Nu succesvolle ransomware-aanvallen nog steeds toenemen, is het duidelijk dat de overwinning van bedrijven nog ver weg is. Het kat-en-muis-spel tussen bedrijven en cyberaanvallers is nog in volle gang. Met afpersingsmalware kunnen aanvallers de infrastructuur van een bedrijf lam leggen en losgeld eisen voor het herstel hiervan. Hoe kunnen bedrijven deze dreiging voor eens en altijd elimineren?

In het State of Encrypted Attacks Report 2020 rapporteerden beveiligingsanalisten van het Zscaler ThreatLabZ-team een toename van 500 procent in het aantal ransomware-aanvallen in vergelijking met een jaar eerder. Het was ook duidelijk dat, hoewel cybercriminelen steeds meer complexe en gerichte aanvallen uitvoeren, veel van de technieken die worden gebruikt om malware met succes te verspreiden – zoals geïnfecteerde macro’s in Word-documenten – eigenlijk verrassend eenvoudig zijn. Maar omdat het beveiligingsbeleid niet is bijgewerkt om bescherming te bieden tegen dit soort aanvallen, lijken IT-afdelingen achter te lopen op de cybercriminelen.


Ransomware Review

Download de ThreatLabZ Ransomware Review: The Advent of Double Extortion

Downloaden

Vanuit het perspectief van een cybercrimineel zijn er veel verschillende manieren om een ​​netwerk binnen te dringen en gegevens te versleutelen. Momenteel is het stelen van gegevens en deze ‘gijzelen’ een zeer effectieve manier om bedrijven te dwingen te betalen. Deze strategie wordt dan ook steeds vaker door hackers gebruikt. En het wordt ze nog gemakkelijker gemaakt door ransomware-as-a-Service. Neem de malware Dharma als voorbeeld: in maart 2020 werd de broncode voor deze malware te koop aangeboden op het dark web en nam het aantal gemelde aanvallen toe.

De coronaviruspandemie wordt ook vaak genoemd als een factor die het aantal ransomware-infecties doet toenemen. De noodzaak om snel grote aantallen werknemers thuis te laten werken, betekende dat bedrijven gedwongen werden om de uitrol van oplossingen voor toegang op afstand snel af te handelen. Ze hadden weinig tijd om na te denken over beveiliging. Om het probleem nog groter te maken, kunnen werknemers die thuiswerken niet snel een second opinion krijgen van een collega als ze verdacht dataverkeer opmerken, waardoor het voor hen moeilijker wordt om risico’s te herkennen. Met dit in gedachten richten attackers hun inspanningen op de zwakste schakel in de veiligheidsketen: mensen.

Het is essentieel dat bedrijven hun medewerkers opleiden om veiligheidsrisico’s te herkennen en dat bedrijven hun beveiligingsoplossingen waar nodig aanpassen en upgraden. Maar nieuwe soorten aanvallen kunnen nog steeds deze beschermingslagen binnendringen zonder te worden gedetecteerd. Als een werknemer ongewilde malware installeert op zijn werkcomputer of mobiele apparaat, dan is dit een gevaar voor de beveiligingsinfrastructuur van het bedrijf.

De back-up-strategie van een bedrijf geeft aan of het zijn ‘due diligence’ heeft gedaan. Back-up kopieën van gegevensbestanden worden niet alleen gemaakt om gegevens te herstellen als deze worden gegijzeld door hackers. Moderne ransomware-groepen, zoals Maze, Sodinokibi en Ryuk, versleutelen niet alleen gegevens, maar verhogen ook de druk om te betalen door de inhoud te stelen voordat deze ontoegankelijk wordt gemaakt. Ze dreigen vervolgens deze gevoelige informatie te publiceren. Dit staat bekend als dubbele afpersing. In deze scenario’s helpt het gebruik van een externe back-up om te bepalen wat er is versleuteld en hoe gevoelig de gestolen gegevens zijn. Een organisatie kan zo een risicogestuurde beslissing nemen op basis van een reële impactanalyse. ​DLP kan een goede indicator zijn van een aanhoudende kwaadaardige activiteit – en kan überhaupt voorkomen dat gegevens worden gestolen.

