Een onderwerp dat steeds vaker de krantenkoppen haalt op gebied van cybersecurity is ransomware. En dat is niet voor niets. Want ransomware, ook wel gijzelsoftware genoemd, is op dit moment de meest voorkomende en meest lucratieve vorm van cybercrime wereldwijd. Elke dag worden vele organisaties wereldwijd aangevallen. Cybercriminelen vragen soms wel tot enkele tientallen miljoenen euro’s aan losgeld. Ransomware leidt daarom niet alleen bij de slachtoffers tot grote schade, maar ontwricht ook steeds meer de maatschappij.
Het is onbekend hoeveel slachtoffers er zijn van ransomware, maar er zijn meerdere indicaties dat het probleem steeds groter wordt. Volgens de aangesloten leden van Cyberveilig Nederland betreft het merendeel van de cyberincidenten momenteel ransomware. Rond de 90% van incident respons capaciteiten binnen de Nederlandse cybersecuritysector wordt in 2021 ingezet bij organisaties die slachtoffer zijn geworden van een ransomware-aanval. De Nationale Politie constateert dat in Nederland zowel de geëiste als de uitbetaalde bedragen inmiddels geregeld in de miljoenen euro’s lopen. Het is dus een gemiste kans dat veel organisaties het onderwerp cybersecurity nog zo weinig aandacht schenken. Zij zien cybersecurity als een kostenpost in plaats van een investering, of hebben vaak onterecht het idee dat het hen niet kan overkomen. Het herstellen van een cyberincident zoals ransomware is helaas vele malen duurder dan vooraf investeren in passende maatregelen.
Wat is ransomware?
De naam ransomware is een samenvoeging van de woorden ransom (losgeld) en software. Bij een ransomware aanval gijzelen aanvallers data van het slachtoffer en gebruiken drukmiddelen om het slachtoffer over te halen te betalen. Die gijzeling bestaat vaak uit het versleutelen van de gegevens van het slachtoffer. Steeds vaker wordt ook gedreigd gestolen informatie te publiceren als extra drukmiddel om slachtoffers te laten betalen. Een recent voorbeeld hiervan is de ransomware aanval bij de Hogeschool van Arnhem en Nijmegen (HAN), waar persoonsgegevens van studenten en medewerkers online zijn gezet.
Hoe werkt ransomware?
Elke ransomware aanval loopt volgens een drietal fasen.
De Nederlandse overheid adviseert organisaties om nooit losgeld te betalen. Niet alleen weet je nooit zeker of je je bestanden weer (ongeschonden) terugkrijgt, maar je draagt ook ongewild bij aan het in stand houden van criminele activiteiten. Van de vele miljoenen die cybergroeperingen hebben verdiend aan ransomware wordt een groot deel ingezet om te innoveren. Op deze manier wordt het probleem van ransomware alleen maar groter en worden steeds meer organisaties slachtoffer. De afweging om toch losgeld te betalen is voor elk slachtoffer anders. Het tegengaan van dit fenomeen is eveneens belangrijk en deze twee belangen (individueel belang versus maatschappelijk belang) bijten elkaar dikwijls.
Gevolgen voor het slachtoffer
De kosten van een ransomware aanval kunnen flink in de papieren lopen. Immers willen de criminelen zoveel mogelijk geld verdienen met hun businessmodel. Om dit te bereiken baseren ze vaak hun losgeldeis op de omzet van een onderneming. Ze investeren tijd om de financiële situatie van het slachtoffer goed in te kunnen schatten. Dit varieert van het opzoeken van bedrijfsinformatie in open bronnen tot het bestuderen van financiële informatie uit het netwerk van het slachtoffer. Bij bedrijven ligt de losgeldeis vaak tussen de 0,4% en 2% van de jaaromzet. Bij overheidsinstellingen is het vermoeden dat cybercriminelen kijken naar de maatschappelijke verantwoordelijkheden van het (beoogde) slachtoffer en passen ze daar de eis op aan.
Naast de losgeldeis komen er nog andere kosten kijken bij een ransomware aanval. Te denken valt aan het niet kunnen werken van de medewerkers of aan het internet aangesloten apparatuur en natuurlijk de investeringen om het netwerk weer op te bouwen en te beveiligen. De gemiddelde downtime van slachtoffers van ransomware bedraagt momenteel rond de drie weken. Dat betekent dat in deze periode geen of beperkte dienstverlening geleverd kan worden. Ook zijn organisaties vaak bang voor reputatieschade. Om in de toekomst aanvallen beter tegen te kunnen gaan is transparantie en het delen van informatie belangrijk. Cyberveilig Nederland stimuleert daarom organisaties om open te zijn waar het kan en relevante informatie te delen met de overheid en cybersecuritysector zodat deze kennis kan worden gebruikt om aanvallen bij anderen helpen tegen te gaan.
Een ransomware aanval voorkomen
Er is helaas geen gouden tip die een ransomware aanval voorkomt. Cybersecurity is een samenspel van maatregelen waar werknemers, de organisatie en technische maatregelen samen de weerbaarheid bepalen. De belangrijkste eerste stap is het in kaart brengen en beheren van de kritieke processen (kroonjuwelen) binnen de organisatie.
Daarnaast is het essentieel dat medewerkers getraind worden in het herkennen van een phishing mail. Een positieve securitycultuur helpt hierbij, want zo worden je medewerkers een extra beschermingslaag. Bij technische maatregelen kun je denken aan het inzetten van multifactor-authenticatie (het aanmelden met meer dan alleen een wachtwoord).
