Deskundigen roepen op tot veerkracht tegen ransomware nu de crisis escaleert

Door Danny Bradbury • 22 oktober 2024

Het zijn drukke maanden geweest voor ransomware. Eind augustus waarschuwden meerdere Amerikaanse cybersecurityorganisaties voor een kwaadaardige ransomware-as-a-service-groep genaamd RansomHub. Deze criminele organisatie, voorheen bekend als Cyclops en Knight, is sinds februari dit jaar actief en heeft partners van andere groepen zoals LockBit verzameld.

Volgens een rapport van RansomHub heeft RansomHub gegevens van minstens 210 slachtoffers versleuteld en gestolen. advies van de Amerikaanse Federal Bureau of Investigation, de Cybersecurity and Infrastructure Security Agency, het Multi-State Information Sharing and Analysis Center en het Department of Health and Human Services. Ze omvatten veel sectoren die de Amerikaanse overheid beschouwt als onderdeel van haar kritieke nationale infrastructuur, waaronder water en afvalwater, IT, publieke sectordiensten, gezondheidszorg, hulpdiensten, voedsel en landbouw en financiële diensten.

Een evoluerende bedreiging

RansomHub is in ontwikkeling. Het is onlangs geïntegreerde een tool genaamd EDRKillShifter die endpoint detection software uitschakelt, waardoor het systemen succesvoller kan infecteren. Ransomware-affiliates die de tool gebruiken, verspreiden zich vervolgens lateraal door het doelnetwerk, infecteren systemen en exfiltreren en versleutelen malware in een dubbele afpersingsaanval.

Nu bedreigingen als deze de kritieke nationale infrastructuur blijven teisteren, is het geen wonder dat de Amerikaanse overheid meer lawaai maakt dan ooit over de ransomware-dreiging. Deze maand waarschuwde National Cyber Director Harry Coker voor de toenemende dreiging van ransomware-aanvallen. Het Witte Huis organiseerde ook de vierde International Counter Ransomware Initiative-top, waaraan 68 landen (waaronder 18 nieuwe) deelnamen om te proberen ransomware uit te roeien.

De laatste top heeft een anti-ransomwarefonds opgericht om lidorganisaties te helpen hun capaciteiten tegen ransomware te versterken, samen met richtlijnen voor slachtoffers over hoe om te gaan met een ransomware-aanval. Anne Neuberger, de plaatsvervangend nationaal veiligheidsadviseur voor cyber en opkomende technologie, waarschuwde verzekeraars opnieuw tegen het financieren van losgeldbetalingen.

Laura Payne, CEO van het Canadese cybersecurity consultancybureau White Tuque, zegt dat het vermijden van betalingen een solide beleid is. "Je weet niet naar wie dat geld gaat, en hoogstwaarschijnlijk gaat het naar iets dat verband houdt met terroristische activiteiten. Dat brengt je vanuit juridisch oogpunt in een gevaarlijke positie", zegt ze.

Neuberger hield zich in om beleid zoals een regelrecht verbod op het financieren van losgeldbetalingen aan te bevelen. Dat is echter mogelijk onnodig, aangezien verzekeraars te maken krijgen met een toenemende financiële druk door ransomwareclaims. A verslag door cyberverzekeraar Coalition ontdekte dat hoewel het aantal claims in de eerste helft van dit jaar daalde vergeleken met 1H 2023, de verliezen over het geheel genomen met 14% stegen. Het zei dat het gemiddelde ransomwareverlies met 68% steeg tot $ 353,000.

"Een paar jaar geleden hoorde ik een verzekeraar in Canada erover praten. Hij zei dat het enige wat minder winstgevend was als verzekeringsbedrijf hagelschade was, wat aangeeft hoe slecht de situatie is", aldus Payne.

Voorkomen is beter dan genezen

Natuurlijk is voorkomen beter dan genezen. Hoe kunnen organisaties zichzelf beschermen tegen ransomware-aanvallen? Het RansomHub-advies beveelt verschillende stappen aan, te beginnen met een herstelplan en multifactorauthenticatie. Het voegt eraan toe dat het ook van cruciaal belang is om alle software en firmware up-to-date te houden, wat zal helpen ransomware te blokkeren die afhankelijk is van bekende kwetsbaarheden.

Omdat ransomware-indringers zich lateraal binnen een organisatie verspreiden, adviseert het advies ook om netwerken te segmenteren om te voorkomen dat aanvallers eenvoudig toegang krijgen tot andere delen van de infrastructuur.

Het advies beveelt ook wachtwoorden aan tussen de acht en 64 tekens, wat overeenkomt met de aanbevelingen van NIST. “Lang is sterk,” beaamt Payne. Ze heeft ook nog een aantal andere cyberhygiëneadviezen.

"Zorg voor een goede basisbeveiliging en een anti-malwareservice van hoge kwaliteit", voegt ze toe. Zorg ervoor dat uw netwerken zijn ingesteld met de huidige draadloze standaard, wat WPA2 of WPA3 met een wachtwoord zou zijn. Gebruik geen openbare wifi en maak een back-up van uw spullen."

De adviserende auteurs raden aan dat die back-ups gecodeerd en onveranderlijk zijn, zodat aanvallers er niet mee kunnen knoeien. Het onderhouden van offline back-ups is hier een goede strategie, maar verschillende opslagsystemen op de markt maken back-upgegevens onveranderlijk op het niveau van het besturingssysteem. Organisaties kunnen ook write-once-read-many (WORM) hardware gebruiken voor dergelijke back-ups voor bescherming op hardwareniveau.

Het advies beveelt andere beschermingen aan, waaronder het zorgvuldig beheren van interne machtigingen. Het uitschakelen van veel command-line scripting tools kan bijvoorbeeld helpen voorkomen dat aanvallers 'van het land leven' door ze lateraal te laten bewegen en gegevens te stelen zonder dat er alarm wordt geslagen.

Het document beveelt ook aan om accounts te controleren om toegang met de minste rechten en tijdsbeperkende toegang voor beheerdersaccounts te garanderen om het aanvalsvenster te sluiten. Het waarschuwt beheerders ook om ongebruikte poorten uit te schakelen en netwerkbewakingstools te gebruiken om ongebruikelijke activiteiten te spotten en te volgen.

De organisaties achter het advies raden ook aan om e-mail – een veelgebruikt afleversysteem voor ransomware – te beschermen door banners te plaatsen op e-mails die van buiten de organisatie komen en hyperlinks in alle ontvangen e-mails uit te schakelen.

Deze aanbevelingen weerspiegelen elementaire cybersecurityhygiëne en circuleren, net als de ransomwarediscussie zelf, al jaren. "Ik vind het niet erg om ze te herhalen", zegt Payne. Ze moet dat doen, net als overheidsinstanties, omdat zoveel bedrijven niet luisteren. Zolang ze dat niet doen, zal de crisis voortduren.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury