Blog Cybersecurity

6 redenen waarom we voorlopig niet van ransomware af zijn

Iedereen die het nieuws volgt, weet dat ransomware groter is dan ooit tevoren. Organisaties in de publieke en private sectoren realiseren inmiddels dat het niet de vraag is of, maar wanneer ze het volgende doelwit zijn. Hoe is het zover gekomen? Al twintig jaar kopen bedrijven antivirusbescherming en toch lijken ze de strijd niet te winnen. In deze blog signaleert André Noordam, Director of Sales Engineering bij cybersecurity-gigant SentinelOne zes redenen waarom we nu pas aan het begin van de echte ransomware-pandemie staan. Gelukkig is er nog hoop.

André Noordam 22 oktober 2021

Cybercrime blog van noordam

Illustratie: Shutterstock

1. 'Broken Windows can’t be fixed’

Besturingssystemen en bijbehorende bedrijfssoftware hebben veel last van kwetsbaarheden. Sommige bugs blijven jarenlang verborgen, soms zelfs tientallen jaren. Het is verleidelijk om te denken dat het gewoon een kwestie van tijd is voordat al deze kwetsbaarheden uiteindelijk worden gevonden en gepatcht, maar helaas is dat niet hoe het werkt. Met ieder nieuw product is er weer nieuwe code en die brengt weer bugs met zich mee. Zo blijven problemen bestaan. Alleen al in de afgelopen paar maanden heeft Microsoft meer dan 200 bugs moeten patchen, waarvan 27 als ‘kritiek’ en de overgrote meerderheid als ‘belangrijk’ werd geclassificeerd. En in maart van dit jaar leidden vier afzonderlijke zero-days in MS Exchange-software tot infecties bij duizenden organisaties.

'Wanneer een dief je huis binnenkomt, is het laatste wat je wilt, wachten tot een agent op afstand beslist of de dief in je huis mag zijn'

André van Noordam, Director of Sales Engineering bij cybersecurity-gigant SentinelOne

2. Geavanceerde aanvallen verslaan eenvoudige beveiliging, elke keer weer!

Geavanceerde tools zijn niet langer het domein van criminelen die worden gesteund door natiestaten en ze worden ook niet langer alleen gebruikt tegen doelen die natiestaten willen bespioneren. Vandaag de dag draait het allemaal om financieel gewin. Criminelen willen jouw gegevens - hetzij om te verkopen, hetzij om er losgeld voor te vragen, of beide. En ze hebben alles wat nodig is om de benodigde tools te kopen, te ontwikkelen of te stelen. Sinds de Shadow Brokers de krachtige hacktools van de NSA hebben gelekt, waaronder EternalBlue dat betrokken was bij de WannaCry- en NotPetya-aanvallen, hebben cyberbendes niet alleen die specifieke tools tot hun beschikking, ze weten ook hoe dergelijke tools gebouwd kunnen worden.

Bovendien bestaat er op het Dark Web een heel ecosysteem voor minder geavanceerden waar zij toegang hebben tot krachtige tools die door anderen zijn ontwikkeld. Het Ransomware as a Service-model maakt het mogelijk dat geavanceerde malware-ontwikkelaars hun spullen kunnen verkopen aan een groot aantal klanten, die elk een relatief lage prijs betalen.

De standaard, ingebouwde beveiliging van Windows-apparaten is gewoon niet goed genoeg om de geavanceerde aanvallen van vandaag te stoppen. Geavanceerde aanvallen vereisen geavanceerde tools die autonoom op machinesnelheid kunnen reageren om ransomware-aanvallen buiten de deur te houden. Er zijn nog heel wat organisaties die deze les moeten leren, dus zullen we voorlopig nog heel wat spraakmakende ransomware-aanvallen blijven zien.

3. De opbrengsten zijn groter dan de risico’s

Slechte software en zwakke beveiligingscontroles, gecombineerd met een laag risico en hoge beloningen, maken ransomware aantrekkelijk voor criminelen. Vroeger hadden cybercriminelen nog niet door dat hen enorme beloningen stonden te wachten bij het aanvallen van bedrijven. Ze richtten zich voornamelijk op consumenten die geautomatiseerde betalingen van $300,- kregen.

Inmiddels is er veel veranderd. Tegenwoordig halen ransomware-afpersers veel meer geld op via dubbele afpersing: oude vertrouwde bestandsversleuteling aan de ene kant, gekoppeld aan het stelen van gegevens en chanteren van slachtoffers aan de andere kant. REvil-ransomware-operators maakten onlangs misbruik van een bug in Kaseya VSA-software en vroegen toen $50 miljoen voor een universele decoderingssleutel. Er wordt geschat dat alle ransomware-betalingen vorig jaar ongeveer $350 miljoen aan cryptocurrency bedroegen.

De geschiedenis van misdaad leert ons dat mensen grote risico's nemen voor veel lagere beloningen. Voor een bankoverval kan men een levenslange gevangenisstraf krijgen ​​en de kans is veel groter dat het misgaat. Een ransomware-aanval op een Amerikaanse instelling - uitgevoerd vanuit een woning in een land dat zich niet echt bezighoudt met het aanpakken van dergelijke computercriminaliteit - is minder riskant dan 's nachts een ommetje in het park.

