Ransomware is een term die niet langer gereserveerd is voor IT specialisten. In het nieuws zijn er legio voorbeelden te vinden van ransomware aanvallen: van (online) winkels tot media bedrijven, auto fabrikanten, IT leveranciers en zelfs hele overheden (meest recent de overheid van Costa Rica in april 2022).
Maar wat is eigenlijk een ransomware aanval en hoe komt deze tot stand? En nog belangrijker: wat kun je als organisatie doen om je hier zo goed mogelijk tegen te wapenen? En wat als een aanval succesvol is geweest, hoe ga je daar dan mee om? En als laatste, hoe test je of je als organisatie voldoende gewapend bent?
Wat is een ransomware aanval en hoe komt deze tot stand?
We beginnen met een klein beetje historie. Het is voor velen onbekend dat de eerste ransomware aanval plaatsvond in het jaar 1989 [1]: de zogenaamde AIDS Trojan (ook wel het PC Cyborg virus genoemd). In 1989 was het internet voor consumenten en bedrijven nog grotendeels niet bestaand. Er stonden nog geen privé foto’s en/of hele administraties van organisaties in de cloud. Hoe kon er dan toch een ransomware aanval plaatsvinden? Dr Joseph Popp, een evolutiebioloog creëerde 20.000 floppy disks die hij uitdeelde aan deelnemers van de World Health Organization (WHO) AIDS conferentie. Wanneer deze floppy disks ingelezen werden door een computer werd er een programma actief dat het aantal keren dat de computer was herstart telde. Als de computer 90 keer herstart was werden alle directories en bestanden verborgen. Een bedrag van 189 dollar werd gevraagd om de bestanden weer te herstellen.
Tijdens de jaren 1990 werd email en het extern verbinding maken met systemen nog niet wijdverspreid gebruikt. Pas eind van de jaren 90 werd er met de introductie van breedband internet steeds meer en meer gebruikt gemaakt van het internet. Tegelijkertijd kwamen ook de virussen, malware en ransomware hierdoor in opmars [2].
Het National Cyber Security Centrum (NCSC) geeft de volgende definitie van ransomware: “Een ransomware aanval is een digitale aanval die systemen of bestanden onbruikbaar maakt door ze te versleutelen waardoor data gegijzeld is. Deze gijzeling gaat gepaard met afpersing, waarbij ontsleuteling wordt aangeboden tegen betaling, meestal in crypto-valuta” [3].
Een ransomware aanval bestaat uit 3 fasen (zie figuur 1):
1: Initiële toegang: in deze fase probeert de aanvaller toegang te krijgen tot de IT systemen van de organisatie. Meerdere methoden kunnen hiervoor gebruikt worden: het ontfutselen van wachtwoord gegevens via phishing, het raden van wachtwoorden (door middel van bijvoorbeeld wachtwoord hacking tools), het misbruiken van software kwetsbaarheden en via malware verstuurd per e-mail.
2: Consolidatie en voorbereiding: vervolgens probeert de aanvaller toegang te krijgen tot de rest van het netwerk door malafide tools te installeren en via deze tools hogere privileges (bijvoorbeeld administrator toegang) te verkrijgen.
3: Impact op het slachtoffer: vanaf de derde fase heeft het slachtoffer pas door dat er een aanval plaatsvindt. De aanvaller gaat nu data downloaden, backups verwijderen en de systemen (en alle bijbehorende data) versleutelen.
Nu weten we hoe ransomware aanvallen historisch zijn ontstaan, wat de definitie is en hoe een aanvaller een organisatie binnen kan komen. De volgende vraag resteert dan: hoe kan ik mijn organisatie hiertegen wapenen?
Laat ik beginnen door voorop te stellen dat een ransomware aanval nooit volledig uitgesloten en/of voorkomen kan worden. Hiervoor zijn de aanvallers te geavanceerd geworden. Een gemiddelde hacker is namelijk niet per definitie ook degene die de aanval op uw organisatie uitvoert. Wanneer een hacker een organisatie heeft gecompromitteerd door een van de initiële toegangsmethodes zoals hierboven vermeld, “verkoopt” de hacker de organisatie meestal op het dark web [5] aan criminele organisaties. Deze criminele organisaties nemen de toegang vervolgens over en voeren de ransomware aanval verder uit. Tegenwoordig is er zelfs een speciaal Ransomware-as-aService (RaaS) verdienmodel. Met dit model bieden criminele ontwikkelaars van malware/ransomware hun diensten/software tegen betaling aan andere cybercriminelen aan die er vervolgens een aanval mee uitvoeren.
Hoe kunnen organisaties zich zo goed mogelijk wapenen tegen ransomware?
Maar hoe zorg je er als organisatie voor dat je zo min mogelijk kans maakt om “geransomed” te worden? Goed om hierbij te weten is dat aanvallers altijd beginnen om organisaties aan te vallen die het minst beveiligd zijn. Belangrijk is daarom om voor de “kudde” uit te lopen en beter beveiligd te zijn dan het merendeel van de organisaties.
Om je als organisatie zo goed mogelijk te wapenen wordt door NIST [6] onderscheid gemaakt in de volgende 5 belangrijkste tips:
- Leid werknemers op om ransomware infecties te voorkomen
- Open geen bestanden of klik niet op links van onbekende bronnen;
- Voorkom het gebruik van persoonlijke websites en apps;
- Laat privé devices geen connectie maken met het bedrijfsnetwerk zonder voorafgaande autorisatie.
- Voorkom kwetsbaarheden in systemen waar door ransomware misbruik van gemaakt kan worden
- Zorg dat systemen volledige gepatched zijn;
- gebruik het zero trust [7] principe voor alle systemen binnen het netwerk;
- Sta alleen installatie van goedgekeurde apps toe;
- Bespreek security vereisten op het gebied van ransomware met leveranciers.
- Detecteer en stop ransomware aanvallen en infecties zo snel mogelijk:
- Maak continu gebruik van malware detectie software zoals antivirus software;
- Maak gebruik van 24/7 netwerk monitoring;
- Blokkeer onbetrouwbare bronnen via het web.
- Maak het moeilijker voor een ransomware aanval om zich te verspreiden:
- Gebruik standaard gebruikersaccounts met multi-factor authenticatie;
- Gebruik authenticatie vertraging of automatische account lockout;
- Beheer het toewijzen en periodiek reviewen van gebruikers en wachtwoorden;
- Maak gebruik van “immutable storage” [8] voor backups;
- Laat alleen externe toegang tot het kantoornetwerk toe via VPN.
- Maak het makkelijker om opgeslagen informatie te herstellen in geval van een ransomware aanval:
- Maak een incident herstel plan;
- Zorg voor beveiligde data backup en test het restoren van data;
- Houd een overzicht bij van key contactpersonen die benaderd kunnen/moeten worden in geval van een ransomware aanval.
Een andere optie die veel organisaties overwegen is een cyberverzekering. Met deze verzekering ben je als organisatie verzekerd tegen aansprakelijkheid voor schade die een cyberincident of systeeminbraak toebrengt aan derden. Tevens wordt bedrijfsschade, digitale afpersing, cyberdiefstal, telefoonhacking, herstel van programmatuur en data en crisismanagementkosten (deels) vergoed. Wat in eerste oogopslag echter niet op de websites van verzekeraars wordt vermeld is dat er een zeer uitgebreide vragenlijst ingevuld dient te worden. Tevens dienen er per systeem binnen de organisatie zeer uitgebreide lijsten te worden opgeleverd van accounts met uitgebreide privileges. Indien de vragenlijst niet in het gevraagde detail of met de juiste antwoorden wordt ingevuld dan wordt de verzekering afgewezen.
Hoe ga je ermee om als een aanval succesvol is geweest?
Uiteraard hoop je als organisatie dat het nooit zal gebeuren maar zoals eerder vermeld is er altijd een kans aanwezig dat het ondanks alle maatregelen toch gebeurt. Het Nationaal Cyber Security Centrum heeft met dit doel een Incidentresponsplan Ransomware opgesteld [9]. In dit plan wordt er onderscheid gemaakt in 6 stappen (zie figuur 2):
- Preparation: deze stap bevat het inrichten van maatregelen om je als organisatie te wapenen tegen ransomware (zie eerder in dit artikel).
- Identification: vervolgens is het belangrijk om tijdig te identificeren dat een ransomware aanval heeft plaatsgevonden. Hierbij is het belangrijk om “Patient Zero” te identificeren zodat geanalyseerd kan worden hoe de aanvaller is binnengekomen.
- Containment: zodra bekend is dat er een aanval heeft plaatsgevonden is het belangrijk om gecompromitteerde systemen direct los te koppelen van het netwerk, accounts te blokkeren en wachtwoorden te resetten.
- Eradication: pas als de scope van de hele aanval bekend is kan er met deze stap worden begonnen. In deze stap worden namelijk alle geïnfecteerde bestanden verwijderd en schone images geïnstalleerd op de getroffen systemen.
- Recovery: als het zeker is dat alle malware/ransomware uit de systemen is verwijderd kan er overgegaan worden tot recovery. De overweging kan worden gemaakt om bij een grote aanval een nieuwe parallelle omgeving op te bouwen en stap voor stap systemen en gegevens over te zetten (na grondige controle).
- Lessons learned: de laatste stap is om de lessons learned in een rapportage op te nemen zodat de organisatie van de aanval kan leren voor de toekomst.
