Ransomware: Data is het doelwit

Wist je dat de digitale dreigingen die kleine bedrijven ervaren net zo geavanceerd kunnen zijn als die tegen multinationals? In de wereld van cybercriminaliteit zijn kleine ondernemingen vaak onverwacht aantrekkelijke doelen, met aanvallers die gretig profiteren van elke zwakke plek. Een krachtige verdediging opbouwen is niet alleen mogelijk, maar essentieel: het vereist slimme strategieën, constante waakzaamheid en een proactieve houding.

Sophos heeft zijn Sophos Threat Report 2024 uitgebracht, waarin de focus ligt op de belangrijkste cyberbedreigingen voor het midden- en kleinbedrijf, met een bijzondere aandacht voor “Cybercrime on Main Street”. Bijna 50% van de gedetecteerde malware in 2023 gericht op het mkb bestond uit keyloggers, spyware en datadiefstalprogramma’s, gebruikt door aanvallers om gevoelige informatie en inloggegevens te stelen. Deze informatie wordt door criminelen ingezet voor activiteiten zoals het verkrijgen van ongeautoriseerde toegang op afstand, afpersing en het verspreiden van ransomware.

De impact van cybercriminaliteit op kleine bedrijven

Cybercriminaliteit treft individuen en organisaties wereldwijd, maar kleine bedrijven ondervinden vaak de grootste schade. Hoewel aanvallen op grote ondernemingen en overheidsinstellingen veel media-aandacht krijgen, zijn kleine bedrijven (met minder dan 500 werknemers) doorgaans kwetsbaarder voor cybercriminaliteit en ondervinden ze een grotere impact van de gevolgen van cyberaanvallen. Dit komt door een gebrek aan ervaren beveiligingspersoneel, te weinig investeringen in cyberbeveiliging en kleinere IT-budgetten. De herstelkosten van cyberaanvallen kunnen zelfs zo hoog oplopen dat veel kleine bedrijven gedwongen worden te sluiten.

Kleine bedrijven: een essentiële economische factor

• Volgens de Wereldbank vormen kleine en middelgrote bedrijven meer dan 90% van alle bedrijven wereldwijd en zijn ze goed voor meer dan 50% van de wereldwijde werkgelegenheid.
• In de Verenigde Staten zijn kleine en middelgrote bedrijven verantwoordelijk voor meer dan 40% van de totale economische activiteit.

Belangrijkste bevindingen uit 2023

• Meer dan 75% van de klantincidenten die door Sophos’ X-Ops Incident Response service werden behandeld, betrof kleine bedrijven.
• Ransomware heeft de grootste impact op kleinere organisaties, maar ook andere bedreigingen vormen een existentiële bedreiging, zoals:
• Datadiefstal via malware, waaronder wachtwoorddieven en keyloggers, die bijna de helft van de malware-detecties uitmaken.
• Toename van webgebaseerde malware-distributie, zoals malvertising en SEO-vergiftiging, om beveiligingsmaatregelen te omzeilen.
• Onbeschermde apparaten binnen netwerken als primaire toegangspunten voor cybercriminaliteit.
• Misbruik van drivers, zowel kwetsbare drivers van legitieme bedrijven als kwaadaardige drivers met gestolen certificaten, om malwareverdediging te ontwijken.
• E-mailaanvallen die verschuiven van eenvoudige sociale manipulatie naar actievere betrokkenheid bij doelwitten via e-mailconversaties.
• Aanvallen op mobiele apparaten en social engineering-scams die individuen en kleine bedrijven treffen.

Bewustwording

Kleine bedrijven staan voor aanzienlijke uitdagingen op het gebied van cyberbeveiliging, met unieke kwetsbaarheden die hen vatbaar maken voor een breed scala aan cyberdreigingen. Investeringen in cyberbeveiliging en bewustwording zijn essentieel om deze bedrijven te beschermen tegen de potentieel verwoestende effecten van cybercriminaliteit.