Bescherming tegen ransomware: security hygiëne

IT-teams moeten hun security hygiëne op peil houden om de steeds veranderende aard van ransomware bij te houden, aangezien zelfgenoegzaamheid de grootste vijand is in de strijd tegen dit soort aanvallen. IT-teams moeten niet alleen regelmatig beoordelingen uitvoeren om ervoor te zorgen dat hun beveiligingsmaatregelen nog steeds een adequate bescherming bieden tegen nieuwe aanvalsmethoden. De hoogste prioriteit is om hun patch- en vulnerability-beheer up-to-date te houden.

Aanvullende best practices zijn regelmatige toegangsbeoordelingen naast het overwegen van een least privilege-principe. IT-teams moeten ervoor zorgen dat het personeel alleen toegang heeft tot de voor hun vereiste applicaties, zonder het hele netwerk voor hen open te stellen. Door een strategie op te zetten die laterale netwerkbewegingen vermijd, kan worden voorkomen dat aanvallers zich door het hele netwerk bewegen, mochten ze binnen zijn geraakt in een systeem.

Tegenwoordig publiceren bedrijven veel meer informatie online over hun infrastructuur dan zou moeten. Bedrijven zijn zich er vaak totaal niet van bewust dat ze dat gedaan hebben. Soms lekt een onjuist geconfigureerde server gegevens, fungeert een haastig opgezette ontwikkelomgeving als een gateway voor aanvallers om toegang te krijgen tot kritieke gegevens, of is een simpele open poort de boosdoener.

De State of Public Cloud Security Analysis meldt dat onjuiste configuraties een van de belangrijkste oorzaken zijn van succesvolle aanvallen op public cloud-infrastructuren. Remote Desktop Protocol, dat voor iedereen online zichtbaar is, is een bijzonder aantrekkelijk doelwit voor aanvallers. Uit de analyse bleek dat 20 procent van alle systemen hun RDP-poorten in de cloud blootlegt. Professionele ransomware-groepen, zoals SamSam en Dharma, voeren gerichte zoekopdrachten uit om deze poorten te identificeren en ze vervolgens te gebruiken om brute-force attacks uit te voeren.

Het internet nodigt aanvallers ook uit om diepgaande kennis op te doen over de infrastructuur van een bedrijf, waardoor ze gerichte aanvallen op de zwakste punten kunnen uitvoeren. Een firewall kan aanvallers bijvoorbeeld onbedoeld inzicht geven in de structuur van een bedrijf; het kan informatie verschaffen over netwerknamen en -domeinen in interne omgevingen, die op hun beurt kunnen worden gebruikt om mogelijke aanvalsgebieden te identificeren.

Het wordt daarom aanbevolen dat bedrijven hun infrastructuur regelmatig controleren op OSINT (Open Source Intelligence) met behulp van online tools, om zo vervolgens eventuele gateways voor aanvallen te sluiten. Niet alles dat online toegankelijk is, hoeft onbeveiligd en voor iedereen beschikbaar te zijn. Begrijpen hoe aanvallers toegang krijgen, is noodzakelijk voor een organisatie om passende maatregelen te nemen om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang krijgen tot de benodigde applicaties.

Beveiligingsstrategieën hebben dringend een upgrade nodig met moderne authenticatiemechanismen. Zwakke wachtwoorden zijn niet bestand tegen brute-force-aanvallen. Maar al te vaak kiezen thuiswerkers voor gemak en kiezen ze voor de meest eenvoudige wachtwoorden. Maar nu ransomware-aanvallen toenemen, zou meervoudige authenticatie een hogere prioriteit moeten hebben. Bedrijven zouden ook geen compromissen moeten sluiten met betrekking tot beveiliging; het is niet voldoende om het hoofdkantoor uit te rusten met geavanceerde beveiligingssystemen en de rest bloot te stellen aan aanvallen.

