Hoe kan uw organisatie veilig blijven als ransomware 's nachts toeslaat?

Door Phil Muncaster • 3 oktober 2024

Ransomware is het cybersecurityverhaal van het afgelopen decennium. Maar in die tijd zijn de tactieken, technieken en procedures (TTP's) van tegenstanders blijven veranderen, afhankelijk van de voortdurend veranderende wapenwedloop tussen aanvallers en netwerkverdedigers. Met historisch lage aantallen slachtofferbedrijven die ervoor kiezen hun afpersers te betalen, richten ransomware-filialen zich op snelheid, timing en camouflage.

De vraag is: nu de meeste aanvallen in het weekend en in de vroege ochtenduren plaatsvinden, hebben netwerkverdedigers dan nog steeds de juiste tools en processen om de dreiging te beperken? Financiële dienstverleners in het bijzonder zullen dringend een antwoord op dergelijke vragen nodig hebben voordat ze voldoen aan de EU-richtlijnen. Wet op digitale operationele veerkracht (DORA).

Van kracht tot kracht

Volgens één maatstaf blijft ransomware floreren. Dit jaar zal naar verwachting het meest winstgevende jaar ooit zijn, volgens een analyse van cryptobetalingen naar adressen die gelinkt zijn aan criminaliteit. Volgens een rapport van augustus van blockchain-onderzoeker Chainalysis, ransomware "inflows" year-to-date (YTD) staan op $460m, een stijging van ongeveer 2% ten opzichte van dezelfde periode vorig jaar ($449m). Het bedrijf beweert dat deze stijging grotendeels te danken is aan "big-game hunting" - de tactiek om minder grote zakelijke slachtoffers te achtervolgen die mogelijk beter in staat en bereid zijn om grotere losgelden te betalen. De theorie wordt bevestigd door een betaling van $75m door een niet bij naam genoemd bedrijf, aan de Dark Angels ransomware groep eerder dit jaar - de grootste ooit geregistreerd.

Over het geheel genomen is de mediane losgeldbetaling aan de meest voorkomende ransomware-stammen ook gestegen: van iets minder dan $ 200,000 begin 2023 tot $ 1.5 miljoen medio juni 2024. Chainalysis beweert dat dit suggereert "dat deze stammen prioriteit geven aan het targeten van grotere bedrijven en kritieke infrastructuurproviders die mogelijk eerder hoge losgelden betalen vanwege hun diepe zakken en systemische belang."

De schijnbare kracht van het ransomware-ecosysteem is indrukwekkender gezien de overwinningen van de rechtshandhaving eerder dit jaar, die twee grote groepen leken te verstoren: LockBit en ALPHV/BlackCat. Chainalysis beweert dat deze inspanningen de cybercrime-ondergrond enigszins hebben gefragmenteerd, waarbij affiliates overstappen op "minder effectieve varianten" of hun eigen varianten lanceren. Dit komt overeen met een analyse van ransomware-specialist Coveware uit het tweede kwartaal van 2, welke beweringen een toename te hebben waargenomen in het aantal "lone wolf"-groepen die niet zijn gelieerd aan een groot ransomware-"merk". Velen hebben deze beslissing genomen "vanwege de toenemende dreiging van blootstelling, onderbreking en winstverlies die gepaard gaan met 'giftige' ransomware-merken", aldus het rapport.

Maar de kern van de zaak is dat deze dreigingsactoren nog steeds actief zijn. En met betalingspercentages die dalen van een hoogtepunt van ongeveer 85% van de slachtoffers in 2019 tot ongeveer een derde daarvan vandaag de dag, zijn ze altijd op zoek naar manieren om hun inspanningen effectiever te maken.

Tijd is alles

Een nieuw rapport van Malwarebytes' ThreatDown-groep onthult precies hoe ze dat hopen te doen. Het beweert dat het afgelopen jaar meer ransomware-groepen slachtoffers in het weekend en in de vroege ochtenduren hebben aangevallen. Het threat-team behandelde de meeste aanvallen tussen 1 en 5 uur lokale tijd.

De reden hiervoor is duidelijk: de cybercriminelen hopen een organisatie te pakken te krijgen wanneer het IT-team slaapt of in het weekend de batterijen oplaadt.

Verder beweert het rapport dat aanvallen sneller worden. In 2022, een Splunk-studie testte 10 top-ransomwarevarianten en ontdekte dat de mediaansnelheid voor het versleutelen van 100,000 bestanden slechts 43 minuten was, met LockBit als snelste van allemaal met slechts vier minuten. Maar wat Malwarebytes ziet, is een versnelling van de hele aanvalsketen – van initiële toegang tot laterale verplaatsing, data-exfiltratie en uiteindelijk encryptie. Dat geeft wazige netwerkverdedigers nog minder tijd om te reageren en een bedreiging in te dammen voordat het te laat is.

Het rapport beweert ook dat kwaadwillende actoren Living Off the Land (LOTL)-technieken gebruiken, die legitieme tools en processen gebruiken om verborgen te blijven in netwerken terwijl ze deze doelen bereiken. "Recente klantincidenten van topbendes zoals LockBit, Akira en Medusa onthullen dat het grootste deel van de moderne ransomware-aanvalsketen nu bestaat uit LOTL-technieken", aldus het rapport.

Hoe u het risico op ransomware in 2024 kunt beperken

Aanvallen op groot wild halen misschien wel de meeste krantenkoppen, maar de waarheid is dat de meeste ransomware-slachtoffers technisch gezien MKB's zijn. Coveware beweert dat de mediaan in Q2 2024 slechts 200 werknemers bedroeg. Dus hoe kunnen deze organisaties zich 's nachts en in het weekend verdedigen tegen sluipende aanvallen?

"De enige oplossing is om ervoor te zorgen dat deze activa om 1 uur 's nachts met dezelfde zorgvuldigheid worden bewaakt als om 1 uur 's middags", vertelt Mark Stockley, senior threat intelligence-onderzoeker bij Malwarebytes, aan ISMS.online.

“Dat kan worden bereikt door een in-house Security Operations Centre (SOC) in te zetten dat 24/7 operationeel is. Maar voor de meeste organisaties is het praktischer en kosteneffectiever om een service van derden te gebruiken, zoals Managed Detection and Response (MDR), of om een Managed Service Provider (MSP) het te laten doen.”

Nu het DORA-tijdperk nadert, zullen dergelijke maatregelen steeds noodzakelijker worden voor financiële dienstverleners en hun leveranciers. Continue monitoring, 24/7 paraatheid voor incidentrespons, robuuste planning van bedrijfscontinuïteit en regelmatige tests zullen allemaal vereist zijn om toezichthouders ervan te overtuigen dat de veerkracht op een passend niveau is.

Stockley is van mening dat best practice-normen en -kaders zoals ISO 27001 organisaties kunnen helpen dit punt te bereiken.

"Zoals elke standaard of elk raamwerk is ISO 27001 een middel om een doel te bereiken. Organisaties kunnen het niveau van informatiebeveiliging bereiken dat ze nodig hebben zonder het, maar standaarden en raamwerken kunnen dienen als nuttige kaarten om ze te helpen daar te komen en daar te blijven", voegt hij toe. "De juiste keuze van het raamwerk hangt af van het beveiligingsniveau van de organisatie. Uiteindelijk maakt het cybercriminelen niet uit welke certificeringen je hebt; het kan ze alleen schelen of ze worden gestopt."

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster