Column - Omdenken met ransomware

Door Martijn Hoogesteger 17 jun 2022

Ransomware na ransomware na ransomware-zaak. Het is sinds het conflict in Oekraïne zeker niet afgenomen. Wat wel zwaar is veranderd, is de hele politieke wereld tussen en binnenin criminele cyberbendes. Een ware soapserie waar verraad, wraak en het kiezen van kanten, de cyberwereld heeft veranderd. De sancties in de ‘echte’ wereld hebben hier ook sterk invloed op. Ransomware-bendes die nu toch zwaar betrokken lijken te zijn bij Rusland (niemand had het gedacht…) kunnen haast geen betalingen meer ontvangen zonder onder sancties te vallen. Misschien is dat juist wel een reden waarom het aantal slachtoffers alleen maar hoger wordt. Minder opbrengst per slachtoffer, dan maar meer organisaties aanvallen. Het is voor hen ook gewoon een business natuurlijk.

Over de business van cybercriminelen weten we ondertussen steeds meer. Conti, een van de bekendste ransomware-groepen, heeft nu al meermaals een grootschalig lek gehad. Eind 2021 werd hun ‘playbook’, de precieze handleiding die ze volgen om een organisatie binnen te dringen en te gijzelen, publiek. Recentelijk ook veel van hun interne communicatie, de ‘conti leaks’. Dat is een goudmijn om ze goed te begrijpen en moet je echt een keer lezen! We weten dat ze 100 man in dienst hebben, dat ze werktijden hanteren, hoe ze mensen aannemen, en ook hoe ze (waarschijnlijk) beïnvloed worden door de FSB. Ik ben, ondanks dat ik het al wist, onder de indruk van de mate van professionaliteit die ze hanteren.

De belangrijkste dingen die we hieruit leren? Precies de dingen die we als securitywereld al vaak genoeg roepen. Ze vallen alle technische kwetsbaarheden aan, dat wat aan jouw internet hangt, via password spraying tot en met phising campagnes.

Mijn vraag is niet hoe je jezelf hiertegen verdedigt, maar hoe je hun aanvallen stopt, of op z’n minst moeilijker maakt. Dat klinkt hetzelfde, maar het perspectief is anders! Richt je op hoe ze aanvallen, outside-in denken. Pragmatisch. Vanuit je organisatie denken en hoe je die specifieke maatregel gaat implementeren, is het inside-out. Vaak kom je dan juist een hoop drempels tegen.

Dus hoe ga je zorgen dat ze alles wat je aan het internet hebt hangen niet aanvallen? Begin eerst met onderzoeken wat daar allemaal wel niet leeft…. Nog beter, doe dat op de manier hoe aanvallers dat ook doen! Terugwerken vanaf je domeinnaam, zoeken op shodan, noem het maar op. Dat kun je zelf doen, maar je kunt ook een externe partij eens laten kijken. Laat ze maar eens de aanvaller spelen. Wat is er dan allemaal interessant, met die ‘aanvallerpet’ op? Alles waarmee je remote kunt inloggen, staat bovenaan de lijst.

Hetzelfde voor de password spraying aanvallen. Doe maar eens! Lastig zijn ze niet hoor. Het is net alsof een crimineel de hele dag voor je deur staat sleuteltjes te proberen. Moeilijk is het niet, wel heel effectief. Een bende van een beetje niveau zal eerst goed proberen te begrijpen hoe je accountnamen er uit zien. voorletter.achternaam@domein? voornaam.achternaam@domein? Even een uurtje op je website en LinkedIn en ze hebben waarschijnlijk een lijst die pretty darn good is. Wat doe je er dan tegen? Een tweede factor voor inloggen, overal. Of als je helemaal trendy bent, gewoon zonder wachtwoord! Dan blijft een lastige over, de phishingaanvallen. Het is niet voor niets dat dit bijna een aparte criminele industrie is, want ze zijn zeer effectief. Net als elke wapenwedloop, betekent dit dat ertegen beveiligen ook een flinke investering is. De volgende keer neem ik je mee in die wereld!

Martijn Hoogesteger
Martijn is Head of Cyber bij S-RM en bereikbaar via m.hoogesteger@s-rminform.com en columnist van iB-Magazine.

Deze column verscheen in iB3-2022.