Sterke toename in ransomware-aanvallen

Wat is ransomware?

“Ransomware (ook wel gijzelsoftware genoemd, red.) is malafide software die criminelen in systemen plaatsen om een gebruiker of getroffen organisatie te chanteren. Dit soort malware kan een complete IT-infrastructuur vergrendelen om vervolgens losgeld te vragen voor de ontgrendeling. Dit kan gigantische gevolgen hebben voor organisaties, zoals we bijvoorbeeld hebben kunnen zien bij Maersk in 2017 en Norsk Hydro in Noorwegen begin dit jaar, vertelt Dave. Door toedoen van Lockergoga ransomware kwam de productie van de aluminium-gigant volledig stil te liggen.”

Waarom is er sprake van een toename?

“Ransomware is zeker niet nieuw, dat zien we al jaren. Maar voorheen trof het vooral burgers, een thuis-pc die gecompromitteerd wordt waardoor je niet meer bij je foto’s en documenten kan. Nu zien we ook een sterke toename bij multinationals en andere grote organisaties wereldwijd. Een verschuiving van de consumenten-pc naar bedrijven. Ook zien we een professionalisering van de criminelen achter deze aanvallen. Sinds april van dit jaar worden er echt grote klappen gemaakt.

In de afgelopen maanden zien we dat wereldwijd grote industrieën worden geraakt. In veel gevallen met een enorme impact. Bedrijven die langdurig geen productie kunnen draaien en daardoor miljoenen verliezen en hun hele computernetwerk soms opnieuw op moeten bouwen. Maar ook overheidsorganisaties, zoals politiebureaus en gemeenten in met name de Verenigde Staten en Canada. Voor het NCSC is dit een belangrijke trigger om er beter naar te gaan kijken: wat is dit nu voor fenomeen? Hoe gaan die criminelen te werk? Hoe breken ze in? En wat is hun motief? Dit met als doel om te kijken hoe een besmetting van de vitale infrastructuur in Nederland kan worden voorkomen.

We zoeken uit of organisaties in Nederland geraakt of kwetsbaar zijn, en dan specifiek de doelgroep van het NCSC (Rijksoverheidsorganisaties en vitale aanbieders). En hoe organisaties zich hiertegen kunnen bewapenen. Om die vragen voor te zijn, doet het NCSC technisch en tactisch onderzoek.”

Hoe gaan kwaadwillende actoren te werk?

“Die gaan steeds geavanceerder te werk. Het is natuurlijk moeilijker om een groot bedrijf te compromitteren dan een thuisgebruiker, maar het levert ook meer geld op. In de meeste gevallen schieten ze met een schot hagel en bekijken dan wat ze geraakt hebben. Bij welke bedrijven is het gelukt? En wat is de omzet van het bedrijf? Ze gaan dan vervolgens zeer geraffineerd te werk. En nemen ook de tijd om volledige controle over het netwerk te krijgen.

Een verandering ten opzichte van vroeger: het is een enorme underground economy. Iemand maakt de malware, de volgende breekt in op het netwerk om een dergelijk gecompromitteerd netwerk weer te koop aan te bieden op het zogenoemde dark web of underground fora. Andere criminele kopers gaan vervolgens met deze gecompromitteerde infrastructuren aan de haal, in dit geval om hun ransomware te installeren en slachtoffers af te persen. Weer iemand anders zorgt dat het geld in de handen van de criminelen komt. Dat zijn volledig professioneel opgetuigde criminele netwerken. Er worden zelfs helpdesks door criminelen ingericht om slachtoffers te helpen bij het betalen en het ontsleutelen van de systemen. Dit fenomeen noemen we Cybercrime-as-a-service*.”

Kwamen jullie tijdens het onderzoek slachtoffers in Nederland tegen?

“Ook in Nederland zijn er organisaties getroffen door ransomware aanvallen. Indien er zich een slachtoffer in Nederland voordoet, dan informeren wij die organisatie zo goed als mogelijk. Hetzij direct, als het bijvoorbeeld een organisatie betreft binnen de doelgroep van het NCSC, of via onze partners. Binnen onze doelgroep kunnen we vanuit onze wettelijke taak bijstand verlenen, bijvoorbeeld door het doen van incident response. Gelukkig zijn we er als NCSC enkele keren op tijd bij geweest en konden we een organisatie waarschuwen vlak voordat er ransomware werd geïnstalleerd op de systemen. Dit is waar we het voor doen en geeft veel voldoening.

In Europa is dat anders, een aantal gevallen zijn ook in de media gekomen. Zo zagen we een bericht van een grote infectie. Het NCSC neemt dan meteen contact op met de buitenlandse collega en vraagt om indicatoren en andere informatie. Zo kunnen we controleren of de aanval binnen Nederland ook waargenomen wordt. Dat is de start van zo’n ransomware onderzoek. In de afgelopen maanden zagen we steeds meer incidenten en daardoor komt de informatiestroom tussen buitenlandse CERTs ook verder op gang. Binnen Europa maken we dan een werkverdeling, zodat je niet allemaal hetzelfde aan het doen bent. En in Nederland werken we veel samen met veiligheidspartners, waar we binnen de wettelijke juridische kaders operationele informatie mee uit wisselen.”

Hoe kun je voorkomen dat je organisatie gecompromitteerd wordt?

“Veel van de getroffen organisaties, zoals in de Verenigde Staten, hadden hun basisveiligheid niet op orde. De organisaties waar kwaadwillenden binnenkwamen hadden vaak geen sterke authenticatiemiddelen zoals twee-factor authenticatie en gebruikten zwakke wachtwoorden, geen domeinsegmentatie en hadden hun patchmanagement niet op orde. Drie hele basale basismaatregelen die een heleboel ellende kunnen voorkomen. En in alle eerlijkheid… als kwaadwillenden écht binnen willen komen, dan lukt het ze in veel gevallen wel. Alhoewel, bepaalde basismaatregelen kunnen het de criminelen wel een stuk lastiger maken. En als je dan toch geraakt wordt, dan helpt het enorm als je goede backups hebt van je systemen.”

Het is dus dweilen met de kraan open…

“Als organisatie kun je veel voorkomen, maar je moet ook zorgen dat je je detectiemiddelen en incident respons proces goed op orde hebt voor als het dan toch mis gaat. Zo kun je meteen handelen als het nodig is. Dit zijn maatregelen waar het NCSC continu op wijst en in kan ondersteunen.”

Wat moet je doen als je geraakt bent?

“Dat het maanden duurt voordat je erachter komt dat kwaadwillenden in je netwerk zitten, wil je te allen tijde voorkomen. Dat kan door actief te detecteren. Maar met alleen detecteren ben je er nog niet, je moet er ook naar handelen. Wat we nog te veel zien is dat organisaties hun detectiemiddelen wel hebben draaien, alles loggen en monitoren, maar niet actief acteren als bijvoorbeeld een onbekende user wordt aangemaakt.

En áls het dan fout gaat, is het belangrijk om meteen incident respons in te zetten. Ook kunnen doelgroep organisaties altijd contact opnemen met het NCSC en organisaties buiten de doelgroep kunnen vrijwillig een melding doen waarna het NCSC bijstand kan verlenen. Wij ondersteunen organisaties bijvoorbeeld met technisch onderzoek, zoals malwareanalyse. En we kunnen helpen om aangifte te doen. Kortom, deze partijen in contact brengen met de juiste mensen en middelen.”