De term 'ransomware' valt in menig nieuwsbulletin, maar wat is het eigenlijk? Kun je je er als bedrijf tegen weren? En zo ja, hoe? Christo Butcher, Executive Consultant bij cyberbeveiligingsbedrijf Fox-IT, heeft dagelijks met cybercriminaliteit te maken, en weet als geen ander van de hoed en de rand.
Explosieve groei cybercriminaliteit
Cybercriminaliteit is booming business. Volgens Butcher zijn er een diverse redenen, waardoor het aantal cyberaanvallen explosief stijgt. "Een groeiend aantal bedrijven is steeds afhankelijker van IT, iets wat ze kwetsbaarder dan ooit maakt. Voor criminelen een uitgelezen kans om - als ze de boel weten plat te leggen - goed geld te verdienen. We zien dat de cyberscene de afgelopen vijf tot tien jaar zo'n florerende industrie is geworden, dat het als een magneet andere cybercriminelen aantrekt. Een decennium geleden was er een relatief beperkt aantal groepen die cyberaanvallen uitvoerden, inmiddels is het een grote community geworden waar voortdurend nieuwe dreigingsactoren bij komen."
Butcher van Fox-IT stelt dat vooral in Rusland er veel interesse in cybercriminaliteit is, doordat het gemiddelde inkomen niet hoog is én cybercriminaliteit wordt gedoogd. "Heb je de technische skills in huis, dan kun je software schrijven en die verkopen, als systeembeheerder of consultant aan de slag, maar je kunt ook veel sneller geld verdienen door cybercrimineel te worden."
Wat houdt ransomware in?
Er zijn uiteenlopende manieren hoe cybercriminelen het leven van bedrijven én burgers zuur maken. Eén ervan is ransomware. "Een ransomware-aanval is het versleutelen van bestanden, waardoor de IT komt plat te liggen. Om de bestanden weer te kunnen gebruiken, moet er een bedrag - vaak in Bitcoin - worden betaald."
De laatste twee à drie jaar ziet de expert dat deze vorm van cybercriminaliteit zich verder innoveert. "Criminelen zijn op zoek naar meer middelen om hun slachtoffers onder druk te zetten. Stel ze versleutelen een computer, maar er is een back-up, dan zet je die terug en kun je weer aan de slag. In zo'n scenario kunnen cybercriminelen fluiten naar hun bedrag. Om die reden worden naast versleuteling ook steeds vaker gegevens gestolen, zodat ze een sterker pressiemiddel in handen hebben om het slachtoffer af te persen. Want betaal je de cybercriminelen niet, dan lekken ze toch gewoon alle gevoelige (bedrijfs)gegevens?"
Hoe er op zo'n grote schaal ransomware-aanvallen kunnen worden gepleegd, heeft volgens de cybersecurityexpert te maken met specialisatie. "Over het algemeen zijn het clubs van criminelen die heel goed georganiseerd en technisch zeer kundig zijn. Er zijn criminelen die de hele dag niets anders doen, dan digitaal bij bedrijven een voet tussen de deur proberen te krijgen. Is dit gelukt, dan houdt het voor die hacker op en wordt het stokje doorgegeven aan een team van specialisten die het bedrijf verder verkent en een club die de daadwerkelijke ransomware-aanval uitvoert." Volgens Butcher mogen we dan ook van het veelvoorkomende beeld af dat hackers vanaf hun zolderkamer maar wat aanrommelen. "Het zijn geen hobbyisten die het er maar bij doen, het is een community van samenwerkende experts wiens expertise met de dag verbeterd. Wil je je daar digitaal tegen beschermen, dan moet je cybersecurity serieus nemen."
Ransomware-aanval in drie fases
Voordat we ingaan op tips hoe cybercriminelen buiten de deur te houden, wil Butcher eerst meegeven dat een ransomware-aanval niet slechts binnenkomen en schade aanrichten is. Het is een proces dat grofweg in drie fases kan worden opgedeeld; (1) binnenkomen, (2) IT-systemen overnemen en (3) schade aanrichten.
"Een veelgebruikte manier om binnen te komen, is misbruik maken van kwetsbaarheden in bedrijfssystemen die aan het internet hangen. Zodra zo’n kwetsbaarheid bekend wordt, gaan criminelen ermee aan de slag; ze vogelen uit hoe het te misbruiken en scannen het hele internet af op mogelijke slachtoffers. Ze hebben hier een voordeel te pakken, omdat het hun core business is. Een gemiddeld bedrijf heeft meer tijd nodig om zo’n 'foutje in de software' in orde te maken, waardoor de virtuele achterdeur zo een paar dagen of weken op een kier staat." Volgens de cybersecurity expert is het voor bedrijven daarom belangrijk om vooraf hierover na te denken, zodat de organisatie voorbereid is als er een nieuwe kwetsbaarheid bekend wordt.
Mochten criminelen zichzelf binnen weten te hacken, dan is het meestal niet direct einde oefening. Vanaf dat moment bewegen criminelen zich door de IT-systemen op zoek naar data om te stelen en systemen om plat te leggen. "Vaak zitten er een paar uur, dagen of zelfs weken tussen het moment van binnenkomen en het daadwerkelijk schade aanrichten", aldus Butcher. "In deze periode struint de crimineel als het ware digitaal door het gebouw heen om te zien welke waardevolle zaken er voor het oprapen liggen. Hebben ze genoeg tijd, dan kunnen cybercriminelen - in fase 3 - data versleutelen en wegsluizen. Helaas merken veel bedrijven pas dan dat ze slachtoffer zijn geworden."