Het resultaat? We moeten ons niet alleen zorgen maken over door de staat gesteunde actoren, maar ook over door de staat getolereerde criminele bendes. En voor het gemiddelde bedrijf in het Westen, is dit laatste een veel reëler en actueler gevaar.

4. Cryptovaluta maken betalen gemakkelijk

Cryptovaluta zijn booming. Terwijl tegenstanders blijven praten over de risico's van de 'cryptocurrency-bubbel', gebruiken criminelen het maar al te graag als middel voor anonimiteit, gemakkelijke geldoverdracht en - naarmate de prijzen stijgen - een snelle route naar rijkdom.

Voorafgaand aan de pandemie was een bitcoin iets meer dan $7.000 waard, maar toen de economie in de hele wereld stilviel, nam de bitcoin een hoge vlucht. In december 2020 bedroeg de waarde $24.000 en bereikte een piek van $64.000 in april 2021. Momenteel schommelt de bitcoin rond de $46.000. Het ziet er niet naar uit dat de bubbel gaat barsten en voor cybercriminelen die bedrijven afpersen, is elke prijsstijging een extra stimulans om door te gaan met aanvallen.

Het zijn natuurlijk niet alleen de stijgende prijzen die cryptocurrency aantrekkelijk maken voor criminelen. Crypto's bieden iedereen die betrokken is bij misdaad een eenvoudige manier om betaald te worden met veel meer anonimiteit dan een bankrekening.

5. Dankzij reactieve houding van bedrijven blijven legacy AV's bestaan

Terwijl cybercriminelen profiteren van moderne technologieën, houdt de overgrote meerderheid van bedrijven vast aan verouderde antivirus(AV)-technologieën die cybercriminelen al lang weten te omzeilen. Ondanks dat er nog veel van deze verouderde AV-beveiligingscontroles worden ingezet, waren er alleen al in 2019 naar schatting 9,9 miljard malware-aanvallen, een stijging van 8,2 miljard sinds 2015. Dit laat heel duidelijk het falen zien van de verouderde aanpak van cybersecurity.

6. Aanvallen gebeuren op apparaten, niet in de cloud

Legacy AV is dan misschien niet zo veel veranderd, onze netwerkinfrastructuur is dat zeker wel. De cloud - on-premises, hybride, IaaS, PaaS, container workloads en meer - heeft onze omgevingen onherkenbaar veranderd sinds die oude AV's voor het eerst werden bedacht. Als reactie hierop hebben zowel oude als nieuwe leveranciers gedacht de cloud te gebruiken voor de bescherming. Wat als u al uw device-telemetrie (fysiek of virtueel) naar de cloud van leveranciers zou kunnen sturen en daar zou kunnen laten analyseren? Het voordeel? Ze zeggen dat het allemaal in de extra rekenkracht van de cloud zit.

Het is terecht om te profiteren van technologie als aanvulling op de bescherming, maar de sleutel tot de beveiliging van endpoints mag niet bij een externe server of bij een externe analist liggen. Wanneer een dief je huis binnenkomt, is het laatste wat je wilt, wachten tot een agent op afstand beslist of de dief al dan niet aanwezig mag zijn. Tegen die tijd is de inbreker er al met jouw spullen vandoor en heeft in de tussentijd allerlei schade kunnen aanrichten.

Hetzelfde geldt voor endpoint security. Of je nu de Windows- of Linux-werkstations van werknemers, macOS-laptops of persoonlijke apparaten, uw kantoor-IoT of de servers van je bedrijf beveiligt - op locatie of in de cloud - wat u nodig hebt in het hart van je endpointbeveiligingsoplossing is een autonome agent op dat apparaat dat met machinesnelheid op een dreiging reageert.

Er is hoop

Gelukkig is er nog hoop. Steeds meer mensen ontdekken hoe ze deze oorlog kunnen winnen en dat tijd - of beter gezegd snelheid - van essentieel belang is. Te lang hebben aanvallers het verrassingselement als voordeel gehad, waarbij ze gemakkelijk de verdediging konden verslaan die afhankelijk is van menselijk handelen. Nu zijn dit soort strategieën niet per se fout, maar is er wel een aanvulling nodig in de vorm van een robuustere, behavorial AI die is getraind om autonoom te handelen.

André Noordam

Director of Sales Engineering EMEA - North, SentinelOne

Gedurende de afgelopen 20 jaar heeft André verschillende technische posities bekleed binnen vooraanstaande IT bedrijven zoals Fortinet, TrendMicro en Dimension Data in Noord-Europa. Zijn expertise varieert van endpoints tot aan netwerkoplossingen. Van Noordam heeft niet alleen kennis opgedaan door op veel en verschillende security-projecten mee te werken, maar ook door zijn adviserende rol bij klanten, gericht op ondersteuning en onderbouwing van de security-projecten.

Blijf op de hoogte van het laatste nieuws voor ondernemers.

Ontvang dagelijks onze nieuwsbrief en blijf op de hoogte van het laatste ondernemersnieuws

Expertblogs op deze website worden op persoonlijke titel geschreven en verwoorden niet per se de visie en/of mening van De Ondernemer.