De beweringen van ransomwaregroep Everest dat ze Atlas Air en diens leverancier Tsunami Tsolutions hebben gehackt, laten zien hoe moderne ransomwareaanvallen de complexiteit van de toeleveringsketen misbruiken om risico's te creëren, zelfs wanneer inbreuken niet bevestigd zijn.
Door Kate O'Flaherty
In februari pleegde de Everest-ransomwaregroep een aanval. beweerde te hebben afgetapt 1.2 TB aan data van vrachtluchtvaartmaatschappij Atlas Air. De beweringen van het ransomwarekartel, die op een darkwebforum werden geplaatst, werden ondersteund door screenshots van de vermeende gestolen informatie, waaronder technische gegevens van Boeing-vliegtuigen.
Enkele dagen later beweerden de hackers dat ze ook de Amerikaanse leverancier van technische ondersteuning en informatieoplossingen voor de lucht- en ruimtevaartsector, Tsunami Tsolutions, hadden gehackt. Ze verwezen daarbij naar een kleinere dataset in wat een gecoördineerde aanval op de toeleveringsketen leek te zijn.
Atlas Air ontkende de inbreuk en Tsunami Tsolutions reageerde niet op de beweringen van Everest, maar de incidenten laten zien hoe moderne ransomware-aanvallen misbruik maken van kwetsbaarheden. supply chain complexiteit en onduidelijkheid creëren om risico's te creëren — zelfs wanneer inbreuken niet bevestigd zijn.
Hoe kunnen organisaties hun weerbaarheid en verdedigbaarheid versterken in het licht van onzekere, snel veranderende dreigingsscenario's die buiten hun directe controle liggen?
Problemen met schermafbeeldingen
Everest beweerde bewijs te hebben van de inbraak bij Atlas Air, maar de documenten die het bedrijf overlegde, hadden gemakkelijk vervalst kunnen zijn. In plaats daarvan het vrijgeven van Naast volledige datamonsters publiceerde de groep screenshots van wat zij omschreef als onderhouds- en reparatiedocumenten, logistieke gegevens en onderdelencatalogi. Beweringen die uitsluitend op screenshots gebaseerd zijn, bevinden zich in een opzettelijk ambigu gebied, zegt Sergiu Zaharia, PhD, CISO bij Pentest-Tools.com. "Maar die ambiguïteit is juist de bedoeling", zegt hij. IO"Everest hoeft de inbreuk niet definitief te bewijzen om druk uit te oefenen. Het is voldoende om genoeg twijfel te zaaien, zodat het reputatierisico en het contractuele risico van nietsdoen zwaarder wegen dan de kosten van actie ondernemen. Dat is een beproefd afpersingsmiddel."
Onderzoekers constateerden afwijkingen in de schermafbeeldingen, waaronder een verwijzing naar Malaysia Airlines Dat leek geen directe relatie te hebben met Atlas Air. Toen Everest later de aanval op Tsunami Tsolutions opeiste, toonden de screenshots soortgelijke informatie.
Dit roept terechte vragen op over de vraag of de gegevens überhaupt afkomstig waren van de systemen van Atlas Air, of van een leverancier. De gegevens zouden zelfs afkomstig kunnen zijn van een gedeeld platform, of "een ongerelateerde bron die de groep in één claim heeft gebundeld voor maximale onderhandelingsmacht", suggereert Zaharia.
De kwestie van de geloofwaardigheid is daarom minder zwart-wit dan het lijkt, zegt Zaharia. "De screenshots bewijzen misschien geen inbreuk op de kernsystemen van Atlas Air. Maar ze bewijzen vrijwel zeker dat iemand, ergens in de toeleveringsketen, toegang had tot dit soort documenten op een manier die datalekken mogelijk maakte."
De beschuldigingen aan het adres van Atlas Air en de Everest-ransomwaregroep illustreren een terugkerend patroon in moderne cyberafpersing: cybercriminelen publiceren screenshots en gewaagde verklaringen, terwijl de doelwitorganisatie ontkent dat er inbreuken zijn gepleegd, aldus Tracey Hannan-Jones, directeur informatiebeveiligingsadvies bij UBDS Digital.
