Ransomware: kennisdelen en geen losgeld betalen

Cybersecurity

De REvil bende, bestaande uit hackers gelinkt aan Rusland, heeft flink huisgehouden. De groep wordt verantwoordelijk gehouden voor één van de tot nu toe omvangrijkste ransomware aanvallen. Deze vorm van cybercriminaliteit lijkt financieel gezien het meest interessant. Veel getroffen organisaties blijken bereid tot betalen omdat de hoogte van het bedrag niet in verhouding staat tot de schade, veroorzaakt door het stilleggen van de operationele activiteiten. Ook uit angst voor het oplopen van reputatieschade grijpen bedrijven sneller naar hun portemonnee.

Losgeld betalen draagt niet bij aan het voorkomen of mogelijkerwijs oplossen van het cybersecurity-probleem. Het delen van informatie over de professioneel opererende hackers en over het snel opnieuw opstarten van de gekraakte IT-voorzieningen maakt ons allemaal een stuk wijzer. Die gedachte ligt ten grondslag aan de diverse samenwerkingsverbanden rondom cybersecurity die in de afgelopen jaren zijn ontstaan.

De berichtgeving rondom de recente ransomware aanval bij het Amerikaanse Kaysea doet vermoeden dat er inmiddels misschien sprake is van een wildgroei aan verbanden van cybersecurity-specialisten, waardoor snelle en doelmatige kennisdeling in het geding dreigt te komen. Zo laat het Algemeen Dagblad ons kennismaken met het Dutch Institute for Vulnerability Disclosure (DIVD), een groep van vijftig deskundigen die vrijwillig het net afgrazen op zoek naar online zwakheden bij organisaties.

Uitbesteden maakt kwetsbaar

Het effect van de ransomware aanval van de REvil-bende was omvangrijk omdat de hack in eerste instanties was gericht op de systemen van het Amerikaanse softwarebedrijf Kaseya. Die levert een generieke, Software as a Service (SaaS) oplossing voor het beheren van IT-omgevingen. Wereldwijd gebruiken IT-dienstverleners deze beheertoepassing voor het uitvoeren van de managed service contracten die zij hebben met vooral MKB-bedrijven. Die hoeven daarvoor zelf geen IT-specialisten in dient te nemen. Ze maken zich daarmee wel kwetsbaar. Ze leunen zwaar op de expertise bij hun externe dienstverlener en ze zijn afhankelijk van de kwaliteit van een veel toegepaste, generieke applicatie.

Beveiligingsexperts duiden dit soort ’hacks’ aan als ’supply chain’ aanvallen. De cyber criminelen gijzelen in één klap de data van honderden bedrijven en maken die vervolgens slachtoffer van hun afpersingspraktijken. In Nederland zou technisch dienstverlener Hoppenbrouwer in Udenhout zijn getroffen en het in IT-beheer gespecialiseerde VelzArt uit Waardenburg.

De vraag is hoe we lering gaan trekken uit deze ransomware aanval. De eerdergenoemde DIVD zou in een vroegtijdig stadium het Nationaal Cyber Security Centrum hebben ingelicht. Volgens het hoofdredactionele commentaar in het AD beperkt de alarmerende en ingrijpende bevoegdheid van deze overheidsinstelling zich tot de onderdelen van de Rijksoverheid en tot organisaties van vitaal belang.

In principe zou daaronder ook een groot deel van de maakindustrie kunnen vallen of bijvoorbeeld de partijen in de hightech sector. Bij de start van het Cyber Weerbaarheid Centrum Brainport in 2019 vertelde de projectleider dat zij had aangeklopt bij het NCSC om kennis te delen. Daar liet men weten niet over voldoende financiële middelen te beschikken om het takengebied uit te breiden. Om die reden wendde de Brainport- organisatie zich tot TNO en het ministerie van Economische Zaken en Klimaat. Met het ’smart industry’ programma, uitgevoerd via belangenorganisaties als Metaalunie en FME, heeft het departement ook raakvlakken met het thema cyber security.

OMT tegen digitale virussen

Begin dit jaar zagen enkele wetenschappelijk georiënteerde cybersecurity samenwerkingsverbanden het levenslicht, namelijk het Samenwerkingsplatform Cybersecurity Kennis en Innovatie als opvolger van het platform dCypher (Nationale Cyber Security Educatie Agenda) en het Twente University Centre for Cybersecurity Research (TUCCR). Drie jaar geleden riepen Cisco, KPN en McAfee de Stichting Cyber Central in leven, een puur op kennisdeling gerichte club. De oprichtingsceremonie vond plaats in de voormalige machinehal op de RDM-campus in Rotterdam, een plek waar ook de IoT-Academy en het Industrial Internet Consortium bureauhouden. In mei dit jaar verscheen Dutch IT Cybersecurity Assembly ten tonele, een initiatief van het publiciteitsplatform Dutch IT Channel en Datto.

‘Er zou een Outbreak Management Team tegen digitale virussen moeten komen’

De diverse aankondigingen van samenwerkingsinitiatieven vallen niet te rijmen met het huidige gebrek aan gebundelde slagkracht op het terrein van cyber security. Daarvoor zal er een landelijke organisatie moeten komen die zonder winstoogmerk bedrijven en instellingen in alle sectoren voorziet van een preventieraamwerk; calamiteitenhandleiding; kennisdatabank en op de actualiteit afgestemde adviezen: een Outbreak Management Team (OMT) tegen digitale virussen. Misschien moet het eerstvolgend kabinet daarvoor een aparte bewindspersoon aanstellen, ondersteund door een krachtig ministerie waar alle informatie over cybercrime en preventie samenstroomt.

Meer Zerodaymalware

Securityspecialist WatchGuard Technologies waarschuwt in de jongste editie van het Internet Security Report voor een toename van Zerodaymalware die in maart dit jaar de mailservers gebaseerd op Microsoft Exchange teisterde. Het rapport brengt de dreigingen in kaart en geeft praktische aanwijzingen voor inrichten van de IT-beveiliging.

In eerste kwartaal van dit jaar valt vooral de opkomst van zogeheten fileless malware op. De variant XMJSLoader werd het meest gedetecteerd na inspectie van schijnbaar veilige HTTPS-adressen. Dit type malware interacteert niet met een potentieel slachtoffer en blijft dus verborgen. WatchGuard signaleert verder de introductie van ransomware, ondergebracht in een PDF-bijlage. De ransomware wordt geladen via een zipbestand, verzonden als e-mailbijlage of als download van een website. Voor het slachtoffer ziet het er heel betrouwbaar uit. Volgens de samenstellers van het rapport is het van belang om werknemers goed te trainen in het herkennen van de malafide aanpassingen zoals punten vervangen door komma’s en vervalste icoontjes.

Aanvallen op IoT-apparaten met behulp van onder meer de malwarevariant voor Linux blijven zorgen baren. WatchGuard trof deze onder meer aan op servers waarop WordPress actief was en waarbij de malware als EFL-bestand werd geladen. In het eerste kwartaal van dit jaar registreerde men meer dan 4 miljoen netwerkaanvallen. Ondanks het toegenomen thuiswerken, blijken de IT-voorzieningen binnen bedrijven nog altijd het grootste doelwit, waaronder de Exchange mailservers die niet zijn voorzien van de meeste recente ’patches’. WatchGuard komt tot de conclusie dat traditionele antimalware-oplossingen niet meer toereikend zijn. Een beveiligingsstrategie gebaseerd op diverse lagen biedt meer soelaas. Door proactief te reageren op bedreigingen met hulp van machine learning en gedragsanalyse kan een organisatie cybercriminelen buiten de deur houden.