Ransomware-aanvallen zijn een nog steeds groeiende bedreiging voor organisaties van alle soorten en maten. Cybercriminelen proberen iedereen een stap voor te zijn en proberen continu nieuwe technieken uit. Bierbrouwerij Duvel en glasfabrikant Sprimoglass werden het slachtoffer van een ransomware aanval. De hackers encrypteerden de IT-systemen van het bedrijf en eisten een aanzienlijk losgeld. De aanval op beide bedrijven was een voorbeeld van ‘dubbele afpersing’. Bij dubbele afpersing stelen hackers eerst gegevens van een bedrijf voordat ze het versleutelen. Vervolgens dreigen ze de gestolen gegevens vrij te geven als het bedrijf geen losgeld betaalt. Dit zet het bedrijf onder extra druk om te betalen, omdat het zich zorgen maakt over de schade die de vrijgave van de gegevens kan veroorzaken aan zijn reputatie.
In sommige gevallen gaan hackers nog een stap verder en plegen ze ‘driedubbele afpersing’. Bij driedubbele afpersing dreigen hackers niet alleen de gestolen gegevens vrij te geven, maar ook het bedrijf aan te vallen op andere manieren, zoals door een DDoS-aanval uit te voeren. Steeds meer hackers gebruiken deze technieken steeds vaker.
Ransomware-aanvallen kunnen een verwoestende impact hebben op elk soort organisatie: van éénmanszaken over KMO’s tot multinationals, vzw’s, onderwijsinstellingen en noem maar op. Ze kunnen leiden tot aanzienlijke downtime, een datalek en reputatieschade. In sommige gevallen kunnen ze zelfs leiden tot het faillissement van het bedrijf of het simpelweg ophouden te bestaan van een organisatie.
Omdat cybersecurity en cybercriminaliteit verwikkeld zijn in een strijd waarbij elke kant nieuwe manieren zoekt om de ander te slim af te zijn, hebben ransomwaregroepen en individuele hackers moeten evolueren omdat organisaties zich voornemen om losgeldvorderingen te weigeren en vooral data-back-ups te gebruiken om de bedrijfsvoering te herstellen. Back-ups zijn inderdaad effectief en kunnen worden gebruikt om de operaties te herstarten. Bijvoorbeeld in 71% van de Arctic Wolf Incident Response-tussenkomsten voor ransomware in 2023 kon de getroffen organisatie back-ups op enigerlei wijze gebruiken om hun omgeving te herstellen.
De hackers weten dat inmiddels ook. Tijdens het versleutelingsproces, terwijl ze nog toegang hebben tot de systemen, beginnen hackers informatie over de organisatie te ontvreemden. Pure gegevensdiefstal. Vervolgens dreigen ze die gegevens vrij te geven – of simpelweg te publiceren – op het dark web. Het vrijgeven van gestolen gegevens heeft meerdere “voordelen” voor de hackers naar de organisaties toe die het slachtoffer zijn – denk aan reputatieschade, boetes voor het niet beschermen van privé data enz. Dubbele afpersing is een standaardonderdeel aan het worden van het ransomware-aanvalsproces.
Het houdt niet op. Onlangs hebben zelfs twee ransomwaregroepen – GhostSec en Stormous – de krachten gebundeld om een nieuw ransomware-as-a-service (RaaS) model te lanceren dat gegevensdiefstal omvat, waarbij gezamenlijke aanvallen worden uitgevoerd over sectoren en landen heen. Bovendien hebben andere ransomwaregroepen besloten om hun eigen lekwebsites te lanceren. Bijvoorbeeld, LockBit, dat berucht is om dubbele afpersing, had zijn lekwebsite in februari van internet verwijderd, maar slaagde erin om binnen een week een nieuwe te lanceren.
Maar alleen omdat de hackers almaar nieuwe manieren bedenken voor hun criminele acties, betekent dit niet dat organisaties moeten afwachten om als volgende op de lijst van een groep te staan.
Er zijn tal van manieren waarop organisaties hun beveiligingspositie kunnen versterken en concrete stappen kunnen nemen om terug te vechten tegen ransomware-dreigingen. 4 gouden tips: voer regelmatige back-ups uit,
implementeer 24/7 monitoring van uw omgeving, gebruik identity and access management (IAM) en implementeer een vulnerability management programma. En niet maar 1 van de gouden tips kiezen. Neen, alle 4 samen. Zo blijven we de hackers hopelijk voorlopig even voor.
