Something fishy’s going on in de Verenigde Staten. In de laatste weken is een aantal steden getroffen door een ransomware-aanval. De eerste stad die getroffen werd was Riviera Beach en inmiddels bevinden zich ook Lake City, Baltimore en Key Biscane onder de slachtoffers.
In de media lezen we koppen als ‘Amerikaanse stad betaalt ruim half miljoen euro losgeld na aanval met gijzelsoftware’ en ‘Opnieuw betaalt Amerikaanse stad losgeld na ransomware-infectie’. In de bijbehorende berichten lezen we wat er gebeurd is, namelijk dat deze steden getroffen zijn door ransomware, dat de hackers losgeld eisen in bitcoins en dat de (meeste) steden dit betaald hebben na onderhandeling van de hackers met de verzekeraar. En dat is vreemd. Want ondanks dat de FBI een negatief advies geeft om te betalen, doen deze steden het toch. En het is natuurlijk raar dat hackers direct met de verzekeraars onderhandelen.
Mocht u zich afvragen wat daar nu precies aan de hand is, lees in dat geval vooral verder. Wat er in de VS gebeurt gaat niet om losstaande incidenten, maar om een goed doordachte strategie. Een winstgevende businesscase voor cybercriminelen. En het is een kwestie van tijd voordat dit zich naar Nederland verplaatst.
Wat is er aan de hand
Wat er op dit moment in de VS speelt, is dat er achter elkaar netwerken van steden gehackt worden door hackers die ransomware-aanvallen uitvoeren. Het netwerk van een stad is te vergelijken van een netwerk van een bedrijf. Een stad heeft een eigen infrastructuur waar alles aan gekoppeld is zoals bruggen, parkeermeters etc. Soms zelfs politie en brandweer. Elke gemeente heeft zijn eigen netwerk, maar over het algemeen sterk verouderd. Steden gebruiken vaak nog oude XP-machines, hebben geen netwerksegmentatie toegepast en hebben geen geld voor cybersecurity. Dat maakt gemeentes een supertarget voor kwaadwillenden, die er heel goed over na hebben gedacht hoe daar geld mee te verdienen valt.
Betrouwbare honden
De recente aanvallen op steden waren geen willekeurige cyberattacks. De gemeentes zijn specifiek getarget. Waarom? Omdat de systemen van deze steden verouderd zijn doordat ze kwetsbaarheden bevatten en steden vaak hun back-ups niet goed op orde hebben. Voor de getroffen steden was het ‘voordeliger’ om het losgeld te betalen dan om de boel te herstellen. Het bedrag dat ze kwijt waren aan ransom, was vele malen lager dan de miljoenen die ze aan remediation kwijt zouden zijn. Ondanks het negatieve advies van de FBI om in te gaan op de eisen van de hackers, is er daarom toch voor gekozen om te betalen. En nu wordt het interessant. Want vervolgens hebben ze na het betalen van het losgeld binnen een dag de sleutels ontvangen om alles weer te decrypten. Hiermee hebben de hackers laten zien dat ze ‘betrouwbaar’ zijn. Door een publiek domein te gijzelen dat gemakkelijk te hacken is en het vervolgens weer terug te geven na het betalen van losgeld, heeft de hacker gedemonstreerd dat het loont om te betalen. Waarmee er een prima verdienmodel ontstaan is, zij het illegaal.
Hoe dan?
Aanvankelijk werd er gedacht aan een inside job. De attacks ontstonden door medewerkers die op een link hebben geklikt. Dat kon dus alleen met opzet en van binnenuit gebeurd zijn, toch? Guess again. Zoals gezegd werden deze gemeentes niet zomaar het slachtoffer. Want behalve dat hun systemen verouderd waren en er geen netwerksegmentatie was, staat bij gemeentes over het algemeen de hele organisatie online vermeld. De medewerkers staan met naam, e-mailadres en functie online. Voor een beetje een handige hacker een fluitje van een cent om een e-mail met een bestandje erbij te versturen van de Grote Baas naar medewerker X. En zoals we allemaal weten, mag je e-mails en bestanden alleen openen als ze afkomstig van mensen die je kent. En daar ging het mis. Geen inside job maar een berichtje van een bekende afzender met malware erin. Bijzonder slim aangepakt, je zou er bijna jaloers op worden. En uiteraard is er een oplossing voor.
Welke maatregelen kun je treffen?
Wil je het risico minimaliseren dat je net als in de VS slachtoffer wordt van dergelijke cyberattack, dan is het zaak om in ieder geval de volgende maatregelen te nemen;
1. Zorg voor goede endpoint protection wanneer je geen ransomware wilt ontvangen. Endpoint protection zorgt voor het detecteren van e-mails met malware, ook al zijn ze afkomstig van een vertrouwd adres. Door bijvoorbeeld Traps van Palo Alto Networks te installeren, worden malware en ransomware geblokkeerd en het risico op endpoint-infecties minimaal;
2. Zorg dat je voldoende segmentatie in je netwerk hebt. Netwerksegmentatie heeft hetzelfde effect als branddeuren in je pand. Door firewalls tussen de virtuele groepen in je netwerk te plaatsen, kan onderling verkeer tussen de verschillende groepen worden geblokkeerd wanneer er zich een incident voordoet. Deurtje dicht, incident geïsoleerd;
3. Zorg dat je je back-ups op orde hebt, dat ze getest zijn en dat ze offline staan. Alleen het hebben van een back-up is niet voldoende! Test of je back-up werkt en zet deze offline. De ransomware zoekt namelijk naar alle netwerkverbindingen en wanneer je back-up online staat, heb je een probleem.
Better safe than sorry
De moraal van dit verhaal? Better safe than sorry. Zorg dat je visibility & control hebt. Inzicht in je netwerk en controle over wat er gebeurt. Investeer in cybersecurity want de kosten van de schade zijn minimaal de bitcoins aan losgeld plus de imagoschade plus datalekken, oplopend tot miljoenen om de schade te herstellen.
Het is een kwestie van tijd voordat de ransomwaregolf die nu de VS overspoelt, overwaait naar Nederland. Wees je daarom bewust van wat er aan de hand is. Hackers die direct met de verzekeringsmaatschappij onderhandelen, weten precies waar ze mee bezig zijn, bij wie ze moeten zijn en krijgen wat ze willen. Hun plan de campagne is bijzonder succesvol. Nieuwsgierig of jij ook zo makkelijk te targeten bent? Laat je dan door ons adviseren over hoe je je netwerkomgeving nog beter kunt beveiligen en laat ons bijvoorbeeld een penetratietest uitvoeren. Of wacht je liever tot een hacker het doet…
