Blog Cybersecurity
6 redenen waarom we voorlopig niet van ransomware af zijn
Iedereen die het nieuws volgt, weet dat ransomware groter is dan ooit tevoren. Organisaties in de publieke en private sectoren realiseren inmiddels dat het niet de vraag is of, maar wanneer ze het volgende doelwit zijn. Hoe is het zover gekomen? Al twintig jaar kopen bedrijven antivirusbescherming en toch lijken ze de strijd niet te winnen. In deze blog signaleert André Noordam, Director of Sales Engineering bij cybersecurity-gigant SentinelOne zes redenen waarom we nu pas aan het begin van de echte ransomware-pandemie staan. Gelukkig is er nog hoop.

Illustratie: Shutterstock
1. 'Broken Windows can’t be fixed’
Besturingssystemen
en bijbehorende bedrijfssoftware hebben veel last van kwetsbaarheden.
Sommige bugs blijven jarenlang verborgen, soms zelfs tientallen
jaren. Het is verleidelijk om te denken dat het gewoon een kwestie
van tijd is voordat al deze kwetsbaarheden uiteindelijk worden
gevonden en gepatcht, maar helaas is dat niet hoe het werkt. Met
ieder nieuw product is er weer nieuwe code en die brengt weer bugs
met zich mee. Zo blijven problemen bestaan. Alleen al in de afgelopen
paar maanden heeft Microsoft meer dan 200 bugs moeten patchen,
waarvan 27 als ‘kritiek’ en de overgrote meerderheid als
‘belangrijk’ werd geclassificeerd. En in maart van dit jaar
leidden vier afzonderlijke zero-days in MS Exchange-software tot
infecties bij duizenden organisaties.
'Wanneer een dief je huis binnenkomt, is het laatste wat je wilt, wachten tot een agent op afstand beslist of de dief in je huis mag zijn'
2. Geavanceerde aanvallen verslaan eenvoudige beveiliging, elke keer weer!
Geavanceerde tools zijn niet langer het domein van criminelen die worden gesteund door natiestaten en ze worden ook niet langer alleen gebruikt tegen doelen die natiestaten willen bespioneren. Vandaag de dag draait het allemaal om financieel gewin. Criminelen willen jouw gegevens - hetzij om te verkopen, hetzij om er losgeld voor te vragen, of beide. En ze hebben alles wat nodig is om de benodigde tools te kopen, te ontwikkelen of te stelen. Sinds de Shadow Brokers de krachtige hacktools van de NSA hebben gelekt, waaronder EternalBlue dat betrokken was bij de WannaCry- en NotPetya-aanvallen, hebben cyberbendes niet alleen die specifieke tools tot hun beschikking, ze weten ook hoe dergelijke tools gebouwd kunnen worden.
Bovendien
bestaat er op het Dark Web een heel ecosysteem voor minder
geavanceerden waar zij toegang hebben tot krachtige tools die door
anderen zijn ontwikkeld. Het Ransomware as a Service-model maakt het
mogelijk dat geavanceerde malware-ontwikkelaars hun spullen kunnen
verkopen aan een groot aantal klanten, die elk een relatief lage
prijs betalen.
De standaard, ingebouwde beveiliging van Windows-apparaten is gewoon niet goed genoeg om de geavanceerde aanvallen van vandaag te stoppen. Geavanceerde aanvallen vereisen geavanceerde tools die autonoom op machinesnelheid kunnen reageren om ransomware-aanvallen buiten de deur te houden. Er zijn nog heel wat organisaties die deze les moeten leren, dus zullen we voorlopig nog heel wat spraakmakende ransomware-aanvallen blijven zien.
3. De opbrengsten zijn groter dan de risico’s
Slechte software en zwakke beveiligingscontroles, gecombineerd met een laag risico en hoge beloningen, maken ransomware aantrekkelijk voor criminelen. Vroeger hadden cybercriminelen nog niet door dat hen enorme beloningen stonden te wachten bij het aanvallen van bedrijven. Ze richtten zich voornamelijk op consumenten die geautomatiseerde betalingen van $300,- kregen.
Inmiddels is er veel veranderd. Tegenwoordig halen ransomware-afpersers veel meer geld op via dubbele afpersing: oude vertrouwde bestandsversleuteling aan de ene kant, gekoppeld aan het stelen van gegevens en chanteren van slachtoffers aan de andere kant. REvil-ransomware-operators maakten onlangs misbruik van een bug in Kaseya VSA-software en vroegen toen $50 miljoen voor een universele decoderingssleutel. Er wordt geschat dat alle ransomware-betalingen vorig jaar ongeveer $350 miljoen aan cryptocurrency bedroegen.
De geschiedenis van misdaad leert ons dat mensen grote risico's nemen voor veel lagere beloningen. Voor een bankoverval kan men een levenslange gevangenisstraf krijgen en de kans is veel groter dat het misgaat. Een ransomware-aanval op een Amerikaanse instelling - uitgevoerd vanuit een woning in een land dat zich niet echt bezighoudt met het aanpakken van dergelijke computercriminaliteit - is minder riskant dan 's nachts een ommetje in het park.
