De REvil-bende, bestaande uit aan Rusland gelieerde hackers, heeft veel schade aangericht. De groep wordt verantwoordelijk gehouden voor een van de grootste ransomware-aanvallen tot nu toe. Deze vorm van cybercrime lijkt financieel het meest interessant. Veel getroffen organisaties blijken bereid te betalen omdat het bedrag niet in verhouding staat tot de schade die wordt veroorzaakt door het stilleggen van operationele activiteiten. Ook uit angst voor reputatieschade grijpen bedrijven eerder naar hun portemonnee.
Het betalen van het losgeld voorkomt of lost het cyberbeveiligingsprobleem niet op. Het delen van informatie over de professioneel opererende hackers en over de snelle herstart van de gekraakte IT-voorzieningen maakt ons allemaal een stuk wijzer. Dit idee ligt ten grondslag aan de verschillende cybersecurity-partnerschappen die de afgelopen jaren zijn ontstaan.
De berichtgeving rond de recente ransomware-aanval bij Kaysea in de VS suggereert dat er nu een wildgroei aan verenigingen van cyberbeveiligingsspecialisten kan ontstaan, wat een snelle en effectieve kennisdeling in gevaar dreigt te brengen. Het Algemeen Dagblad laat ons bijvoorbeeld kennismaken met de Dutch Institute for Vulnerability Disclosure (DIVD), een groep van vijftig experts die vrijwillig het internet afspeuren op zoek naar online kwetsbaarheden in organisaties.
Het effect van de ransomware-aanval door de REvil-bende was groot omdat de hack in eerste instantie gericht was op de systemen van het Amerikaanse softwarebedrijf Kaseya. Het biedt een generieke, Software as a Service (SaaS)-oplossing voor het beheer van IT-omgevingen. Wereldwijde IT-dienstverleners gebruiken deze beheerapplicatie om de managed service-contracten uit te voeren die ze hebben met voornamelijk het MKB. Hiervoor hoeven zij geen IT-specialisten in te huren. Dat maakt ze kwetsbaar. Ze zijn sterk afhankelijk van de expertise van hun externe dienstverlener en zijn afhankelijk van de kwaliteit van een veelgebruikte, generieke applicatie.
Beveiligingsexperts noemen dit soort 'hacks' 'supply chain'-aanvallen. De cybercriminelen gijzelen in één klap de gegevens van honderden bedrijven en maken ze vervolgens het slachtoffer van hun afpersingspraktijken. In Nederland zouden technisch dienstverlener Hoppenbrouwer in Udenhout zijn getroffen en VelzArt uit Waardenburg, gespecialiseerd in IT-beheer.
De vraag is hoe we gaan leren van deze ransomware-aanval. De eerder genoemde DIVD zou in een vroeg stadium het Nationaal Cyber Security Centrum hebben geïnformeerd. Volgens het redactioneel commentaar in het AD zijn de alarmerende en verstrekkende bevoegdheden van deze overheidsinstelling beperkt tot de onderdelen van de rijksoverheid en tot organisaties van vitaal belang.
Dit kan in principe ook een groot deel van de maakindustrie zijn of bijvoorbeeld partijen in de hightechsector. Bij de start van het Cyber Resilience Center Brainport in 2019 zei de projectleider dat ze het NCSC had benaderd om kennis te delen. Daar werd bekend dat ze niet over voldoende financiële middelen beschikten om het verantwoordelijkheidsgebied uit te breiden. Daarom wendde de Brainport-organisatie zich tot TNO en het ministerie van Economische Zaken en Klimaat. Met het programma 'smart industry', uitgevoerd via belangenorganisaties als Metaalunie en FME, heeft de afdeling ook raakvlakken met het thema cybersecurity.
Begin dit jaar zagen meerdere wetenschappelijk georiënteerde cybersecurity partnerships het levenslicht, namelijk het Collaboratief Platform Cybersecurity Kennis en Innovatie als opvolger van het dCypher (Nationale Cyber Security Onderwijsagenda) platform en het Twente University Centre for Cybersecurity Research (TUCCR). Drie jaar geleden richtten Cisco, KPN en McAfee de Cyber Central Foundation op, een club die puur gericht was op kennisdeling. De oprichtingsceremonie vond plaats in de voormalige machinehal op de RDM-campus in Rotterdam, waar ook de IoT Academy en het Industrial Internet Consortium gevestigd zijn. In mei van dit jaar verscheen de Dutch IT Cybersecurity Assembly op het toneel, een initiatief van publiciteitsplatform IT Channel en Datto.
'Er moet een Outbreak Management Team komen tegen digitale virussen'
De verschillende aankondigingen van samenwerkingsinitiatieven passen niet bij het huidige gebrek aan gezamenlijke slagkracht op het gebied van cybersecurity. Hiervoor is een landelijke organisatie nodig die non-profit bedrijven en instellingen in alle sectoren een preventiekader biedt; handleiding voor noodgevallen; kennisbank en actueel advies: een Outbreak Management Team (OMT) tegen digitale virussen. Misschien moet het volgende kabinet hiervoor een aparte minister aanstellen, ondersteund door een machtig ministerie waar alle informatie over cybercrime en preventie samenvloeit.
Beveiligingsspecialist WatchGuard Technologies waarschuwt in de nieuwste editie van het Internet Security Report voor een toename van Zeroday-malware die in maart van dit jaar de op Microsoft Exchange gebaseerde mailservers plaagde. Het rapport brengt de dreigingen in kaart en geeft praktische instructies voor het inrichten van IT-beveiliging.
In het eerste kwartaal van dit jaar valt vooral de opkomst van zogenaamde fileless malware op. De XMJSLoader-variant werd het vaakst gedetecteerd na inspectie van ogenschijnlijk veilige HTTPS-adressen. Dit type malware heeft geen interactie met een potentieel slachtoffer en blijft dus verborgen. WatchGuard signaleert ook de introductie van ransomware, gehuisvest in een pdf-bijlage. De ransomware wordt geladen via een zipbestand, verzonden als e-mailbijlage of als download van een website. Voor het slachtoffer ziet het er erg betrouwbaar uit. Volgens de samenstellers van het rapport is het belangrijk om medewerkers goed te trainen in het herkennen van kwaadaardige aanpassingen zoals het vervangen van punten door komma's en valse iconen.
Aanvallen op IoT-apparaten met onder meer de malwarevariant voor Linux blijven zorgen baren. WatchGuard vond dit onder meer op servers waar WordPress actief was en waar de malware als EFL-bestand werd ingeladen. In het eerste kwartaal van dit jaar werden meer dan 4 miljoen netwerkaanvallen geregistreerd. Ondanks de toename van thuiswerken lijken IT-voorzieningen binnen bedrijven nog steeds het grootste doelwit, waaronder de Exchange mailservers die niet zijn voorzien van de meest recente 'patches'. WatchGuard concludeert dat traditionele anti-malwareoplossingen niet langer voldoende zijn. Een beveiligingsstrategie gebaseerd op meerdere lagen biedt meer soelaas. Door proactief te reageren op dreigingen met behulp van machine learning en gedragsanalyse, kan een organisatie cybercriminelen op afstand houden.
Blijf op de hoogte van het laatste IA-nieuws en ontvang elke twee weken een e-mail.
Deze editie bevat: 'Promoting technology', 'Shifting poles' en 'ATEX, alles duidelijk?'
Bent u nog niet bekend met Automatie | PMA? Vraag hier uw proefabonnement aan en ontvang 2 gratis proefnummers.
© 2021 Automatisering | PMA. Alle rechten voorbehouden.