Cyberdreigingen komen ongeveer wekelijks voor in de nieuwskoppen. Zoals begin september toen bleek dat door het niet installeren van patches voor zakelijke VPN-software van Fortinet en Pulse Secure, interne netwerken van tientallen Nederlandse organisaties maandenlang open hebben gestaan voor hackers. Eerder vormde een kwetsbaarheid in het Remote Desktop Protocol (RDP) in Windows ook een dreiging waar criminelen gretig gebruik van hebben gemaakt. Zo werd al diverse keren ransomware ontwikkeld die zich heeft verspreid via niet-gepatchte systemen met een RDP-lek.
Het niet of te laat installeren van patches vormt een groot cyberrisico. Volgens schattingen van Sophos worden er dit jaar 18.500 kwetsbaarheden in software ontdekt. In 2018 waren dat er ongeveer 16.500. Criminelen zijn er doorgaans als de kippen bij om exploits te bouwen die van een kwetsbaarheid in bepaald software misbruik maakt. Geschat wordt dat er dagelijks 500.000 nieuwe malware-exemplaren verschijnen. Opvallend is overigens wel dat een steeds groter deel daarvan maar eenmalig wordt gebruikt. Dat zou erop kunnen duiden dat malware heel gericht voor een bepaald doelwit wordt ontwikkeld.
Het aantal keren dat er ransomware is aangetroffen, is met 365 procent gestegen
Net als veel bedrijven, zijn cybercriminelen zelf ook gek op de cloud. Ze hoeven nu geen virussen meer te ontwikkelen, want ze proberen gewoon in te breken op de clouddiensten. En als een inbraakpoging slaagt, zijn er vaak ook meer slachtoffers of gedupeerden dan bij een ‘ouderwetse’ virusuitbraak.
Omgaan met ransomware
Er is dus veel malware in omloop, maar de meeste voorkomende is zeker ransomware. Een trend die niemand zal zijn ontgaan. Er zijn tientallen varianten gijzelsoftware, waaronder Coinvault, GantCrab, Teslacrypt, Locky, Petya en uiteraard NotPetya om er maar een paar te noemen. Sommige criminelen maken ransomware voor eigen gebruik, anderen bieden de software op het dark web aan andere criminelen aan, zegt Marijn Schuurbiers van het Team High Tech Crime van de politie. “Ze hoeven alleen nog maar te zorgen voor de verspreiding, bijvoorbeeld door ze naar een spamlijst te mailen en zo willekeurige pc’s te infecteren.” Er bestaat een zeer omvangrijke handel in allerlei hulpmiddelen voor het plegen van cybercrime, constateert de politie.
Mede omdat het verspreiden van ransomware zo makkelijk is geworden, lopen de meldingen over ransomware de spuigaten uit, als we de securityfabrikanten mogen geloven. Malwarebytes publiceerde in augustus van dit jaar een onderzoek waaruit blijkt dat tussen het tweede kwartaal van 2018 en het tweede kwartaal van 2019 het aantal keren dat er ransomware is aangetroffen met 365 procent is gestegen. Criminelen zouden het daarbij vooral gemunt hebben op bedrijven in plaats van consumenten, omdat er bij bedrijven meer geld te halen is.
Verzekeraars houden het in stand
Het probleem met ransomware wordt onder meer in stand gehouden door slachtoffers die bereid zijn het losgeld te betalen en zo de criminelen gemakkelijk geld laten verdienen met hun malware. In de VS zijn dit jaar diverse gemeenten het slachtoffer geworden van ransomware. Daarbij werden echt flinke sommen geld (van vele honderdduizenden dollars) betaald. Volgens Amerikaanse media is het onder meer te danken aan cyberverzekeringsmaatschappijen dat er losgeld is betaald. De verzekeraar berekende wat het zou kosten om de schade te betalen, in plaats van het losgeld. De laatste optie was goedkoper en dus werd de gemeente geadviseerd om de gijzeling bij de criminelen af te kopen en het losgeld te betalen.
Het advies van cyberexperts is doorgaans om nooit losgeld te betalen, maar in de praktijk blijkt dat ongeveer één op de drie ransomware-slachtoffers toch betaalt. En in het laatste voorbeeld was het dus vooral een keuze van de verzekeraar.
Phishing en CEO-fraude
Naast ransomware is phishing een van de meest gebruikte methoden door criminelen om persoonsgegevens te stelen of om toegang te krijgen tot e-mail- of socialemedia-accounts. Phishing is meer een middel dan een doel. Vaak proberen criminelen met gegevens die via phishing of social engineering zijn verkregen, partijen op te lichten of informatie buit te maken. Phishing hangt daarom sterk samen met CEO-fraude en het kapen van (e-mail)accounts, ook wel Business Email Compromises (BEC’s) genoemd.
Volgens schattingen worden er dit jaar 18.500 kwetsbaarheden in software ontdekt
Het versturen van een betalingsverzoek aan de directeur of financieel directeur vanaf een intern mailadres, wordt nog geregeld met succes toegepast. In 2018 werd onder andere bioscoopketen Pathé het slachtoffer van dergelijke CEO-fraude. Fraudeurs deden zich via een nep-mailadres voor als bestuurder van het Franse hoofdkantoor van Pathé en vroegen verschillende malen om geld dat bestemd zou zijn voor een bepaalde investering in Dubai. In totaal werd er zo ruim 19 miljoen euro overgemaakt. Dit incident heeft er uiteindelijk toe geleid dat een deel van het bestuur het veld moest ruimen.
En zo zijn er nog veel praktijkvoorbeelden waarbij criminelen op listige manieren geld naar zichzelf weten over te maken, maar veel van die incidenten blijven onder de pet. Deze vormen van fraude tonen in ieder geval aan dat goede identificatie en authenticatie noodzakelijk is. Eenvoudige wachtwoorden die bovendien voor meerdere verschillende diensten worden gebruikt, zijn een serieus risico voor organisaties en individuen.
Internet of Things
Ook het toenemend aantal apparaten dat verbonden is met internet stelt IT-beveiligers voor de nodige uitdagingen. IT-beveiliging kan heel snel onoverzichtelijk worden door het gebruik van hybride cloudomgevingen en een groot aantal (al dan niet slecht beveiligde) apparaten. Juist de hoeveelheid aan verschillende besturingssystemen zorgt voor beveiligingsrisico’s en gebrek aan overzicht. Als IT-beveiliger moet je weten welke besturingssystemen je toelaat op je netwerk.
Gelukkig heeft internet ook veel moois te bieden. Veel innovaties zijn alleen mogelijk dankzij internet. Bovendien bieden de bedreigingen volop kansen voor leveranciers van beveiligingsproducten en resellers om de wereld een beetje veiliger te maken. Klanten adviseren en helpen bij het implementeren van goede cybersecurity, medewerkers bewuster maken van de risico’s en klanten helpen bij het oplossen van een cyberincident, is waar securitychannelpartners zich waar kunnen maken.
[Dit artikel is eerder gepubliceerd in het Security Dossier 2019]