Data is het doelwit

Uit het Sophos rapport kwamen een aantal belangrijke bevindingen:

Het draait om data

Data- en inloggegevensbescherming vormt de grootste uitdaging in cybersecurity voor kleine en middelgrote bedrijven. Meer dan 90% van de aanvallen betreft datadiefstal of -afpersing, ongeautoriseerde toegang, of directe datadiefstal.

Zakelijke E-mailcompromis (BEC)

BEC, waarbij e-mailaccounts door cybercriminelen worden overgenomen, is een aanzienlijk probleem. In 2023 werden BEC-incidenten, na ransomware, het vaakst geïdentificeerd door ons Incident Response team.

Gestolen Inloggegevens

Gestolen inloggegevens, waaronder browsercookies, worden gebruikt voor BEC, toegang tot clouddiensten en interne bronnen. Ze kunnen ook verkocht worden door “toegangsmakelaars” op ondergrondse forums.

Malware Categorieën

Bijna de helft van de malware in 2023 richtte zich op het stelen van gegevens. Deze “stealers” verzamelen inloggegevens, cookies, toetsaanslagen en andere data voor verkoop of verdere exploitatie. Malware kan echter moeilijk volledig op functionaliteit worden gecategoriseerd vanwege de modulaire aard.

Overige Malware

Bijna 10% van de gedetecteerde malware valt buiten de belangrijkste categorieën en richt zich op browsers voor het injecteren van advertenties, omleiden van zoekresultaten voor winst, of het verzamelen van data voor de ontwikkelaar.

Specifieke Stealers

Specifieke stealers, zoals Discord “token” stealers, zijn gericht op bepaalde platforms. Andere bekende stealers zoals Strela, Raccoon Stealer, en RedLine richten zich agressiever op het verzamelen van wachtwoordopslag, browsercookies, en andere inloggegevens. Raccoon Stealer zet ook in op cryptocurrency door adressen te verwisselen met adressen die de malware-operator controleert.

Toename macOS Doelwitten

Er is een toename in het aantal informatie-stelende malware gericht op macOS. Deze malware, soms verkocht voor tot $3.000 op ondergrondse forums en Telegramkanalen, verzamelt systeem- en browsergegevens en cryptowallets.

Ransomware blijft een grote dreiging voor kleine bedrijven

Ransomware, hoewel slechts een klein percentage van alle malware-detecties uitmakend, heeft een significante impact op bedrijven van alle groottes en in alle sectoren. Kleine en middelgrote ondernemingen worden echter het vaakst getroffen, met 70% van de ransomware-aanvallen gericht op deze groep in 2021. LockBit ransomware, aangeboden als ransomware-as-a-service door meerdere affiliates, werd geïdentificeerd als de grootste bedreiging voor kleine bedrijven in 2023.

Toename van Remote Ransomware-aanvallen

In 2023 werd een toename waargenomen in het gebruik van remote ransomware-aanvallen, waarbij niet-beheerde apparaten binnen netwerken van organisaties werden gebruikt om bestanden op andere systemen te versleutelen via netwerkbestandstoegang. Deze aanvallen maken vaak gebruik van onbeschermde servers, persoonlijke apparaten en netwerkapparatuur die verbonden zijn met Windows-gebaseerde netwerken van organisaties.

Cross-platform Ransomware

Ransomware- en andere malware-ontwikkelaars gebruiken steeds vaker cross-platform talen om versies voor macOS en Linux-besturingssystemen te bouwen. In februari 2023 werd een Linux-variant van Cl0p ransomware ontdekt, die gebruikt werd in een aanval in december 2022.

Malware als een Dienst (MaaS)

De malwarewereld wordt gedomineerd door Malware as a Service (MaaS), waarbij malware-leveringsframeworks door cybercriminelen via ondergrondse marktplaatsen aan andere cybercriminelen worden aangeboden. Ondanks verbeteringen in platformbeveiliging en acties tegen deze diensten door de industrie en wetshandhavingsinstanties, blijft MaaS een cruciale rol spelen in de malwareleveringsbusiness.

