Wat kunnen bedrijven doen tegen sectorgerichte cyberaanvallen?

Toeval bestaat niet in cyber­se­cu­rity. In de meeste gevallen waarbij meerdere bedrijven die actief zijn in dezelfde sector worden aange­vallen en gecom­pro­mit­teerd, is dat vaak te wijten aan een van twee zaken. Ofwel gaat het om een geor­ga­ni­seerde aanvals­groep die gespe­ci­a­li­seerd is in het aanvallen van een speci­fieke sector, of er is een gemeen­schap­pe­lijke kwets­baar­heid in een systeem dat door de meeste bedrijven in die sector wordt gebruikt.

Een recent voorbeeld van een situatie waarbij meerdere bedrijven binnen één sector in korte tijd last hadden van cybe­rin­ci­denten, komt uit het Verenigd Konink­rijk. Meerdere bedrijven in de retail­sector hadden binnen een aantal weken te maken met cybe­rin­ci­denten. Marks & Spencer schortte alle online acti­vi­teiten voor meer dan twee weken op, de Co-Op Group kreeg te maken met een cyber­aanval en moest preven­tieve maat­re­gelen nemen en ook Harrods meldde dat het te maken had met een cybe­rin­ci­dent. Dat de impact van deze aanvallen groot kan zijn, blijkt uit de jaar­cij­fers van Marks & Spencer waarbij wordt opgemerkt dat de kosten door de cyber­aanval inmiddels oplopen tot 300 miljoen pond – driemaal zoveel als het bedrag waarvoor het bedrijf verzekerd was.

Hoewel er volop wordt gespe­cu­leerd over de aanvals­tech­nieken die zijn gebruikt bij deze aanvallen, richt de specu­latie zich niet op een bepaalde zero-day kwets­baar­heid of gene­ra­tieve AI. De specu­latie richt zich eerder op social engi­nee­ring en phishing – naast het aanvallen en overnemen van bedrijfs­kri­ti­sche VMware vSphere virtuele infra­struc­tuur­om­ge­vingen binnen de organisaties.

Scattered Spider

De over­een­kom­sten in deze cyber­aan­vallen worden toege­schreven aan een bekende aanvals­groep, genaamd ScatteredSpider. Dit is een groep cyber­cri­mi­nelen die uit zijn op geld en die bekend staat om zijn ransom­ware- en afper­sings­aan­vallen. De groep wordt bijvoor­beeld verant­woor­de­lijk gehouden voor de aanvallen op Ceasar’s Enter­tain­ment en MGM Resorts in 2023. Deze aanvallen zorgden voor grote versto­ringen en leverde de groep naar schatting losgeld op van 15 miljoen dollar. Scattered Spider staat erom bekend dat ze phisingcam­pagnes uitvoeren waarbij ze domein­namen gebruiken die erg lijken op die van bekende merken, zoals Nike of Apple – een belang­rijk onderdeel van hun strategie om toegang te krijgen tot de systemen van hun slachtoffers.

Hoewel Scattered Spider – voor zover bekend – nog geen slacht­of­fers heeft gemaakt in Nederland en België, worden retail­be­drijven ook hier op soort­ge­lijke manieren aange­vallen. Daarnaast worden merknamen misbruikt voor phis­hing­cam­pagnes. Zo werd vorig jaar november Ahold Delhaize slacht­offer van een ransom­ware-aanval door de Russische groep INC Ransom en is er een phishing-scam gaande in België waarbij de merknamen van Delhaize en Colruyt worden misbruikt.

Wat kunnen organisaties in een sector doen om het risico op cyberincidenten te minimaliseren?

Hoewel nu de retail­sector in de VK aan de beurt is, zouden deze aanvallen een wake-up call moeten zijn voor elke orga­ni­satie – niet alleen binnen de retail­sector. Voor een cyber­cri­mi­neel maakt het immers niet uit hoe groot een orga­ni­satie is, zolang ze maar geld kunnen ‘verdienen’. Dus welke stappen kunnen orga­ni­sa­ties nemen om hun cyber­se­cu­rity te verbeteren? 