Veel organisaties maken zich ook schuldig aan te veel vertrouwen in met SSL / TLS versleuteld dataverkeer. De Zscaler-cloud laat zien dat meer dan 86 procent van het internetverkeer al HTTPS-versleuteld is en volgens Google is dit zelfs meer dan 90 procent. Deze datastromen worden ook gebruikt door malware-aanvallers. Als bedrijven dit verkeer niet scannen, kan het worden misbruikt om schadelijke code langs de security die de rest van het bedrijfsnetwerk beschermt, te krijgen.

Het afgelopen jaar zijn cloud-diensten voor het delen van bestanden een geliefd doelwit geworden van cybercriminelen. Google Drive, OneDrive, AWS en Dropbox worden steeds vaker gebruikt als platform om malware te transporteren, omdat gebruikers te veel vertrouwen stellen in deze diensten. Er is slechts één snelle, ondoordachte klik van een gebruiker nodig om de infectiecyclus op gang te brengen.

Een zero trust-aanpak ontwikkelen

In tegenstelling tot een traditionele beveiligingsaanpak, kan zero trust-netwerktoegang (ZTNA) de kwetsbaarheid van een bedrijf aanzienlijk verminderen. Volgens Gartner kan Zero Trust Network Access (ZTNA) worden geleverd door een service die een identiteits- en context-gebaseerde, logische toegangsgrens rond applicaties creëert. Applicaties worden verborgen voor detectie en er kan alleen toegang worden gekregen via een trust broker. Deze trust broker verifieert de identiteit, context en het beleid van gebruiker voordat deze toegang krijgt. Zo voorkomt het laterale verplaatsing naar andere plekken in het netwerk. Ook zijn applicaties niet langer publiek zichtbaar en wordt het attack surface voor aanvallers aanzienlijk verkleind.

ZTNA kan er bovendien voor zorgen dat werknemers hetzelfde beschermingsniveau hebben bij toegang tot internet en werkapplicaties, ongeacht waar ze zijn of welk apparaat ze gebruiken. Het idee achter deze aanpak is dat het verkeer tijdens de reis van een gebruiker naar een applicatie wordt beveiligd, ongeacht waar de gebruiker zich bevindt of waar de applicatie wordt gehost. In een zero trust-model kent het bedrijf de identiteit van elke geautoriseerde gebruiker, hun apparaat en de applicatie die ze nodig hebben, terwijl ze ook zien wat de gebruiker probeert te openen. Op basis van deze factoren wordt goedkeuring verleend voor toegang. Het concept verhult alle mogelijke access points, maakt ze onzichtbaar en sluit daarmee de deur voor aanvallers: cybercriminelen kunnen tenslotte niet aanvallen wat ze niet kunnen zien. Microsegmentatie kan ook helpen om schade te beperken. Als aanvallers er toch in slagen het netwerk binnen te dringen, kan worden voorkomen dat ze ongehinderd overal doorheen gaan.

Tot slot: geen van de hier genoemde benaderingen is nieuw. Door de noodzaak om snel op grote schaal werk op afstand uit te rollen, hadden IT-afdelingen echter weinig tijd om goed na te denken over nieuwe beveiligingsarchitecturen en het dreigingslandschap in onze moderne wereld. Nu krijgen deze IT-afdelingen de ondersteuning om nieuwe beveiligingsmodellen te implementeren – omdat steeds meer organisaties beseffen dat een holistische benadering van de vereisten van netwerken, applicaties en IT-beveiliging de verdediging van een bedrijf tegen de huidige ransomware versterkt.


Ransomware Review

Download de ThreatLabZ Ransomware Review: The Advent of Double Extortion

Downloaden

REAGEREN

Plaats je reactie
Je naam