Veranderingen in Malwarelevering

Veranderingen in de beveiligingsstandaarden van platforms zoals Microsoft Office, die standaard Visual Basic for Applications (VBA) macro’s blokkeren, hebben geleid tot aanpassingen in de leveringsmethoden van malware. Aanvallers zijn overgestapt op bijna exclusief gebruik van PDF-bestandsbijlagen en, in sommige gevallen, kwaadaardige OneNote-documenten.

Misbruik van “Dubbel Gebruik” Gereedschappen

Cobalt Strike en andere commercieel ontwikkelde softwarekits, die oorspronkelijk bedoeld waren voor legitieme beveiligingstests, worden nu ook misbruikt door aanvallers. Deze “dual-use” gereedschappen omvatten remote desktop tools, bestandscompressietools en gemeenschappelijke bestandsoverdrachtsoftware, die door aanvallers worden gebruikt om hun taken te vergemakkelijken.

Malware as a Service

Ransomware blijft een prominente bedreiging voor kleine en middelgrote ondernemingen, met een toename van remote ransomware-aanvallen en de evolutie van cross-platform ransomware. Malware as a Service speelt een belangrijke rol in de verspreiding van malware, terwijl aanvallers zich aanpassen aan veranderende beveiligingsstandaarden door nieuwe leveringsmethoden te ontwikkelen en legitieme tools voor kwaadaardige doeleinden te gebruiken.

Zero-Day Aanvallen en Non-Zero-Day Aanvallen

In 2023 hebben een reeks zero-day kwetsbaarheden, waarbij softwarezwakheden worden uitgebuit voordat de ontwikkelaars een patch kunnen uitbrengen, en non-zero-day aanvallen, waarbij bekende kwetsbaarheden worden misbruikt, de cybersecurity wereld uitgedaagd. Een opmerkelijk voorbeeld is een kwetsbaarheid in Progress Software’s MOVEit, een veelgebruikt platform voor beveiligde bestandsoverdracht, dat werd uitgebuit door kwaadwillenden geassocieerd met de Cl0p ransomware groep. Deze aanvallers plaatsten web shells op publieke webinterfaces van MOVEit Transfer servers, die in sommige gevallen bleven bestaan zelfs nadat klanten van Progress de kwetsbaarheden hadden gepatcht.

Andere zero-day kwetsbaarheden omvatten een beveiligingslek in GoAnywhere, een ander systeem voor bestandsoverdracht, en een kwetsbaarheid in de PaperCut MF en NG printserver software die werd uitgebuit door de Bl00dy ransomware bende. Een kwetsbaarheid in Barracuda Email Security Gateway apparaten was zo ernstig dat het niet kon worden gepatcht en een volledige vervanging van de apparaten vereiste.

Aanvallen op de Leveranciersketen

Kleine bedrijven moeten ook waakzaam zijn voor de beveiliging van de diensten waarop ze vertrouwen voor hun bedrijfsvoering en IT-infrastructuur. Aanvallen op de leveranciersketen, waarbij aanvallers zich richten op zwakheden in de software en diensten van derden, vormen een aanzienlijk risico. In 2023 hebben aanvallers bijvoorbeeld remote monitoring en management (RMM) software van dienstverleners uitgebuit om LockBit ransomware te verspreiden.

De verdediging tegen aanvallen die vertrouwde software misbruiken, is bijzonder uitdagend. Dit geldt vooral wanneer deze software aanvallers de mogelijkheid geeft om eindpuntbeveiliging uit te schakelen. Het is essentieel voor kleine bedrijven en hun dienstverleners om alert te zijn op signalen dat eindpuntbeveiliging op systemen binnen hun netwerken is uitgeschakeld, aangezien dit kan wijzen op een aanval.

In 2023 zagen we meerdere gevallen waarin aanvallers kwetsbare kernel drivers van oudere software die nog steeds geldige digitale handtekeningen hadden, gebruikten, en van opzettelijk gecreëerde kwaadaardige software die frauduleus verkregen digitale handtekeningen gebruikte om detectie door beveiligingstools te ontwijken. Sophos waarschuwde Microsoft in december 2022 over de ontdekking van kwaadaardige kernel drivers met Microsoft-ondertekende certificaten. Microsoft heeft vervolgens in juli 2023 een beveiligingsadvies uitgegeven en een groot aantal certificaten van kwaadaardige drivers ingetrokken die via het WHCP-programma waren verkregen.

Deze incidenten benadrukken het belang van waakzaamheid en de noodzaak voor zowel individuen als bedrijven om up-to-date te blijven met de nieuwste beveiligingspraktijken en -tools om zichzelf te beschermen tegen deze steeds evoluerende cyberdreigingen.

Cybercriminaliteit treft individuen en organisaties in alle vormen en maten, maar kleine bedrijven zijn vaak het kwetsbaarst. Ondanks de aandacht die cyberaanvallen op grote bedrijven en overheidsinstellingen krijgen, zijn kleine en middelgrote bedrijven (mkb) disproportioneel vatbaar voor de gevolgen van deze aanvallen. Dit komt door een gebrek aan ervaren beveiligingspersoneel, onvoldoende investeringen in cybersecurity en kleinere IT-budgetten. De herstelkosten na een aanval kunnen zelfs zo hoog oplopen dat sommige kleine bedrijven genoodzaakt zijn te sluiten.

Het belang van het mkb mag echter niet onderschat worden; wereldwijd vormen zij meer dan 90% van alle bedrijven en zijn ze goed voor meer dan de helft van de werkgelegenheid. In de VS zijn ze verantwoordelijk voor meer dan 40% van de totale economische activiteit. Ransomware vormt de grootste bedreiging voor deze bedrijven, maar ook datadiefstal, het misbruik van webgebaseerde malwareverspreiding, onbeschermde apparaten, kwetsbare drivers en emailaanvallen vormen een existentiële bedreiging.

Aanbevelingen voor Bedrijven

1. Versterk de Cyberhygiëne: Kleine bedrijven moeten hun basisbeveiligingspraktijken versterken, zoals het regelmatig bijwerken van software, het gebruik van sterke, unieke wachtwoorden en het trainen van medewerkers in het herkennen van phishing-aanvallen. Het belang van bewustwording en educatie kan niet worden onderschat, aangezien veel aanvallen beginnen met een eenvoudige phishing-email.
2. Implementeer Meerlaagse Beveiliging: Het gebruik van meerlaagse beveiligingsmaatregelen, zoals firewalls, antivirusprogramma’s, en vooral multifactorauthenticatie (MFA), kan de beveiliging aanzienlijk verbeteren. MFA is cruciaal voor het beschermen van accounts, zelfs als wachtwoorden worden gecompromitteerd.
3. Maak Regelmatig Back-ups en Test Herstelprocedures: Essentieel voor elk bedrijf is het regelmatig maken van back-ups van kritieke data, die op een veilige, extern bereikbare locatie worden opgeslagen. Nog belangrijker is het testen van herstelprocedures om te verzekeren dat data effectief kan worden hersteld na een cyberaanval.

Proces

Kleine bedrijven spelen een cruciale rol in de wereldwijde economie, maar worden vaak onevenredig getroffen door cybercriminaliteit. Het verbeteren van cyberveiligheidspraktijken is geen eenmalige taak, maar een voortdurend proces van evaluatie en aanpassing aan nieuwe bedreigingen. Door proactief te handelen en de hierboven genoemde aanbevelingen op te volgen, kunnen kleine bedrijven hun weerbaarheid tegen cyberaanvallen versterken en een veiligere digitale toekomst tegemoet gaan. Het implementeren van robuuste cybersecurity maatregelen en het cultiveren van een cultuur van bewustzijn zijn essentieel om de integriteit van bedrijfsdata en -systemen te beschermen.