Criminelen bereiden een cyberaanval grondig voor. Als MSSP moet je de verschillende fasen kennen om adequaat in te kunnen spelen op de dreigingen.
Wie zich niet goed voelt gaat naar de dokter en hoopt op een behandeling of medicijn. Maar daarnaast stellen mensen hun arts vaak de vraag hoe de ziekte of kwetsuur precies ontstond. Waren er al eerder signalen? Had er ingegrepen kunnen worden voor een bepaalde infectie zich in volle omvang manifesteerde? Zo is het bij cyberaanvallen ook. Tegen de tijd dat systemen zijn geblokkeerd en losgeld in het kader van een ransomware-aanval wordt geëist, zijn de criminelen soms al maanden actief in het netwerk. De succesvolle cyberaanval volgt bijna altijd dezelfde stappen. ChannelConnect zet de acht fasen op een rij.
1. Verkenning
Allereerst gaan hackers op jacht naar potentiële doelwitten. Dit kunnen zowel bedrijven als personen zijn. Het kan hen bijvoorbeeld gaan om geld, toegang tot gevoelige informatie, het zorgen voor imagoschade, etc. Vervolgens gedragen ze zich als detectives en verzamelen informatie om hun doelwit echt te begrijpen. Dat gaat van het onderzoeken van e-maillijsten tot open source-informatie, van pogingen data uit gelekte wachtwoordbestanden te matchen aan medewerkers, tot het scannen van vacatureteksten.
De inzet van de criminelen is om het netwerk van het slachtoffer nóg beter te kennen dan de mensen die het beheren en onderhouden. Ze checken daartoe of er zwakke punten zijn. Eigenlijk is de verkenningsfase de belangrijkste. Niet alleen omdat die tot de beslissing leidt de cyberaanval daadwerkelijk uit te voeren, maar ook omdat er veel tijd mee bemoeid is. Soms zijn aanvallers er maanden mee bezig.
2. Kiezen voor aanvalstype en bewapening
Nadat criminelen een goed beeld van de kwetsbaarheden bij hun target hebben (en daarbij beslist geen ventilatoren, buitenthermostaten, bewakingscamera’s en -andere endpoints overslaan) bepalen de aanvallers welke aanvalsstrategie het meest geschikt is om een bres te slaan in het netwerk. Spoofing door een vervalst gastennetwerk? Een nepmailtje van de snackbar om de hoek die elke week de vrijdagmiddagborrel brengt? Het standaard admin-wachtwoord van de airco manipuleren?
In veel gevallen is er maar één gebruiker nodig om een slechte link te openen of kwaadaardige malware te downloaden en te installeren.
3. Het bruggenhoofd
Deze fase van de levenscyclus van een cyberaanval komt in beeld zodra de exploit in het netwerk, de code of het systeem is geïmplementeerd. En vooral: niet direct worden ontdekt en afgeslagen. Het biedt ruimte een bruggenhoofd te bouwen van waaruit de vijand wapens in stelling kan brengen om volgende stappen te ondernemen. Klinkt dat als oorlogstaal? Zeker. De vijand heeft voet aan de grond gekregen, maar zou, bij ontdekking nog heel eenvoudig te weren zijn.
4. Omsingeling
De volgende fase is ingewikkeld. Om bij de vergelijking met een oorlog te blijven: de jonge rekruten willen nu meteen uit de startblokken, maar het is veel verstandiger het slachtoffer langzaam te omsingelen. Het primaire doel van deze fase is niet om toegang te krijgen tot de gewenste gegevens, maar om een veilige verbinding met het thuisnetwerk van de criminele organisatie op te bouwen. De aanvoerlijnen moeten betrouwbaar zijn, zonder op te vallen. Zo kunnen de criminelen communiceren en data overdragen tussen de geïnfecteerde omgeving en de eigen infrastructuur. Het is in deze fase voor een aanvaller de uitdaging om dit verkeer er te laten uitzien als ‘normaal’ webverkeer. Dat is vooral ook essentieel om langdurig onopgemerkt te blijven in het systeem.
5. Laterale beweging
De laterale fase verwijst naar de verschillende technieken die aanvallers gebruiken om zich te verplaatsen en verspreiden binnen een netwerk. In de meeste gevallen proberen aanvallers zich te verplaatsen van het ene systeem naar een ander systeem, en toegangsrechten te verkrijgen om bij de meest waardevolle gegevens van een netwerk te komen. Wanneer zij worden ontdekt op één van de systemen, hebben zij nog de mogelijkheid om vanuit een nieuwe positie de cyberaanval voort te zetten.
6. Commando en controle
Ook dit klinkt als een legeroefening, maar het geeft wel in essentie de zesde fase van de aanval aan. De tegenstanders hebben nu het bevel aan elke kant van de bestaande verbinding en voeren hun aanvalsplannen uit. Ze hebben de controle over het netwerk, het systeem of de applicatie(s) van hun beoogde slachtoffer. De aanvallers beginnen het proces van het extraheren van de persoonlijke informatie of gevoelige gegevens en verzamelen die aan hun kant. Die gevoelige gegevens verschillen per gekozen target. Bij de zorg zal het dan bijvoorbeeld gaan om data uit het Elektronisch patiëntendossier (EPD)
Dit extraheren gebeurt vaak onder de neus van de gebruikers. Aanvallers gebruiken namelijk dezelfde toepassingen en protocollen als zij. Zo vallen ze nauwelijks op.
7. De ‘bonus’
Wanneer de data zijn ontvreemd, kan de aanvaller ook nog eens besluiten om ransomware toe te passen. Als men beide acties op het slachtoffer loslaat, dan spreken we over ‘double extortion’.
8. De oogstfase
Uiteindelijk hebben de aanvallers hun doel bereikt. Soms worden hun activiteiten pas veel later ontdekt, maar het laatste jaar maken aanvallers zich juist bekend, of ondernemen een opvallende actie zoals het blokkeren van een website. Dit om losgeld te eisen voor de vrijgave van gegijzelde data, of deblokkade van het systeem.
Het juiste wapen voor elke aanvalsfase
Op elk niveau van de aanvalscyclus kan een MSSP een rol spelen bij het weren, ontdekken of neutraliseren van een aanval. In deze editie van ChannelConnect komt een groot aantal van die technieken aan de orde van endpointbeveiliging (bijvoorbeeld antivirus), via firewalls tot 2FA en de wachtwoordloze toegang die FIDO mogelijk maakt. Het is voor iedere dienstverlener van belang te weten welke verdediging bij welke aanvalslinie past, om eindklanten maximaal te beveiligen.