Winkelmand

Geen producten in de winkelwagen.

Ransomware gaat van ‘dubbele afpersing’ naar ‘vijfvoudige afpersing’

Laatst bijgewerkt: 27-01-2022 18:00:10

Persbericht - Wanneer het onderwerp ransomware ter sprake komt, wordt de term ‘dubbele afpersing’ vaak genoemd. Dit houdt in dat cybercriminelen verder gaan dan alleen maar het versleutelen van data. Ze gaan over op datadiefstal en dreigen dat ze, als ze niet op tijd hun geld ontvangen, de verkregen data vrijgeven aan andere criminelen of deze zelfs openbaar maken. Ondanks dat dit veel gebeurt is er volgens mij van ‘dubbele afpersing’ geen sprake meer, we hebben eerder te maken met 'vijfvoudige afpersing'.

Meer schade en meer afpersing

Vanaf eind 2019 begonnen de eerste ransomwarebendes data-exfiltratie als tactiek te gebruiken. Ze werden niet alleen vaker betaald, maar kregen ook meer geld. Dit zagen andere ransomware-bendes ook en tegen het einde van 2019 was bij 10-15% van de ransomware-aanvallen sprake van data-exfiltratie. Eind 2020 was dat meer dan 70%. In 2021 is dat opgelopen tot 80%. Dit betekent dat als u door ransomware wordt geraakt, de kans groot is dat uw bedrijf ook te maken krijgt met het probleem van data-exfiltratie bovenop een datalek dat moet worden gemeld bij de juiste instanties.

Maar dat is niet het enige wat cybercriminelen nu doen. Naast het stelen van gegevens, stelen cybercriminelen ook wachtwoorden van bedrijven, werknemers en klanten. Vroeger was het zo dat als ze wachtwoorden stalen, ze dit alleen maar deden om meer machines in hetzelfde netwerk te infecteren. Nu niet meer: hun primaire doel voor het stelen van wachtwoorden is om meer schade aan te richten en meer afpersing te plegen.

Gemiddeld verbergt een kwaadaardige ransomware-code zich enkele weken tot bijna een jaar op iemands apparaat of netwerk. Ik zie verschillende cijfers over hoe lang ransomware blijft bestaan ​​zonder ontdekt te worden, maar de meest voorkomende statistieken die ik zie zijn 120-200 dagen. Persoonlijk ken ik veel bedrijven waar ransomware een jaar of langer in het netwerk zat. Ik ken er zelfs een waar het ransomware-programma meer dan drie jaar heeft gestaan ​​zonder te worden gedetecteerd. En ja, meer dan 80% van die slachtoffers had up-to-date antivirus-software…

Ook werknemers en klanten worden slachtoffer

Cybercriminelen stelen vaak wachtwoorden van werknemers omdat werknemers tijdens de verblijftijd van de ransomware naar talloze persoonlijke websites gaan, bijvoorbeeld hun bankwebsite, hun website voor het beleggen van aandelen, hun pensioenoverzicht, hun medische websites, Amazon om iets te bestellen of social media zoals Instagram,  Facebook of TikTok. En al die tijd verzamelt het ransomware-programma, of het Trojaanse paard-script, al die wachtwoorden. Zo is het ook met klanten. Als u een website heeft waarop klanten inloggen, verzamelen zij die ook; wetende dat uw klanten die wachtwoorden waarschijnlijk op andere plaatsen zullen gebruiken.

Vervolgens nemen de cybercriminelen contact op met de werknemers en klanten, vertellen ze wat ze hebben en dreigen de wachtwoorden vrij te geven aan hackers. Ze vertellen de werknemers en klanten dat de enige reden dat ze hen afpersen is omdat het bedrijf dat slachtoffer is geworden van de ransomware niet betaalt. Dit veroorzaakt reputatie- en vertrouwensproblemen.

Terwijl de cybercriminelen zich in uw systemen bevinden, lezen ze ook e-mails en leren ze over de zakelijke relaties die u heeft met andere leveranciers en vertrouwde partners. En dan sturen ze spear-phishing-e-mails naar hen met het verzoek kwaadaardige documenten te openen of Trojan-malware uit te voeren. De nieuwe slachtoffers krijgen een e-mail van het oorspronkelijke slachtoffer, iemand die ze vertrouwen en waarmee ze een goede relatie hebben. Ze begrijpen vaak niet waarom de persoon die ze vertrouwen hen plotseling vraagt ​​om een ​​nieuw document of bestand te openen, maar velen doen dat zonder verdere aarzeling. Het gevolg? Ook zij zijn nu slachtoffers van ransomware.

DDoS-aanvallen om discussie te winnen

Ransomware-aanvallers adverteren ook publiekelijk bij wie ze hebben ingebroken om maximale druk op de slachtofferorganisatie uit te oefenen om snel tot een oplossing te komen. Als u hoopt dat de ransomware-aanval misschien niet naar de media lekt, veel succes! Ze hebben hun PR goed op orde en sturen bewijs van hun geslaagde aanval naar de media. Ze posten vaak voorbeelden van uw bestanden om te bewijzen dat ze niet alleen toegang hebben, maar ook uw gegevens hebben.

Als uw organisatie dan nog steeds de niet het gesprek aangaat over het betalen van losgeld, zullen de cybercriminelen nog een stap verder gaan zodat u alsnog betaalt. Een tactiek die steeds vaker voorkomt, is dat ze massale DDoS-aanvallen (distributed-denial-of-service) uitvoeren. Ze zullen op die manier uw bedrijfsnetwerk of openbare webservers, die misschien ergens anders worden gehost blokkeren om u te dwingen losgeld te betalen.

Samenvattend, is dit wat de meeste ransomware tegenwoordig doet:

  • Versleutelen van uw gegevens
  • Exfiltreren/stelen van uw e-mails, gegevens, vertrouwelijke informatie, IP en zal deze openbaar plaatsen of aan uw concurrenten geven als u niet betaalt
  • Stelen van de inloggegevens van uw bedrijf, werknemers en klanten
  • Afpersen van uw medewerkers en klanten
  • Sturen van spear phishing-aanvallen naar uw zakenpartners vanaf uw eigen computers met behulp van echte e-mailadressen en e-mailonderwerpen die uw partners vertrouwen
  • Uitvoeren van DDoS-aanvallen tegen alle services die u nog in gebruik heeft
  • De publiciteit zoeken om uw organisatie in verlegenheid te brengen

Preventie als primaire verdediging versterken

Als u geluk heeft, krijgt u ‘maar’ met een vijftal problemen te maken. Daarom moet u ervoor zorgen dat de mensen in uw organisatie die verantwoordelijk zijn voor de verdediging, begrijpen wat de ransomware van vandaag doet. Het is niet alleen een probleem met gegevenscodering of alleen een probleem met data-exfiltratie. Het zijn vier tot zeven extra problemen die alleen een goede back-up helaas niet oplost. Uw primaire verdediging moet preventie zijn. Dat betekent dat u zich moet richten op het bestrijden van social engineering en op tijd uw patches moet uitvoeren. Alleen zo kunt u de risico’s beperken.