Thomas Eeles, CSIRT Manager bij Orange Cyberdefense UK houdt zich elke dag bezig met ransomware aanvallen. Dit is zijn advies.
Als we bij het CSIRT potentiële nieuwe klanten ontmoeten krijgen we een variatie op een van de volgende vragen:
Voor mij vormt vooral de laatste vraag een heikel punt. Voornamelijk omdat het een morele issue is. Ik besef mij dat ik vanuit mijn rol een andere morele kijk heb dan als ik zelf voor het dilemma zou staan van het betalen van losgeld of het verliezen van een bedrijf door gegevensverlies. Zoals in elke situatie waarbij de mogelijkheid bestaat dat mensen hun kostwinning verliezen, kunnen er twijfelachtige morele keuzes worden verwacht. Ik weet ook dat veel van de zaken die mijn team afhandelt, een direct gevolg zijn van ransomware-aanvallen. Het is moeilijk voor mij om over ransomware en aanvalsgroepen te praten zonder te erkennen dat we direct profiteren van het onderzoek, de inperking en het herstel ervan.
Ook wil ik voor dit blog het feit terzijde schuiven dat aanvallers gegevens stelen en geld eisen om deze niet publiekelijk vrij te geven.
Het standpunt van Orange Cyberdefense met betrekking tot het betalen van ransom is duidelijk: niemand zou ooit aan de eis moeten voldoen, aanvallers zullen de gegevens toch wel gebruiken, verkopen of vrijgeven.
De logica is simpel voor ons: we kunnen cybercriminelen niet vertrouwen en dat zou u ook niet moeten doen. Waarom zou u de woorden geloven van iemand die illegaal toegang heeft verkregen tot uw netwerk, uw gegevens heeft versleuteld en geld heeft geëist om deze te decrypten, om vervolgens deze gegevens te stelen terwijl hij dreigde deze openbaar te maken om uw bedrijf te schamen?
Ransomware is vooral een afpersingspraktijk en moet als zodanig worden behandeld.
Zoals bij elke illegale criminele activiteit, zijn de daders alleen maar gericht op het geld. Als je dat weghaalt neem je de prikkel weg. Helaas zijn de risico’s voor veel cybercriminelen klein, is er weinig kans dat ze gepakt worden en als dit virtueel wel gebeurt, hoeven ze zich geen zorgen te maken om vervolging.
Logischerwijs houdt dit in dat als het geld er is, ze de misdaad zullen plegen. Het oude cliché "misdaad loont niet" gaat niet op. Alleen al in de afgelopen 12 maanden heeft mijn team een forse toename gezien in de hoeveelheid geld waar aanvallers om vragen. Bedragen die voorheen misschien extreem leken, zijn nu de norm, met bedragen van meer dan £ 200.000, en soms in de miljoenen.
Er zijn veel redenen voor de stijging. In de eerste vier maanden van 2021 heeft het CSIRT van Orange Cyberdefense drie gevallen voorbij zien komen waar aanvallers dit (of iets soortgelijks) toevoegden aan het losgeldbriefje: "we hebben naar uw financiële administratie gekeken en weten dat u het geëiste bedrag kunt betalen", of aanvallers die beweerden "enorme hoeveelheid onderzoek te hebben gedaan" en zich op het bedrijf te richten omdat ze weten dat ze grote bedragen kunnen betalen.
In een extreem geval hadden de aanvallers, wat op het eerste oog, legitieme bankafschriften om aan te tonen dat het bedrijf “diepe zakken” had.
Aanvallers hebben een grote kans om geld te verdienen, en we weten zeker dat veel (zo niet alle) gespecialiseerde aanvalsgroepen die het CISRT team volgt, tientallen, zo niet honderden aanvallen tegelijk uitvoert. Ik ben niet de eerste die zegt "ransomware is big business". Maar het hoeft niet zo te zijn.
Een mythe die ik veel heb gehoord is dat "ransomwaregroepen net bedrijven zijn; ze willen goede beoordelingen, dus ze zullen je helpen als je betaalt". De theorie is erop gebaseerd dat als aanvalsgroepen geen gegevens zouden herstellen, er berichten over naar buiten zouden komen en niemand zou betalen.