Tips hoe tegen een ransomware-aanval te weren
Wetende dat er vorig jaar vele duizenden ransomware-aanvallen zijn geweest, kunnen we stellen dat het voor criminelen lopende bandwerk is geworden. En daarbij groeit het risico om slachtoffer te worden met de dag, omdat cybercriminelen voortdurend zoeken naar nieuwe manier om slachtoffers te maken. Kun je je hier als bedrijf tegen wapenen? "Jazeker! Met basis IT-hygiëne kun je veel aanvallen buiten de deur houden. En als ze toch binnenkomen, zijn ze meestal te detecteren voordat ze schade aanrichten", stelt de cyberspecialist.
- Met welke basis 'hygiëneregels' kom je als bedrijf al een heel eind? "Tweestapsverificatie, back-ups, veiligheid van systemen en software up-to-date houden, zijn de meest basic stappen. Verder zijn het vergroten van awareness rondom cybercriminaliteit onder medewerkers, het zorgen dat gebruikers niet meer toegang hebben dan wat ze nodig hebben én een goed reactieproces hebben, belangrijke zaken om op te pakken."
- "Maak het de aanvaller moeilijk. Richt de IT-omgeving zo in dat niet alles open is. Vergelijk het met een kantoortuin waar alles open is en een inbreker makkelijk kan pakken wat hij wil. In plaats daarvan is een kantoor met deuren en ladekastjes die op slot staan veel moeilijker; elke ruimte en elke lade moet apart worden opengebroken. Dit kost zoveel meer tijd en zorgt voor meer lawaai, waardoor criminelen minder ver komen en eerder te detecteren zijn." Volgens Butcher kunnen bedrijven precies zo hun IT-systemen inrichten. "Doe je dit, dan maak je het de criminelen in de tweede fase - het daadwerkelijk binnen de bedrijfssystemen rondlopen - heel moeilijk. Daar valt veel te winnen."
- Een derde tip om ransomware-aanvallen te weren, is door detectie in te richten. “Aanvallers gedragen zich vaak net anders dan normale gebruikers; ze snuffelen meer rond, ze gebruiken andere software, ze loggen in vanaf andere locaties of zijn op andere tijden actief. Door die afwijkingen zijn ze te detecteren en tegen te houden, voordat ze schade aanrichten." Volgens de cybersecurity expert liggen hier kansen, omdat veel bedrijven hier nog onvoldoende mee bezig zijn.
- “Bereid je voor op een incident. We doen brandoefeningen, zodat iedereen weet wat te doen als het brandalarm afgaat. Heb je dit een paar keer zonder brand geoefend, dan zal het proces veel soepeler verlopen als er daadwerkelijk wat aan de hand is. Ditzelfde geldt voor elk type cyberaanval”, aldus de cyberexpert. “Door vooraf voor zo’n incident te oefenen en na te denken wat allemaal stuk gemaakt of gestolen kan worden, kun je veel sneller en daadkrachtiger ingrijpen als er echt iets gebeurt."
Cybersecurity, kennis is macht
Vaak wordt gedacht dat cybersecurity, het digitaal weerbaar maken van de organisatie, heel moeilijk is. Butcher begrijpt dat die gedachte er is, maar er zijn voldoende handvatten als je ermee aan de slag wilt. "Zo beschrijft het NCSC (Nationaal Cyber Security Centrum) maatregelen om de basis IT-hygiëne in orde te maken. Als je je daarin verdiept, wordt snel duidelijk wat voor jouw organisatie toepasbaar is en wat nodig is om het gewenste beveiligingsniveau te halen. Doe je dat niet dan is het wachten, totdat je aan de beurt bent. Omdat criminelen thuis zijn in het vakgebied en de meeste bedrijven (nog) niet, hebben we met een oneerlijk speelveld te maken."
De cybersecurity expert kijkt uit naar een toekomst waarin zijn vakgebied een heel normaal gespreksonderwerp is geworden, waarin er meer kennisdeling is en minder onduidelijkheid over hoe cybercriminelen zichzelf naar binnen weten te hacken. "Weet je als bedrijf hoe criminelen te werk gaan, dan kun je ze veel beter buiten de deur houden, en mochten ze toch binnenkomen, dan kun je ze veel beter detecteren. Eigenlijk is het hetzelfde als bij woninginbraken. Als je weet hoe criminelen inbreken, dan kun je je huis daartegen beschermen en slaan inbrekers jou over. Kennis zorgt ervoor dat we ons effectiever tegen cybercriminaliteit kunnen wapenen."
Help, digitale brand!
Is jouw organisatie ondanks voorzorgsmaatregelen tóch door een ransomware- of andere cyberaanval getroffen? Bij Fox-IT, expert op het gebied van cyberbeveiliging, weten ze hoe ze zo'n 'brand' kunnen voorkomen en blussen. "Wij hebben vaker met dit bijltje gehakt en schieten graag te hulp!"
Meer cybernieuws?
RTL Z zendt zes weken lang in samenwerking met Fox-IT het nieuwsprogramma 'Cyberupdate' uit. Laat je wekelijks door presentator Remy Gieling in slechts 2 minuten over de belangrijkste cyberrisico's bijpraten.
Cyberupdate is elke vrijdag om 15:30 uur op RTL Z te zien.
