Zijn we het gevecht tegen ransomware aan het winnen?
Ransomware werd in 2020 voor het eerst het belangrijkste wapen van cybercriminelen. Sindsdien is het een van de grootste dreigingen voor organisaties, publieke diensten en individuen, en staat het bovenaan de wereldwijde security-agenda. Organisaties hebben hun strategieën voor cyberbeveiliging, dataprotectie- en disaster recovery snel moeten aanpassen. Maar maken deze inspanningen echt het verschil? Ransomware en cyberveerkracht zijn al drie jaar een prioriteit voor de meeste beveiligingsteams, maar high-profile ransomware-slachtoffers blijven in het nieuws komen. Wat is er veranderd sinds 2020 en wat moet er nog gebeuren om ransomware voorgoed te stoppen?
Mixed signals
Het is niet zo eenvoudig om deze vraag te beantwoorden. Deze data suggereren dat het aantal ransomware-aanvallen wereldwijd in 2022 aanzienlijk is gedaald (na een verdubbeling in 2021). Daarnaast blijkt uit een analyse van blockchain-bedrijf Chainalysis dat de totale waarde van ransomware-betalingen in 2022 ook gedaald is. Dit zijn positieve signalen dat ransomware langzaam een halt wordt toegeroepen.
Uit zowel het Veeam Data Protection Trends Report als het Veeam Ransomware Trends Report - beide grootschalige onderzoeken onder organisaties in EMEA, Noord- en Zuid Amerika en APJ - blijkt echter iets anders. Uit het eerste rapport blijkt dat 85% van de organisaties met ten minste één cyberaanval te maken had in het afgelopen jaar (een toename van 9% ten opzichte van het jaar ervoor). Uit het ransomware rapport, dat exclusief is uitgevoerd bij organisaties die te maken hebben gehad met een ransomware-aanval, bleek zelfs dat maar liefst 80% van de organisaties losgeld had betaald om hun data terug te krijgen. Onderzoeken van andere leveranciers rapporteren vergelijkbare bevindingen. Wat veroorzaakt deze discrepantie tussen de wereldwijde cijfers en wat het merendeel van de organisaties zegt?
Hoewel gerichte onderzoeken een waardevol beeld kunnen opleveren van een bepaalde regio of sector, is dat lastig met totale mondiale cijfers. Natuurlijk speelt de enorme omvang een rol, maar als het gaat om ransomware, bestaat er ook terughoudendheid om toe te geven dat er sprake is (geweest) van een datalek. Sommige verzekeringspolissen verbieden organisaties zelfs om dit te doen. Daarnaast is het volgen van cryptobetalingen geen exacte wetenschap omdat veel adressen niet geïdentificeerd zijn op de blockchain. Deze gegevens worden dan bijvoorbeeld niet meegenomen in wereldwijde onderzoeken. In bepaalde regio’s, zoals EMEA, zien we steeds meer openheid omdat organisaties erkennen dat samenwerken en het delen van informatie de beveiligingssector vooruit helpt en uiteindelijk zorgt voor een grotere veerkracht.
Wat is er veranderd?
Dreigingen veranderen continu en worden steeds geavanceerder. Dit is een fundamenteel onderdeel van cyberbeveiliging. De inspanningen op het gebied van beveiliging en veerkracht worden ook steeds beter en zo blijft het kat-en-muisspel maar doorgaan. Bij ransomware in het bijzonder zien we dat het sentiment ten opzichte van het betalen van losgeld is veranderd. Twee jaar geleden werd een van de grootste losgeld-betalingen ooit gedaan, simpelweg om een potentieel risico te voorkomen. Sindsdien is er meer kennis over hoe onbetrouwbaar, onethisch en overhaast deze strategie is. Maar er zijn ook factoren die het moeilijker maken om ransomware-betalingen voorgoed af te schaffen.
De eerste is cyberverzekeringen. Deze sector is drastisch veranderd sinds de opkomst van ransomware en is nog altijd aan verandering onderhevig. Cyberverzekeringen bieden organisaties financiële veerkracht tegen dreigingen, maar het geeft ze tegelijkertijd middelen om een losgeld-eis te betalen. Het Veeam Ransomware Trends Report vond dat 77% van de respondenten die losgeld betaald hadden, dat deed met verzekeringsgeld. We kunnen dit stoppen als de premiums blijven stijgen en een groeiend aantal polissen ransomware uitsluit van hun dekking.
Misschien een nog grotere factor, en de reden dat organisaties het gevoel hebben dat zij geen andere keuze hebben dan het losgeld te betalen, is dat aanvallen zich in toenemende mate richten op back-up repositories. Recent onderzoek onthult dat cybercriminelen in drie van de vier gevallen de back-ups raakten. Als organisaties geen andere offsite kopieën hebben van deze data of niet in staat zijn deze snel genoeg te kunnen herstellen, kan het verleidelijk zijn om toe te geven aan de eisen van cybercriminelen. Hoewel het senior leiderschap natuurlijk het juiste wil doen vanuit een beveiligingsperspectief, is hun organisatie draaiende houden de hoogste prioriteit.
Wat kan er nog gedaan worden?
Wat moet er veranderen om de strijd tegen ransomware te winnen en ervoor te zorgen dat het voorgoed verdwijnt? Bewustwording en paraatheid zijn essentieel - vooral voor degenen buiten beveiligings- en back-up-teams. Denk onder meer aan het doorbreken van mythes over wat er gebeurt voorafgaand aan en na afloop van een ransomware-aanval. Versleuteling vindt bijvoorbeeld niet meteen plaats zodra een medewerker op een kwaadaardige link klikt. Er kunnen maanden of zelfs jaren zitten tussen de inbraak in een systeem, het vergrendelen van gegevens en het eisen van losgeld. Daarom vindt ook decodering niet direct plaats zodra er losgeld betaald is - ongeveer een kwart van de organisaties betaalt losgeld, maar is toch niet in staat om hun gegevens snel te ontsleutelen en te herstellen. Dit is zelfs onderdeel van het bedrijfsmodel van cybercriminelen, die bijvoorbeeld de optie geven om meer decoderingssleutels te kopen, bovenop het losgeld, om het proces te versnellen.
Het volledig begrijpen van ransomware is de eerste stap om er snel op te reageren. Een ransomware-herstelplan bestaat uit drie fasen:
- Voorbereiding: Plan herstel, zorg voor betrouwbare back-ups (volg tenminste de 3-2-1-regel), stel een locatie in voor noodherstel en organiseer trainingen om ervoor te zorgen dat de organisatie voorbereid is.
- Reactie: Volg een vooraf gedefinieerd en getest response-proces, lokaliseer en beperk een inbraak en scan back-ups om er zeker van te zijn dat deze niet zijn besmet.
- Herstel: Herstel de omgeving zonder de malware of cybergeïnfecteerde gegevens opnieuw in de productieomgeving te introduceren en krijg het bedrijf weer op gang.
Kortom: hoewel er enige onzekerheid bestaat over de status van de strijd tegen ransomware, is er geen twijfel dat ransomware-aanvallen voor de meeste organisaties onvermijdelijk blijven. Dit betekent echter niet dat er geen hoop is! Als organisaties zich voorbereiden en hun herstel goed ontwerpen, kunnen ze 100% veerkracht bereiken tegen ransomware. Dit betekent niet dat dergelijke aanvallen geen zakelijke impact zullen hebben, maar het betekent wel dat je snel kunt herstellen en ‘nee’ kunt zeggen tegen de eisen van ransomware-criminelen.
Door: Edwin Weijdema (foto), Field CTO EMEA en Lead Cybersecurity Technologist bij Veeam