In sterk onderling verbonden sectoren zoals de lucht- en ruimtevaart en het luchtvrachtvervoer kunnen de gevolgen van deze "niet-bewezen" incidenten nog steeds aanzienlijk zijn, zegt ze.
Verifieerbare lekken leveren doorgaans sterkere signalen op. Denk hierbij aan bestandsstructuren, voorbeeldarchieven, hashes, tijdstempels, unieke interne identificatoren of onafhankelijke bevestiging van betrokken derden, aldus Hannan-Jones. Screenshots "bieden zelden voldoende bewijs om de herkomst te valideren" zonder de interne telemetrie van het slachtoffer, zegt ze.
Risico in de echte wereld
Hoewel er dus geen definitief bewijs is dat er een inbreuk heeft plaatsgevonden, brengen de beweringen wel degelijk reële risico's met zich mee.
Het ontkennen van een datalek elimineert het risico niet, het verandert alleen de aard ervan, zegt Dana Simberkoff, chief risk, privacy and information security officer bij AvePoint. "Zodra een geloofwaardige dader publiekelijk beweert een datalek te hebben gehad, worden organisaties geconfronteerd met operationele, wettelijke en reputatiegevolgen – ongeacht of de bewering gegrond is."
Ontkenning is niet hetzelfde als geruststelling, voegt Rob Demain, CEO van e2e-assure, eraan toe. "De verklaring van Atlas Air dat hun systemen niet gecompromitteerd zijn, heeft alleen betrekking op hun eigen omgeving", benadrukt hij. "Het bevestigt of ontkracht niet of gegevens die aan de organisatie zijn gekoppeld, elders in de toeleveringsketen aanwezig zijn."
Dit is het kernprobleem in de toeleveringsketen, zegt hij. "Een organisatie kan controle uitoefenen over haar eigen systemen, maar niet noodzakelijkerwijs over de systemen van leveranciers die haar gegevens opslaan, verwerken of raadplegen."
Complexiteit van de toeleveringsketen
De lucht- en ruimtevaartsector, met zijn onderling verbonden dataomgevingen bij operators, fabrikanten en technische partners, is een duidelijk voorbeeld van hoe risico's van derden zich door een ecosysteem kunnen verspreiden.
De lucht- en ruimtevaartsector is een van de meest leerzame sectoren voor dit probleem, omdat de complexiteit van de toeleveringsketen "structureel en onvermijdelijk" is, aldus Zaharia. "Een enkel vliegtuigprogramma omvat duizenden leveranciers in tientallen landen, verbonden via onderhoudsbeheersystemen, onderdelendatabases, logistieke platforms en technische documentatiearchieven die zijn ontworpen voor operationele efficiëntie, niet voor veiligheid. Veel van die verbindingen berusten op impliciet vertrouwen dat nooit expliciet is gevalideerd."
Het gevolg hiervan is een gebrek aan transparantie in de toeleveringsketen, aldus Stew Parkin, CTO bij Assured Data Protection. "Traditioneel risicomanagement met betrekking tot derden – vragenlijsten, jaarlijkse evaluaties, contractuele garanties – is simpelweg niet geschikt voor sterk onderling verbonden ecosystemen met meerdere afhankelijkheidslagen en gedeelde platforms."
Wanneer zoiets als het Atlas-incident gebeurt, stuiten organisaties op het probleem dat ze het tegendeel moeten bewijzen. "Je kunt niet zomaar aantonen dat er geen toegang tot de gegevens is geweest, vooral niet als de blootstelling mogelijk via een partner heeft plaatsgevonden", zegt Parkin. "Die kloof tussen wat intern bekend is en wat met zekerheid extern kan worden gecommuniceerd, is waar het risico het snelst toeneemt."