Het resultaat? We moeten ons niet alleen zorgen maken over door de staat gesteunde actoren, maar ook over door de staat getolereerde criminele bendes. En voor het gemiddelde bedrijf in het Westen, is dit laatste een veel reëler en actueler gevaar.
4. Cryptovaluta maken betalen gemakkelijk
Cryptovaluta zijn booming. Terwijl tegenstanders blijven praten over de risico's van de 'cryptocurrency-bubbel', gebruiken criminelen het maar al te graag als middel voor anonimiteit, gemakkelijke geldoverdracht en - naarmate de prijzen stijgen - een snelle route naar rijkdom.
Voorafgaand aan de pandemie was een bitcoin iets meer dan $7.000 waard, maar toen de economie in de hele wereld stilviel, nam de bitcoin een hoge vlucht. In december 2020 bedroeg de waarde $24.000 en bereikte een piek van $64.000 in april 2021. Momenteel schommelt de bitcoin rond de $46.000. Het ziet er niet naar uit dat de bubbel gaat barsten en voor cybercriminelen die bedrijven afpersen, is elke prijsstijging een extra stimulans om door te gaan met aanvallen.
Het zijn natuurlijk niet alleen de stijgende prijzen die cryptocurrency aantrekkelijk maken voor criminelen. Crypto's bieden iedereen die betrokken is bij misdaad een eenvoudige manier om betaald te worden met veel meer anonimiteit dan een bankrekening.
5. Dankzij reactieve houding van bedrijven blijven legacy AV's bestaan
Terwijl
cybercriminelen profiteren van moderne technologieën, houdt de
overgrote meerderheid van bedrijven vast aan verouderde
antivirus(AV)-technologieën die cybercriminelen al lang weten te
omzeilen. Ondanks dat er nog veel van deze verouderde
AV-beveiligingscontroles worden ingezet, waren er alleen al in 2019
naar schatting 9,9 miljard malware-aanvallen, een stijging van 8,2
miljard sinds 2015. Dit laat heel duidelijk het falen zien van de
verouderde aanpak van cybersecurity.
6. Aanvallen gebeuren op apparaten, niet in de cloud
Legacy
AV is dan misschien niet zo veel veranderd, onze
netwerkinfrastructuur is dat zeker wel. De cloud - on-premises,
hybride, IaaS, PaaS, container workloads en meer - heeft onze
omgevingen onherkenbaar veranderd sinds die oude AV's voor het eerst
werden bedacht. Als reactie hierop hebben zowel oude als nieuwe
leveranciers gedacht de cloud te gebruiken voor de bescherming. Wat
als u al uw device-telemetrie (fysiek of virtueel) naar de cloud van
leveranciers zou kunnen sturen en daar zou kunnen laten analyseren?
Het voordeel? Ze zeggen dat het allemaal in de extra rekenkracht van
de cloud zit.
Het
is terecht om te profiteren van technologie als aanvulling op de
bescherming, maar de sleutel tot de beveiliging van endpoints mag
niet bij een externe server of bij een externe analist liggen.
Wanneer een dief je huis binnenkomt, is het laatste wat je wilt,
wachten tot een agent op afstand beslist of de dief al dan niet
aanwezig mag zijn. Tegen die tijd is de inbreker er al met jouw spullen
vandoor en heeft in de tussentijd allerlei schade kunnen aanrichten.
Hetzelfde
geldt voor endpoint security. Of je nu de Windows- of
Linux-werkstations van werknemers, macOS-laptops of persoonlijke
apparaten, uw kantoor-IoT of de servers van je bedrijf beveiligt - op
locatie of in de cloud - wat u nodig hebt in het hart van je endpointbeveiligingsoplossing is een autonome agent op dat apparaat
dat met machinesnelheid op een dreiging reageert.
Er is hoop
Gelukkig
is er nog hoop. Steeds meer mensen ontdekken hoe ze deze oorlog
kunnen winnen en dat tijd - of beter gezegd snelheid - van essentieel
belang is. Te lang hebben aanvallers het verrassingselement als
voordeel gehad, waarbij ze gemakkelijk de verdediging konden verslaan
die afhankelijk is van menselijk handelen. Nu zijn dit soort
strategieën niet per se fout, maar is er wel een aanvulling nodig in
de vorm van een robuustere, behavorial AI die is getraind om autonoom
te handelen.
André Noordam
Director of Sales Engineering EMEA - North, SentinelOne
Gedurende de afgelopen 20 jaar heeft André verschillende technische posities bekleed binnen vooraanstaande IT bedrijven zoals Fortinet, TrendMicro en Dimension Data in Noord-Europa. Zijn expertise varieert van endpoints tot aan netwerkoplossingen. Van Noordam heeft niet alleen kennis opgedaan door op veel en verschillende security-projecten mee te werken, maar ook door zijn adviserende rol bij klanten, gericht op ondersteuning en onderbouwing van de security-projecten.
Expertblogs op deze website worden op persoonlijke titel geschreven en verwoorden niet per se de visie en/of mening van De Ondernemer.