Cybercriminelen hebben het afgelopen jaar hard hun best gedaan om op grote schaal te profiteren van de coronacrisis. De snelle overstap op thuiswerken bood hen volop kansen om aanvallen uit te voeren op werknemers die verbinding maakten met bedrijfsnetwerken via minder goed beveiligde apparaten en thuisnetwerken. Vaak maakten ze voor hun aanvallen gebruik van ransomware. Maar er is een manier om cybercriminelen een hak te zetten: met de inzet van cyber deception-technologie. Vincent Zeebregts van Fortinet geeft tekst en uitleg.
Ransomware-aanvallen beginnen zonder uitzondering met social engineering. Cybercriminelen maken gebruik van phishing- en spear phishing-technieken om eindgebruikers zover te krijgen cruciale informatie prijs te geven. Dat kan gaan om wachtwoorden, maar ook om rekeninggegevens en persoonsgegevens. Hackers maken misbruik van de coronacrisis en andere gebeurtenissen, zoals verkiezingen en of de trend om nu zo snel mogelijk een vakantie te boeken.
Ze combineren social engineering inmiddels met hackingtechnieken en de verspreiding van malware. Hierdoor worden hun aanvallen steeds geniepiger. Het gebruik van social engineering-technieken om thuiswerkers om de tuin te leiden resulteerde in een flinke toename van het aantal ransomware-aanvallen. In de tweede helft van 2020 was er zelfs sprake van een zevenvoudige groei. Zowel kleine bedrijven als multinationals maakten melding van ransomware-aanvallen, en alles wijst erop dat deze trend zal aanhouden.
Ransomware-aanvallen tegengaan met misleiding
Vincent Zeebregts
Hoe kun je je organisatie beveiligen tegenransomware-aanvallen? Door up-to-date back-ups van belangrijke bestanden op te slaan op een veilige locatie buiten het netwerk. En door alle apparaten die toegang tot het netwerk zoeken te scannen op malware. Maar dat is nog maar het begin. Het is ook belangrijk om inzicht te verwerven in de werking van ransomware. Want zodra je weet wat er tijdens een aanval gebeurt, kun je de technieken van cybercriminelen tegen hen gebruiken.
Ransomware maakt gebruik van geavanceerde technieken om bedrijfsnetwerken binnen te dringen en endpoints te infecteren. Maar wat zou er gebeuren als je de ransomware op subtiele wijze omleidt, zodat die alleen nepbestanden versleutelt die je opzettelijk hebt aangemaakt als lokmiddel voor cybercriminelen? Als hackers proberen om deze valse bestanden te versleutelen, wordt er automatisch een melding getriggerd. Daarmee geven hackers hun aanwezigheid prijs voordat ze schade kunnen aanrichten. Daartoe kun je gebruikmaken van speciale cyber deception-technologie oftewel misleidingtechnologie.
Lok cybercriminelen naar een pseudonetwerk
Met cyber deception-technologie kun je snel een pseudonetwerk in het leven roepen dat als lokaas dient. Het dataverkeer en de IT-bronnen daarbinnen zijn niet te onderscheiden van die van echte netwerken. Dit pseudonetwerk wordt naadloos geïntegreerd met de bestaande IT-/OT-infrastructuur om aanvallers te misleiden en zichzelf te laten verraden. Hiervoor is het niet nodig om agents op endpoints te installeren, netwerkwijzigingen door te voeren of gebruik te maken van signatures of een anomaly engine voor de detectie van afwijkend gedrag. Maar hoe kan cyber deception-technologie ransomware nu precies detecteren en de kop indrukken? Het antwoord is simpel: door het encryptieproces van ransomware tegen zichzelf gebruiken.
Het encryptieproces van ransomware wordt tegen zichzelf gebruikt
Misleiding als wapen tegen ransomware-aanvallen
Cyber deception-oplossingen maken eerst een valse gedeelde netwerkmap aan op alle endpoints en servers binnen je netwerk. Deze valse netwerkmap bevat nepbestanden die ten doel hebben om de activiteiten van hackers en/of ransomware te signaleren. De map blijft verborgen voor eindgebruikers, zodat die geen onterechte meldingen genereren door per ongeluk ergens op te klikken.
Maak gebruik van de processen van ransomware
Elke tool voor cyber deception die zijn naam waardig is biedt volledige integratie met security-oplossingen van andere leveranciers, zoals je firewall, network access control (FortiNAC)-systeem en antivirusoplossing. Op die manier kan alle gedetecteerde kwaadaardige activiteit snel de kop worden ingedrukt.
Zodra ransomware een endpoint heeft besmet en begint met het versleutelen van lokale en netwerkmappen zal de valse fileserver dat meteen detecteren, het encryptieproces vertragen en je bestaande securitytools gebruiken om automatisch schade te voorkomen of in te perken. Tegelijkertijd wordt het besmette endpoint in quarantaine gezet om de rest van het netwerk veilig te houden. Cyber deception-technologie gebruikt de processen van ransomware dus tegen zichzelf om die te kunnen detecteren. En belangrijker nog: de technologie laat goed zien welke technieken cybercriminelen gebruiken om het netwerk binnen te dringen, zoals het gebruik van zwakke of gestolen wachtwoorden. Of juist kwetsbaarheden binnen endpoints en servers. Op die manier kunnen alle beveiligingslekken worden gedicht.
Misleiding als onderdeel van een uitgebreid beveiligingsnetwerk
Fortinet ziet een grote rol voor cyber deception-technologie, en we zijn ervan overtuigd dat deze methode steeds vaker geïntegreerd zal worden met next-generation firewalls, NAC-oplossingen, SIEM-systemen en sandbox-, SOAR- en EDR-oplossingen. Dit is nodig om automatisch tegenmaatregelen te treffen als er ransomware wordt gedetecteerd. Organisaties die cyber deception-technologie combineren met een uitgebreid security-framework van Fortinet kunnen ransomware-aanvallen detecteren en daarop direct reageren. Zo helpt Fortinet met een integrale beveiliging bij het veilig houden van de netwerkomgeving, vóórdat cybercriminelen de kans krijgen om hun plannen uit te voeren.
[Dit artikel is eerder gepubliceerd in ChannelConnect 4 – 2021]