Ook het tijdig patchen (updaten) van hard- en software is erg belangrijk. De meeste cybercriminelen maken gebruik van bekende kwetsbaarheden om binnen te komen. Daarom is het zo belangrijk om gebruik van verouderde versies tegen te gaan. Het monitoren van het netwerkverkeer is verstandig om activiteiten van een cybercrimineel te onderkennen in het netwerk. Het duurt vaak erg lang (er wordt gesproken over gemiddeld 190 dagen) voordat een data breach wordt opgemerkt. Dat betekent dus dat een cybercrimineel meer dan een half jaar kan rondneuzen in de netwerken van een organisatie om een aanval zo geslaagd mogelijk te laten verlopen. Tenslotte is het essentieel om een goede backup te hebben. Deze kopie moet je bewaren op een (fysiek) gescheiden locatie, zodat deze niet onklaar kan worden gemaakt door een cybercrimineel.
Wat te doen bij een ransomware-aanval
Ondanks alle maatregelen kan elke organisatie geraakt worden door een ransomware-aanval. Het is belangrijk om te beseffen dat het specialistische kennis vergt om met zo’n aanval om te gaan. Het is dan ook aan te raden om zo snel mogelijk de hulp van een professionele security-organisatie in te roepen. Zij hebben ervaring met dit soort aanvallen en kunnen slachtoffers bijstaan in alle acties die ze moeten ondernemen. Zij zullen niet alleen helpen met het in kaart brengen van de impact van de aanval, maar kunnen ook helpen voorkomen dat de aanval zich niet verder verspreid en zorgen voor het herstel van het netwerk, zoals het terugzetten van backups.
Daarnaast is het belangrijk om helder te communiceren, zowel intern als extern, bij een aanval. Weten medewerkers waar ze aan toe zijn en wat ze wel, of juist niet moeten doen? Zijn er toeleveranciers afhankelijk van jouw product of dienst, terwijl je niet kunt leveren door een aanval?
Ons belangrijkste advies is om de kennis en ervaring te delen met anderen. Helaas is er nog veel (onterechte) schaamte bij slachtoffers waardoor het probleem van ransomware nog onbekend is bij veel organisaties.
Een drietal ransomware-aanvallen in 2021 uitgelicht
‘Kaas-hack’
Zondagavond 4 april j.l. ontdekte Bakker Logistiek een probleem op de database servers van het computernetwerk van de onderneming. Nader onderzoek wees uit dat de IT-systemen en het netwerk waren gehackt en de database servers waren versleuteld. Als gevolg hiervan vielen vele bedrijfsprocessen van Bakker Logistiek stil, zowel in het transport, de distributiecentra als in de kantoororganisatie. Hierdoor konden zo’n 250 vrachtwagens geen kant meer op en had onder andere de Albert Heijn geen kaas meer in de schappen. Cybercriminelen hebben Bakker Logistiek in Zeewolde kunnen hacken via een beveiligingslek in het email-programma Microsoft Exchange.
Deze ransomware-aanval laat het belang zien van tijdig patchen van beveiligingsupdates. De Nederlandse overheid constateerde al in maart 2021 dat er als gevolg van deze kwetsbaarheden data wordt gestolen, malware wordt geplaatst, achterdeurtjes worden ingebouwd en mailboxen worden aangeboden op de zwarte markt. Via de Microsoft Exchange server kunnen kwaadwillenden mogelijk ook in andere systemen komen, zoals is gebeurd bij Bakker Logistiek. Omdat Bakker Logistiek een goed back-up systeem had en externe hulp van (cyber)professionals heeft ingeroepen was het bedrijf na enkele dagen weer operationeel.
Een hack als deze laat zien dat het platleggen van 1 bedrijf impact kan hebben op de gehele maatschappij. Dagenlang waren de kaasschappen bij onder andere de Albert Heijn leeg.
Colonial Pipeline
Het grootste oliepijpleidingbedrijf van de Verenigde Staten, Colonial Pipeline, heeft begin mei 2021 alle leidingen moeten afsluiten vanwege een cyberaanval. Cybercriminelen van de groepering DarkSide hebben verschillende databestanden van Colonial Pipeline gegijzeld. De cybercriminelen zijn waarschijnlijk binnengekomen via het OT-netwerk (productienetwerk), dat niet goed genoeg beveiligd was en via remote access te benaderen was.
De bedrijfsvoering van de meeste organisaties is tegenwoordig - vaak zonder dat ze zich daarvan bewust zijn - sterk afhankelijk van automatiserings- en control systemen: operational technology (OT). Met de huidige trend van digitalisering wordt dat eerder meer dan minder. Helaas neemt de kans op een cyberincident hierdoor ook toe. Daarom is het van belang dat je niet alleen je IT-omgeving beschermt tegen cyberaanvallen, maar ook je OT-omgeving.
Kaseya
Verschillende bedrijven wereldwijd maken gebruik van de software van Kaseya. Deze software wordt veel gebruikt voor IT-beheerders om op afstand computernetwerken te beheren. Begin juli 2021 vond een ransomware aanval plaats op de systemen van Kaseya waardoor wereldwijd zo’n 1500 bedrijven werden geraakt. Als gevolg van de aanval moest bijvoorbeeld in Zweden de supermarktketen Coop alle achthonderd winkels sluiten omdat de kassa’s niet meer werkten.
Deze aanval laat zien dat niet alleen de beveiliging van je eigen systemen van belang voor je is, maar ook de beveiliging van toeleveranciers, de zogenaamde supply-chain. Voor een goede weerbaarheid is het dus van belang om in kaart te brengen welke toeleveranciers toegang hebben tot je systemen en zicht te krijgen op de risico’s en maatregelen die hierop zijn genomen.