In 2023 werd ruim 80% van de bedrijven getroffen door ransomware.
Door nauwkeuriger te kijken naar de manier waarop ransomware-aanvallen plaatsvinden, kunnen we waarschuwingssignalen eerder opmerken en hierop actie ondernemen om toekomstige aanvallen te voorkomen.
In de strijd tegen ransomware is de beste verdediging een verdediging die is gebaseerd op data en die goed is afgestemd op de bedreigingen waarmee een bedrijf wordt geconfronteerd.
Over het algemeen zijn we ons echter al bewust van de dreiging die ransomware met zich meebrengt, dankzij ervaringen uit de eerste hand.
De gerapporteerde effecten lopen sterk uiteen, van de noodzaak om een oplossing aan te schaffen om ransomware-aanvallen te bestrijden, tot het actief worden aangevallen, tot het daadwerkelijk betalen van losgeld.
De verreikende gevolgen van ransomware, gecombineerd met het feit dat we op weg zijn naar het op een na duurste jaar voor ransomware uit de geschiedenis, betekent dat het tijd is na te denken over een nieuwe aanpak.
Door nauwkeuriger te kijken naar de manier waarop ransomware-aanvallen überhaupt plaatsvinden en we misschien nog niet op de radar hebben. Kunnen we waarschuwingssignalen eerder opmerken en daarop actie ondernemen om ons tegen aanvallen te verdedigen.
Laten we beginnen met een van de meest voorkomende toegangspunten voor een ransomware-aanval: gecompromitteerde inloggegevens.
Criminelen houden van authenticatiegegevens omdat ze een betrouwbare hefboom zijn voor het verkrijgen van toegang tot systemen en informatie waarmee ze misdaden kunnen plegen. Bedreigingsactoren krijgen vaak inloggegevens in handen door gebruik te maken van infostealer-malware, die doorgaans wordt ingezet via kwaadaardige websites, botnets of phishing-e-mails.
Met één klik kan een gebruiker geïnfecteerd raken, waardoor de malware een breed scala aan informatie kan stelen die op de computer van de gebruiker is opgeslagen – van privégegevens, zoals creditcardnummers, tot gebruikersnamen en wachtwoorden en zelfs websessiecookies die deuren openen naar bedrijfsinformatie.
En als er één deur opengaat, doen vele anderen dat vaak ook omdat we wachtwoorden bij verschillende applicaties hergebruiken. Dat betekent dat bijna drie op de vier mensen actief een gecompromitteerd wachtwoord gebruikten, waardoor het voor cybercriminelen vrij eenvoudig is om één blootgelegd identificatiepaar te stelen en toegang te krijgen tot hun informatie en bestanden via meerdere accounts, inclusief werkapplicaties.
Hier wordt het interessant. Met de toegangsgegevens die via infostealer-malware zijn verkregen, kunnen bedreigingsactoren punten met elkaar verbinden om vervolgens gevoelige of bedrijfseigen gegevens op een bedrijfssysteem te stelen, te coderen en los te krijgen, waardoor een regelrechte ransomware-aanval wordt gelanceerd. De aanwezigheid van een infostealer-infectie is inderdaad een vroeg waarschuwingssignaal voor de mogelijkheid van ransomware.
Bij bedrijven die in 2023 te maken kregen met een ransomware-aanval, werd bijna één op de drie geïnfecteerd met infostealer-malware in de maanden voorafgaand aan de aanval informatie gestolen.
Als risicosignaal zou de aanwezigheid van infostealer-malware de ransomware-radar van bedrijven moeten activeren en een uitgebreide respons op malware-sanering moeten motiveren.
We kunnen niet met zekerheid zeggen dat een ransomware-aanval elke keer volgt op een infostealer-malware-infectie. Alleen dreigingsactoren weten zelf hoe ze de informatie die ze stelen willen gebruiken. Maar de aanwezigheid van infostealer-malware is een goed startpunt voor betere verdediging en preventie.
We kunnen dit uitgangspunt gebruiken om een breder beeld te schetsen om de rol te begrijpen die infostealers spelen bij een ransomware-aanval. Dit zal het bewustzijn van potentiële dreigingen vergroten en de prioriteiten en tactieken op het gebied van de veiligheidsverdediging beter informeren.
Hoe kunnen we voortbouwen op de rol van infostealer-infecties in een ransomware-kill-keten?
Ten eerste verbreden we ons perspectief. Wij beoordelen de omstandigheden die aan de besmetting voorafgingen. Het patchen van prioriteiten die zich bijvoorbeeld richten op exploiteerbare kwetsbaarheden kan het voor een dreigingsactor moeilijker maken om überhaupt toegang te krijgen. Beveiligingsbewustzijnstraining die gelijke tred houdt met de modus rn-aanvalstechnieken kunnen een soortgelijk beperkend effect hebben op het risico van infostealer-malware.
We houden ook rekening met de stappen die een aanvaller waarschijnlijk zal ondernemen na infectie en met de gegevens waartoe hij toegang heeft. Misschien zijn single sign-on-referenties en extra toegang tot applicaties het doelwit.
Het verzamelen en evalueren van signalen rond infostealer-malware kan licht werpen op de status en omstandigheden van een bedrijf en helpen om infostealer-malware op de juiste manier te lokaliseren in een ransomware-kill-chain. Deze aanvullende signalen voegen context en nuance toe aan ons begrip van infostealer-malware en kunnen zelf zelfs dienen als aanvullende vroege waarschuwingssignalen.
Ten tweede handelen we op basis van wat we weten en blijven volgen. We gaan aan de slag met het monitoren en herstellen van infostealer-malware-infecties en ondernemen stappen om de potentiële schade die kan voortvloeien uit gegevensexfiltratie te beperken.
Vervolgens blijven we gegevens en signalen verzamelen en evalueren wanneer bedrijven het slachtoffer worden van ransomware-aanvallers of deze ontwijken. Na verloop van tijd zullen deze signalen patronen onthullen die de verbinding tussen infostealer en ransomware verder zullen contextualiseren.
In de strijd tegen ransomware is de beste verdediging een verdediging die is gebaseerd op data en die op de juiste manier is afgestemd op de bedreigingen waarmee een bedrijf wordt geconfronteerd. De kwetsbaarheid van een organisatie voor ransomware-aanvallen zal deels afhangen van haar unieke omgeving, kenmerken en behoeften. Echter er blijft een verband tussen infostealer-infecties en ransomware-aanvallen bestaan, ongeacht de vorm of grootte.