Sophos HQ
News 15 januari 2021

Interview Sophos: 'MKB – het volgende doelwit van Ransomware-as-a-Service'

Source: Sophos

Ransomware als digitale dreiging is de afgelopen jaren steeds geavanceerder geworden, en de vraag naar (en hoogte van) losgeld is eveneens dramatisch toegenomen. Een eerder uitgelichte ransomware-factsheet van het NCSC geeft een overzicht van de verschillende varianten, beschrijft enkele maatregelen die je als organisatie kan nemen om een aanval te voorkomen, en geeft advies.

Daarnaast heeft ook Ransomware-as-a-Service (RaaS) een enorme vlucht genomen, weet John Veldhuis, Senior Sales Engineer bij Sophos Benelux, beveiligingsbedrijf in soft- en hardware. "Ransomware is dankzij het RaaS-model een soort van gemeengoed geworden. ‘Kartels’ van cybercriminelen bieden hackoplossingen aan die ook te gebruiken zijn door minder geavanceerde cyberaanvallers. Deze groep cybercriminelen heeft de neiging om hun aanvallen te richten op het MKB, maar ook op kleinere bedrijven. Ergo: alle bedrijven, ongeacht de bedrijfsgrootte, zijn potentiële doelwitten."  Als gevolg van corona en het feit dat (veel) meer mensen vanuit huis zijn gaan werken voeren cybercriminelen nu steeds frequentere en geavanceerdere aanvallen uit op grote bedrijven waar eisen tot het betalen van losgeld van enkele honderdduizenden euro’s geen uitzondering meer zijn.

Ransomware als bedrijfsmodel

Vanwege de pandemie, de opkomst van de cloud en de acceleratie van de digitale transformatie maken zowel software (Saas) en producten (PaaS) een enorme groei door. "Dat stelt gebruikers in staat om ‘kant-en-klare’ oplossingen aan te schaffen die van begin tot eind door leveranciers worden ontwikkeld of zelfs beheerd."

"Volgens hetzelfde model stellen groepen cybercriminelen hun tools en technieken beschikbaar aan hen die niet over de middelen of voldoende technische kennis beschikken. Middelen om systemen te penetreren via spam-e-mails worden soms geleverd met een toolkit, een gedetailleerde gebruikershandleiding (hetzij in schrift, hetzij op video). Een makkelijker manier om je eerste stappen te zetten binnen de lucratieve wereld van cybercrime kan ik mij bijna niet voorstellen. Ook worden er methoden aangeboden voor het verzenden van sleutels voor het decoderen van gecodeerde gegevens, en manieren om losgeld daadwerkelijk in handen te krijgen."

De relatief laagdrempelige beschikbaarheid van ransomware via een RaaS-model gaat hand in hand met de verontrustende opkomst van georganiseerde bendes, die net als in de 'klassieke' onderwereld verregaande samenwerkingen aangaan om cybercrime als een serieuze onderneming uit te rollen. In de voorbije jaren zijn er deels vanwege die ontwikkeling zoveel nieuwe vormen van malware en ransomware bijgekomen, waaronder dus ook het concept 'ransomware-as-a-service', waarbij er aanwijzingen zijn dat de malware werd verspreid via online verkoop van partnerprogramma’s.

     LEES OOK: NCSC factsheet risicobeheersing

Cybercriminelen blijven het digitale aanvalsoppervlak afspeuren naar nieuwe aanvalsmogelijkheden, zoals internetinfrastructuren en protocollen voor netwerkcommunicatie. De trend van ransomware-as-a-service gaat ook samen met een zeer uitgebreid aanvalsplan. Een aanval met ransomware is doorgaans geen ramkraak, maar een nauwgezet proces waarin de daders diverse stappen zetten om aan jouw data hun geld te verdienen. Ze weten (1) toegang te verkrijgen, bijvoorbeeld via phishing (een medewerker klinkt op een ongelukkig linkje), waarna ze zich (2) ongezien door het netwerk bewegen om rustig te bekijken wat er te behalen is, of dan pas (3) over te gaan tot het stelen, gijzelen of onbruikbaar maken van bedrijfskritische data. 

Slechts een kleine investering

"Deze RaaS-oplossingen, beschikbaar via criminele fora op het Darknet en internet, geven cybercriminelen in de dop dus de mogelijkheid om op een andere schaal te opereren dan doorgewinterde hackergroepen zonder de noodzaak van diepgaande technische kennis. En de kosten? In mijn optiek vallen deze met enkele tientallen tot duizenden euro’s in het niet als je je realiseert dat dit slechts een fractie is van het opgehaalde losgeld."

Het nieuwe ecosysteem van cyberaanvallers profiteert van de toename van mogelijke datalekken en potentiële toegangspunten binnen bedrijfssystemen en -netwerken. "Daar wil ik aan toevoegen dat het gebrek aan opleiding voor thuiswerkers en adequate cyberbeveiligingsoplossingen om dergelijke inbreuken te bestrijden hierin meespeelt. Terwijl grote bedrijven worstelen om hun beveiligingsarchitecturen te optimaliseren en bekwame securityprofessionals aan te trekken, beschikken MKB en kleinere bedrijven vaak niet over voldoende personele en financiële middelen om een ​​beschermingssysteem op te zetten dat is opgewassen tegen deze groeiende dreiging."

Een cybercrimineel in spé kan eenvoudig een licentie krijgen om ​gebruiksklare RaaS los te laten op een groot aantal gerichte of willekeurige systemen en netwerken. Dit kan hij doen door middel van 'eenvoudige' phishing-campagnes die e-mails met een kwaadaardige lading gebruiken, en tevens hoeft het losgeld dat wordt betaald voor gegevensherstel of decodering niet exorbitant hoog te zijn. Het is de vermenigvuldiging van de vele potentiële (MKB-)slachtoffers die de winstgevendheid garandeert.

Vergroten bewustzijn

Zoals we vaker zien – en zelf ook verkondigen – is awareness een sleutel voor het vergroten van de digitale weerbaarheid. Veldhuis: "Feit blijft dat deze bedragen aanzienlijk zijn voor kleine bedrijven. Het verlies van door diefstal verkregen data kan voor MKB’ers veel ernstiger gevolgen hebben dan voor een grote multinational die over voldoende middelen beschikt om een ​​veilige back-up van zijn gegevens te maken, een geavanceerde architectuur heeft opgebouwd of specialisten inschakelt in de strijd tegen bedreigingen. Geconfronteerd met de proliferatie van bedreigingen en potentiële aanvallers is het essentieel dat zowel het MKB als kleinere bedrijven beseffen dat ook zij het doelwit kunnen zijn van ransomware." | LEES OOK: 'Organisaties nooit meer dezelfde nadat ze getroffen zijn door ransomware'