Er zijn vier belang­rijke pijlers: het trainen en opleiden van mede­wer­kers, drei­gingen detec­teren en hierop reageren, kwets­baar­heden proactief verhelpen (patchen) en misschien wel het aller­be­lang­rijkste: een uitge­breid incident respon­se­plan (en dat plan testen!). 

Uit onderzoek blijkt dat in 2024 voor 76% van de inbreuken ten minste één van tien speci­fieke kwets­baar­heden werden misbruikt. Geen van deze kwets­baar­heden was een zero-day en zeven kwets­baar­heden hadden te maken met tools voor externe toegang of andere extern gerichte diensten. Met andere woorden, het merendeel van de inbreuken werd veroor­zaakt door bekende kwets­baar­heden die allemaal proactief verholpen kunnen worden door systemen te patchen en updates te installeren.

Het onderzoek sugge­reert verder dat de secu­ri­ty­uit­da­gingen waarmee orga­ni­sa­ties worstelen, oplosbaar zijn, mits IT- en secu­ri­ty­teams de nodige stappen nemen om ervoor te zorgen dat hun incident response plan uitvoer­baar en herhaal­baar is. Toch lukt het veel orga­ni­sa­ties niet om regel­matig hun incident respon­se­plan te testen en tegelijk oefe­ningen uit te voeren. Net zoals de bedrijfs­stra­tegie en tech­no­lo­gieën binnen een orga­ni­satie continu in ontwik­ke­ling zijn, moet ook het IR-plan voort­du­rend worden aangepast om ervoor te zorgen dat iedereen zijn rol kent. Daarnaast zorgt dit ervoor dat de proce­dures voor het indammen van inci­denten up-to-date zijn en dat eventuele downtime wordt geminimaliseerd.

Proactieve maatregelen

Hoewel een ransom­ware-aanval met name impact heeft op de getroffen orga­ni­satie zelf, kunnen ook klanten last hebben door een verhin­de­ring van dienst­ver­le­ning. Echter, wat poten­tieel meer impact heeft op klanten zijn phishing-campagnes waarbij bekende merknamen worden misbruikt, zoals bij eerder genoemde voor­beelden Delhaize en Colruyt. Bedrijven zouden daarom niet alleen hun eigen systemen goed moeten bevei­ligen en een uitge­breid incident respon­se­plan moeten hebben. Klanten moeten ook proactief gewaar­schuwd worden dat de merknamen van bedrijven worden misbruikt door aanval­lers in phishing-campagnes. Delhaize en Colruyt hebben bijvoor­beeld een waar­schu­wing staan op de eigen website, maar hier ligt ook een rol voor sectororganisaties. 

Sector­or­ga­ni­sa­ties zouden daarnaast kennis­de­ling en samen­wer­king over cyber­drei­gingen kunnen stimu­leren. Dit kan bijvoor­beeld door CISO’s binnen de sector samen te brengen in een Infor­ma­tion Sharing and Analyses Center (ISAC) om best practices en drei­gingen met elkaar te bespreken. Hierbij kan ook overwogen worden om CISO’s uit andere sectoren aan te laten sluiten om het niveau van de volledige keten omhoog te brengen. De sector­or­ga­ni­sa­ties kan daarnaast cyber-oefe­ningen orga­ni­seren en bedrijven helpen bij het nemen en imple­men­teren van de juiste cybermaatregelen. 

Conclusie

Het is niet ondenk­baar dat een sector in Nederland of België binnen­kort ook wordt getroffen door een reeks aanvallen. Het risico op een cyber­aanval kan nooit helemaal worden terug­ge­bracht naar nul, maar door cyber­maat­re­gelen te nemen kan de impact van een cybe­rin­ci­dent wel worden gemi­ni­ma­li­seerd. Het is daarom zaak om een goed incident respon­se­plan te hebben en klanten proactief te waar­schuwen als je weet dat jouw merk wordt misbruikt in phis­hing­cam­pagnes – zo kunnen we geza­men­lijk het risico op cyber­aan­vallen verkleinen.