Hoe test je of je als organisatie voldoende gewapend bent?
Penetratie test
Een veel gebruikte methode om te weten of je als organisatie voldoende beveiligd bent is om een penetratie (Pen) test uit te laten voeren door een beveiligingsorganisatie. Hierbij worden uw systemen en netwerk onderworpen aan een serie technische tests door (ethische) legale hackers met als doel om kwetsbaarheden te identificeren. In de pentest rapportage worden vervolgens aanbevelingen opgenomen om deze kwetsbaarheden op te lossen.
Ransomware resilience audit
Naast deze technische methode is er ook een andere manier om te evalueren of u als organisatie voldoende beveiligd bent: het uit (laten) voeren van een Ransomware Resilience audit.
Bij een Ransomware Resilience audit wordt er door een IT auditor gekeken of de interne beheersmaatregelen in uw organisatie van voldoende niveau zijn om een ransomware aanval te voorkomen, tegen te kunnen houden en/of hiervan te kunnen herstellen.
Binnen ARC People maken wij voor onze klanten als normenkader gebruik van de Cyber Security Evaluation Tool [11] (CSET) van de Cybersecurity and Infrastructure Security Agency (CISA). De normen in dit normenkader zijn afgeleid van de meest gangbare cyber security standaarden en publicaties, waaronder: National Institute of Standards and Technology (NIST), Center for Information Security (CIS), National Cybersecurity Center of Excellence (NCCoE) en Cyber Security Evaluation Program (CSEP).
Dit normenkader maakt onderscheid in 48 normen verdeeld over de volgende 10 categorieën: Robust Data Backup (DB), Web Browser Management and DNS Filtering (BM), Phishing Prevention and Awareness (PP), Network Perimeter Monitoring (NM)
Asset Management (AM), Patch and Update Management (PM), User and Access Management (UM), Application Integrity and, Allowlist (AI), Incident Response (IR) en Risk Management (RM).
Als uitkomst stellen wij een rapportage op die per maatregel onderscheid maakt in 3 maturity niveaus: Basic, Intermediate en Advanced (inclusief praktische tips om indien gewenst aan een hoger maturity niveau te voldoen).
Conclusie
Een ransomware aanval kun je niet geheel voorkomen, maar het is de kunst om beter beveiligd te zijn dan anderen. In de loop der jaren is er gelukkig duidelijke kennis opgebouwd over ransomware aanvallen: wat het is en hoe het ontstaat. Ook zijn er steeds duidelijkere guidelines over hoe je je als organisatie ertegen kunt wapenen en – zodra het je toch overkomt – ervan te herstellen. Als ARC People geloven wij dat het uitvoeren van een periodieke Ransomware Resilience audit (naast de jaarlijkse pen-test) u als organisatie een goed overzicht geeft van de mate waarop u de juiste beheersmaatregelen heeft ingericht om een ransomware aanval te voorkomen, tegen te kunnen houden en/of hiervan te kunnen herstellen. Onze experts helpen u graag om deze audit uit te voeren als bijvoorbeeld onderdeel van uw jaarplan interne audit of als losse audit.
Meer weten? Neem dan met op met Anita van der Leeuw voor de mogelijkheden!
Anita van der Leeuw is Senior Manager IT Audit & Risk bij ARC People.
[1] Kelly, Samantha Murphy (May 16, 2021). “The bizarre story of the inventor of ransomware”. CNN Business. Warner Bros. Discovery. Archived from the original on May 16, 2021
[2] The First Ransomware Attack: Lessons Learned from History
[3] Incidentresponsplan ransomware, National Cyber Security Centrum, mei 2022.
[4] https://www.cert.govt.nz/it-specialists/guides/how-ransomware-happens-and-how-to-stop-it/
[5] Het dark web is een onderdeel van het wereldwijde web dat niet rechstreeks vindbaar is voor zoekmachines (zogenaamde niet geïndexeerde websites oftwel deep web). Het dark web is onderdeel van het deep web maar is alleen toegangkelijk met speciale software die de gebruiker anonimiteit verschaft, zoals Tor, I2P of Freent (bron: www.wikipedia.org).
[6] Barker et al. (2022). Ransomware Risk Management: a Cybersecurity Framework Profile. National INstitue of Standards and Technology (NIST). https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8374.pdf
[7] Gebruik waar mogelijk network segmentatie en beheer toegang tot alle netwerkfuncties.
[8] Immutable storage is een manier van backups opslaan die niet gewijzigd of aangepast kunnen worden. Dit is één van de belangrijkste waarborgen voor de organistie in het geval van een ransomware aanval.
[9] Incidentresponsplan ransomware, National Cyber Security Centrum, mei 2022.
[10] Incidentresponsplan ransomware (pagina 4), National Cyber Security Centrum, mei 2022.