We zijn tegenwoordig verwend. Dankzij hard- en software kunnen we in real time communiceren en samenwerken, waar we ook zijn. Er zijn eindeloos veel tools om onze vakantiedagen, projecten en laatste wijzigingen in een document in de gaten te houden.
Onze ouders en grootouders moeten er net zo over hebben gedacht. Zij zagen de introductie van PC’s met Visual OS in de jaren 80, de eerste computers in kantoorkelders en faxmachines in de jaren 70, fotokopieerapparaten in de jaren 50 tot de telefoons in de jaren 30. En daar werden de gebruikers van toen heel erg blij van.
Maar wat als u en al uw collega’s plotseling 100 jaar terug in de tijd worden gekatapulteerd en een bedrijf uit het derde millennium moeten runnen met technologie uit het begin van de 20e eeuw? Daar is geen DeLorean uit ‘Back tot he Future’ voor nodig. Sterker nog, het gebeurt voortdurend bij bedrijven wereldwijd.
De eerste ransomware
In 1989 werd soms een floppydisk gemaild naar een groot aantal ontvangers. ‘AIDS Information Introductory Diskette’ stond er op afgedrukt. De nieuwsgierigen die de diskette in hun computer staken, vonden weken later al hun gegevens versleuteld en een losgeldbriefje met het verzoek om 189 dollar over te maken naar een Panamese bankrekening. Alleen zo konden ze de toegang tot hun bestanden herstellen.
Een Amerikaanse evolutiebioloog met mentale problemen werd geïdentificeerd als de enige dader en tijdens een zakenreis aangehouden door Scotland Yard. Dr. Joseph Popp werd al snel naar huis gestuurd, omdat hij door zijn mentale toestand niet in staat was om terecht te staan. Maar hij is voor altijd de geschiedenisboeken ingegaan als de uitvinder van ransomware.
Miljardenbusiness
Het effect van de software van Dr. Popp kon vrij gemakkelijk ongedaan worden gemaakt zonder de ontcijferingssleutel. Maar zonder het te beseffen, was hij wel begonnen met wat vandaag een miljardenbusiness is. Na verloop van tijd werden de floppydisks in een envelop vervangen door USB-sticks met een verleidelijke beschrijving die op parkeerplaatsen werden achtergelaten. Daarna volgden QR-codes op vervalste visitekaartjes en nog later phishing e-mails, firewall-mazen en social engineering. Zodra toegang tot een IT-infrastructuur is verkregen, wordt er malware in het systeem geplaatst met als doel het stelen en versleutelen van gegevens. Zo wordt de business van bedrijven en instellingen verstoord totdat er losgeld wordt betaald, tegenwoordig vaak in de vorm van cryptocurrency.
Professionele hackersgroepen waren in 2021 verantwoordelijk voor meer dan 600 miljoen ransomware-aanvallen, meer dan een verdubbeling ten opzichte van 2020. Het gemiddelde losgeld lag boven de 500.000 dollar en de hoogste eis was 70 miljoen dollar. Software en bijhorende managed services worden tegenwoordig zelfs op abonnementsbasis aangeboden op het darknet. Dat wordt ook wel ‘Ransomware as a Service’ genoemd.
Goed georganiseerd
De mensen achter deze aanvallen zijn goed georganiseerd, zoals blijkt uit onlangs gelekte chats van een van de beruchtste groepen, Conti. Deze groepen hebben een hiërarchische structuur met verschillende afdelingen, waaronder HR, vaste salarissen, aanwervingsprocedures en jaarlijks verlof. Feitelijk is dit een blauwdruk van de structuren van de bedrijven die ze willen chanteren, en soms vernietigen.
Naast de monetair georiënteerde groepen zijn militaire hackers als onderdeel van cyberoorlogsvoering al lang geleden begonnen met het aanvallen van bedrijven, en daarmee van economieën. De gevolgen voor de organisaties die slachtoffer worden van dergelijke aanvallen, kunnen groot zijn. Ze worden van de ene op de andere dag terug gekatapulteerd naar het begin van de vorige eeuw. Meestal gebeurt dit van zaterdag op zondag, wanneer de reactietijden langer zijn.
“Binnen een paar seconden was alles versleuteld en daardoor onbruikbaar gemaakt: geen systeem meer, geen gegevens, geen telefoon, geen e-mail, geen contacten, nauwelijks nog een manier om te communiceren – intern en extern”, beschreef een getroffen bedrijf de nasleep van een aanval in een persbericht in 2021. Deze toestand duurt vaak vele weken of maanden, totdat losgeld wordt betaald, en de aanval is afgeslagen. Soms ook pas als een volledig nieuwe infrastructuur is opgezet om weer van voren af aan te beginnen.
Extra verdedigingslinie
Dus hoe kunnen bedrijven zich beschermen tegen ransomware-aanvallen? Naast de gebruikelijke beschermingslagen zoals endpointbeveiliging, firewalls, back-ups en personeelstrainingen, is bewezen dat een extra verdedigingslinie rond de gegevensopslag het hackers bijzonder moeilijk maakt.
Data-access-auditing met ransomware patroonherkenning, geautomatiseerde gebruikersblokkering en functionaliteit voor gegevensherstel stopt binnen enkele seconden cyberaanvallen op uw gegevens. Het helpt ook bij het analyseren van inbreuken op de beveiliging en stelt u in staat alleen die bestanden van back-ups en snapshots te herstellen, die tijdens een aanval daadwerkelijk zijn gewijzigd.
We zijn verwend, omdat online communicatie zoveel mogelijk maakt. Maar het is een gepasseerd station om er zorgeloos gebruik van te maken. Extra maatregelen zijn gewoon nodig om ransomware-aanvallen het hoofd te bieden. Wie die maatregelen neemt, merkt als het goed is geen verschil voor de dagelijkse werkzaamheden. Ook wat dat betreft, zijn we dus best wel verwend.
Mark Slagmolen is sinds 2 jaar Regional Manager BeNeLux, Nordics & France en is bereikbaar via mark.slagmolen@prolion.com.
(Dit artikel verscheen eerder in ITchannelPro Magazine nr 2)