Veranderende regelgevingsverwachtingen
De kwestie speelt zich af tegen de achtergrond van toenemende regelgeving rondom de veiligheid, veerkracht en verantwoordingsplicht van de toeleveringsketen. Netwerk- en informatiesystemen 2 (NIS2), de Wet digitale operationele veerkracht (DORA en de opkomende golf van regelgeving voor kritieke infrastructuur in de hele EU zorgen ervoor dat de verantwoordelijkheid voor de veiligheid van de toeleveringsketen van de leverancier tot aan de exploitant toeneemt.
"Volgens NIS2 zijn essentiële en belangrijke entiteiten verantwoordelijk voor het beheren van cyberbeveiligingsrisico's in hun toeleveringsketens, niet alleen in hun eigen systeem", aldus Zaharia van Pentest-Tools.com. "Dat is een belangrijke verschuiving van raamwerken die beveiliging van de toeleveringsketen als een best practice beschouwden naar een raamwerk dat het ziet als een nalevingsverplichting met handhavingsconsequenties."
Naarmate de verantwoordelijkheid zich uitstrekt tot buiten de eigen organisatie, moeten bedrijven ook aantonen dat ze effectieve maatregelen hebben getroffen. "De verwachtingen verschuiven van 'laat me het beleid zien' naar 'laat me zien hoe risico's continu worden geïdentificeerd, gemonitord en beheerd'," aldus Simberkoff van AvePoint.
Dit zet organisaties onder druk om een werkend model en voorbeelden van governance, besluitvorming en responsmaatregelen te demonstreren, met name wanneer incidenten derden betreffen of wanneer er sprake is van onduidelijke inbreukscenario's.
Praktische stappen
De dreiging voor de toeleveringsketen is reëel, vooral wanneer beweringen niet bewezen zijn. Om dit probleem aan te pakken, adviseren experts organisaties om verder te kijken dan statische modellen voor leveranciersborging en over te stappen op continu, systeemgebaseerd toezicht dat inzicht biedt in gegevensstromen, afhankelijkheden en incidentrespons.
In de praktijk betekent dit volgens Simberkoff dat de focus moet liggen op zichtbaarheid en integratie in plaats van geïsoleerde controles. Ze adviseert om datastromen in kaart te brengen, te begrijpen waar gevoelige informatie zich bevindt en leveranciers te laten voldoen aan gedeelde verwachtingen op het gebied van beveiliging en respons.
In de Atlas Air-zaak is het volgens Zaharia "het uitgangspunt voor een zinvolle reactie op de Everest-claim" om te achterhalen welke externe partijen rechtmatig toegang hadden tot de onderhoudsdocumentatie van Boeing en via welke systemen.
Het is ook cruciaal om uw incidentresponsplan specifiek te valideren aan de hand van een scenario met een inbreuk op de toeleveringsketen, voegt Zaharia eraan toe. "De meeste organisaties hebben plannen voor inbreuken op hun eigen systemen. Veel minder organisaties hebben hun reactie getest op een scenario waarbij de inbreuk plaatsvindt bij een leverancier, de betreffende gegevens al dan niet van hen afkomstig zijn en het forensisch bewijs onvolledig is."
Geïntegreerde, op een raamwerk afgestemde beheersystemen, zoals die gebouwd zijn rond ISO 27001 Ook dat helpt. Volgens Simberkoff bieden ze een "gemeenschappelijke taal en structuur voor het beheren van risico's in complexe ecosystemen". "Normen zoals ISO 27001 gaan niet over naleving omwille van de naleving zelf. Ze stellen teams in staat om processen te operationaliseren en zorgen voor continue zichtbaarheid, zekerheid en verantwoording."
"Dit biedt een aantoonbaar proces om te kunnen zeggen wat je doet, en dat ook te bewijzen", zegt ze. "In omgevingen waar risico's in de toeleveringsketen onvermijdelijk zijn, helpen deze raamwerken organisaties om over te stappen van reactieve zekerheid naar proactief beheer, wat essentieel is bij het omgaan met onduidelijkheid, claims van derden en veranderende dreigingsmodellen."
Breid je kennis uit
Blog: Toeleveringsketens zijn complex, ondoorzichtig en onzeker: toezichthouders eisen betere
Podcast: Phishing voor problemen, aflevering #09: Wat je vooral niet moet doen in een rampzalige situatie
