en bronnen wordt beperkt, zodat aanvallers die inbreuk maken op één ervan geen schade kunnen toebrengen aan anderen. Het bestrijdt ook de “land and expand”-technieken die indringers gebruiken om van een toegangspunt naar andere doelen op het netwerk te gaan.
Het gebruik van legitieme RDP-services en geldige referenties blijft beveiligingsteams uitdagen om onderscheid te maken tussen vertrouwde activiteiten en kwaadwillende. User and Entity Behavior Analytics (UEBA) en op afwijkingen gebaseerde controles kunnen abnormaal en potentieel gevaarlijk gedrag helpen opsporen en verminderen.
“Door veelvoorkomend gedrag te onderzoeken, kunnen beveiligingsprofessionals een basislijn van ‘normale activiteit’ voor die specifieke context opbouwen, om uiteindelijk eventuele anomalieën, afwijkingen of in het algemeen verdachte acties aan het licht te brengen, zodat er snel actie kan worden ondernomen,” zei Ramezanian. “Het evalueren van gebruikersactiviteiten die verder gaan dan een eerste login om gebruikersbewegingen, toegang tot organisatorische middelen en de context waarin die toegang plaatsvindt, te omvatten, is van fundamenteel belang om ransomware-bedreigingen die heimelijk ontstaan op te sporen”.
Het is 10 jaar geleden dat ransomware voor het eerst veel aandacht kreeg en de plaag vertoont geen tekenen van afname. Hoewel er geen waterdichte bescherming tegen ransomware bestaat, kan het volgen van trends en preventiemaatregelen het risico op schade minimaliseren.
Bedrijven moeten verder gaan dan elementaire cyberbeveiliging om zich tegen ransomware te beschermen. Krijg meer informatie over een complete SSE-strategie hier.