Hier zit misschien een klein stukje waarheid in, maar van wat ik heb gezien, hebben de aanvallers een agressieve minachting voor slachtoffers en zien ze hen slechts als bijkomstige schade voor het behalen van hun “salaris” en bieden ze weinig of geen ondersteuning zodra ze zijn betaald.
Zelfs de meest geavanceerde ransomware- en decryptie tools kunnen de fout ingaan. Dit is vooral lastig bij het behandelen van grote bestanden zoals VHD's. Ze decoderen zelden in een bruikbare staat; een grove vuistregel is dat je alle bestanden verliest die groter zijn dan 5 GB, zelfs met de decoderingstools. Ik heb nog nooit (in tien jaar dat ik bij DFIR gewerkt heb) een klant gezien die ransom heeft betaald en erin is geslaagd om 100% van de gegevens terug te krijgen.
De hamvraag blijft: "hoe zorgen we ervoor dat we überhaupt niet in een ransom situatie belanden?"
Ten eerste een kleine oefening die ik graag doe met nieuwe klanten. Bedenk het bedrag dat u bereid zou zijn te betalen om uw bedrijf te redden, halveer dat en investeer dit om de basisprincipes uw IT-security zo goed mogelijk uit te voeren. Als elk bedrijf dit zou doen, zou de behoefte aan betalingen drastisch worden verminderd, omdat het makkelijk toegangbare aanvalsoppervlak voor kwaadwillende groepen tot bijna niets kromp.
Waarom de basis? Ik zou zeggen dat 80% van de aanvallers die we tegenkomen, net boven het niveau van "script kiddie" uitkomt.
Zelfs de meest georganiseerde ransomwaregroepen gebruiken kant-en-klare, maken misbruik van slechte gebruikers- en netwerkcontroles en blijven onopgemerkt vanwege slechte zichtbaarheid en/of detectie van het netwerk
Zaken als de CIST Benchmarks, advies van Microsoft en het NIST Framework zijn goede uitgangspunten. Laat eventuele wijzigingen vervolgens testen door een vertrouwd, onafhankelijk penetratietestteam, en zorg ervoor dat u alle aanbevelingen opvolgt en ze opnieuw laat testen.
Daarna: back-ups! Alleen een Veeam-server op hetzelfde platte netwerk laten draaien als elke andere server is gewoon niet goed genoeg. Het kan u misschien behoeden voor hardware falen, maar het is een belangrijk doelwit voor aanvallers, en hoewel veel bedrijven vertrouwen op de oude vertrouwde back-up oplossing, zijn ze niet berust op de tijd die nodig is om een heel netwerk te herstellen. Probeer dit tijdens uw volgende IT-vergadering: vraag uw team hoe lang het duurt om uw volledige netwerk te herstellen van uw huidige back-upoplossing. U zou veel antwoorden moeten krijgen, aangezien uw bedrijf herstelplannen moet hebben voor een reeks scenario's, bijvoorbeeld het per ongeluk verwijderen van bestanden, hardware falen, opnieuw opbouwen van het systeem, volledig netwerkherstel. De back-upbronnen moet u behandelen als uw kroonjuwelen, of als de ‘get out of jail’ kaarten. Ze moeten volledig worden gesegmenteerd van de hoofdnetwerken en vanaf dichtbij worden gecontroleerd. Elke poging om er toegang toe te krijgen, moet worden gewaarschuwd en volledig worden onderzocht.
Dit zijn slechts de startpunten voor bescherming tegen ransomware. Als u eenmaal tevreden bent met de basisprincipes, kunt u gaan kijken naar uw detection en response, beleid en procedure, en meer geavanceerde opsporing van bedreigingen en systeem versterking.
We hebben een paneldiscussie georganiseerd met onze interne experts over het aanpakken van ransomware en een uitgebreide gids gepubliceerd om de dreiging van cyberafpersing aan te pakken. Neem de tijd om u zich verder in het onderwerp te verdiepen en aarzel uiteraard niet om contact met ons op te nemen voor, tijdens of na een aanval voor advies en hulp.