Ransomware

Je kunt je wél beschermen tegen supply chain ransomware – dit is hoe

Piet Kerkhofs
CTO

Met de schrik nog in de benen, wordt in de media gesuggereerd dat er weinig uit te halen valt tegen ransomware-aanvallen, zoals we die het afgelopen weekend bij Kaseya zagen. “Niet helemaal waar”, stelt Piet Kerkhofs, CTO bij EYE Security. “Wanneer je verdacht gedrag kunt detecteren, kun je ook dit soort aanvallen tijdig stoppen.”

Het eerste weekend van juli was een groot deel van de wereld in paniek. Een Russische hackersgroep, bekend onder de naam REvil, wist een kwetsbaarheid in de software van Kaseya – dat een tool biedt om IT-systemen op afstand te beheren – te misbruiken en kon zo duizenden systemen wereldwijd met ransomware infecteren. Deze kwetsbaarheid werd enige tijd geleden bij toeval ontdekt door vrijwilligers van de Dutch Institute for Vulnerability Disclosure, een vrijwilligersorganisatie die het internet scant op kwetsbaarheden in digitale systemen. Samen met Kaseya waren ze al bezig om het tot dan toe onbekende lek (dat wordt een zero-day kwetsbaarheid genoemd) te repareren. Helaas werden ze vlak voor de finish ingehaald door de cybercriminelen van REvil. De klanten van Kaseya werden getroffen, dat zijn voornamelijk IT-dienstverleners die de systemen van hun klanten op afstand beheren. Daardoor kon de ransomware zich als een olievlek over de wereld verspreiden. 

Technologische maatregelen

“In de media zie je nu het beeld ontstaan dat je als bedrijf vrijwel machteloos staat tegen dit soort aanvallen”, zegt Kerkhofs. “Maar dat is niet helemaal waar.” Hij legt uit dat technologische securitysystemen de nieuwe malware niet altijd eenvoudig kunnen herkennen. De meeste systemen zoeken naar bekende softwarecode die al eerder in aanvallen is gebruikt. Wanneer cybercriminelen daarop door ontwikkelen en nieuwe malware versturen, kunnen technologische securitysystemen deze code herkennen, als het maar lijkt op in het systeem bekende malware. Veel moeilijker wordt het wanneer cybercriminelen niéuwe softwarecode hebben geschreven om hun aanval uit te voeren. Die is namelijk nog niet bekend in technische systemen. 

Afwijken in gedrag detecteren

“Het is – eigenlijk altijd, maar vooral in dit soort gevallen – belangrijk om afwijkend gedrag op bedrijfssystemen te kunnen detecteren. Want cybercriminelen zijn zo slim en hun methodieken worden steeds geavanceerder, waardoor ze in staat zijn om hun aanvallen aan te passen op de technologische maatregelen die je hebt getroffen. Zo passen ze bijvoorbeeld hun malware aan op de antivirusoplossingen die op Windows draaien.” Wanneer je weet welk gedrag normaal is op jouw bedrijfsnetwerk, dan kun je ook afwijkingen daarin detecteren. Dat is onmogelijk zelf in kaart te brengen, vandaar dat er systemen bestaan die dit kunnen. “Stel dat het half zes is en een van je medewerkers zojuist heeft uitgelogd, maar het systeem ziet dat er binnen een kwartier opnieuw wordt ingelogd met de gegevens van die medewerker, maar dan vanuit Rusland, dan moeten er automatisch alarmbellen afgaan.”

Samenspel van maatregelen

Natuurlijk bestaat 100 procent security niet. Dat realiseert Kerkhofs zich terdege, maar zo hulpeloos als soms wordt gedacht, ben je niet. “Ja, cybercriminelen kunnen hun aanvallen afstemmen op bekende securitytools, maar dan ga je ervan uit dat er alleen technologische securitymaatregelen worden getroffen in een bedrijf. Jouw security-aanpak moet uit meer dan alleen technologie bestaan, dan kun je je een heel eind wapenen tegen dit soort aanvallen.” In de markt wordt inmiddels al geopperd dat ook de manier van het distribueren van updates moet veranderen of dat iedere organisatie een update vooraf streng controleert. “Ik kan me voorstellen dat een inlichtingendienst hier nog wel een team op zou zetten, om een update te reverse engineeren of in een sandbox te draaien, maar voor de rest van alle organisaties is dat niet te doen.” 

Schade enorm beperken

Kerkhofs trekt een vergelijking met het beschermen van jonge kinderen. “Als ouder wil je dat je kind niets overkomt. Dus plakken we tafelpunten af, leggen rubberen tegels onder de glijbaan en laten we ze liever niet te hoog klimmen. Maar de realiteit is dat geen enkel kind zonder builen, schrammen of bloed groot wordt. De truc is het beperken van de schade. En datzelfde geldt voor dit soort aanvallen. Het is niet meer de vraag óf je wordt getroffen door cybercrime, maar wannéér. Maar met de juiste mindset, de juiste configuratie, de beste maatregelen en een solide team, kun je de schade enorm beperken. Zorg dus voor een security-oplossing die zowel technische maatregelen combineert met detectiemethodes gericht op afwijkende patronen in het gedrag op je netwerk.”

Wat doet EYE?

Onze klanten worden dag en nacht beschermd tegen cyberaanvallen met goede technologie. Deze software maakt gebruik van Crowdstrike Falcon. Dit identificeert en detecteert gedrag dat wordt geassocieerd met ransomware. Vervolgens voorkomt het platform dat verdachte handelingen uitgevoerd kunnen worden. Zo wordt ransomware in een vroeg stadium tegengehouden. Lees hier hoe Crowdstrike de ransomware die werd gebruikt bij de Kaseya-aanval op tijd blokkeerde.