Actueel

12 februari 2020

Phishing en de (markt)prijs van ransomware

De Universiteit Maastricht werd rond de kerst getroffen door een grootschalige ransomware-aanval, waarbij een aanzienlijk deel van de systemen werd platgelegd. Die aanval begon met een eenvoudige phishing e-mail. Nu begin februari naar buiten is gekomen dat er bijna 200.000 euro betaald werd om weer over de eigen gegevens te kunnen beschikken, heeft de politie opnieuw een algemene maar zeer eenduidige waarschuwing afgegeven: ‘niet betalen’.

Lees deze blog en ontdek wat je kan doen om jouw organisatie en medewerkers weerbaar te maken tegen phishing en de verspreiding van ransomware.

Leestijd: 3 minuten

Ransomware Universiteit Maastricht

De computersystemen van de Universiteit Maastricht zijn op 23 december getroffen door ransomware met de naam Clop. “De gijzelsoftware zorgde ervoor dat zowel de medewerkers als de studenten geen toegang meer hadden tot hun wetenschappelijke gegevens”, zo liet teamleider Metten Bergmeijer van het Limburgse cybercrimeteam optekenen. De Universiteit deed enkele dagen later – op tweede kerstdag – aangifte, en voor de zekerheid werden ook de nog functionerende systemen offline gehaald. Medewerkers en studenten hadden zodoende geen enkele toegang meer – niet tot hun mail, maar ook niet tot hun roosters en opgeslagen bestanden.

“Het heeft er alle schijn van dat de aanval in de kerstperiode zorgvuldig gepland was”, zegt Bergmeijer. “Mede daardoor werd het laat ontdekt en kon het zo groot worden. We hebben hele korte lijnen met het Team High Tech Crime (THTC) van de Landelijke Eenheid en konden een beroep doen op hun expertise. Zij hebben ons toen direct ondersteund met het opnemen van de aangifte en het veiligstellen van een aantal sporen.”

Phishing: aanvalsstrategie nummer 1

Inmiddels weten we dat de Universiteit 197.000 euro betaald heeft om de versleutelde servers uit handen van Russische hackers terug te krijgen. Maar ook dat het incident al in oktober begon, met één gevaarlijk mailtje. Op 15 oktober klikte een medewerker van de universiteit op een geïnfecteerde link in een phishing bericht, en zette zo onbedoeld de deur open voor een zeer effectieve cyberaanval. Bergmeijer: “Bij dit soort meer ingewikkelde ransomware-zaken zie je dat daders eerst een systeem infecteren en dan rustig gaan meekijken op het netwerk. Zo bepalen ze waar ze het beste hun slag kunnen slaan.”

In deze situatie betekende dat het geleidelijk kapen van de servers, waarna er bovendien op één ervan de antivirussoftware werd uitgeschakeld. Beveiligingsupdates waren beperkt – of helemaal niet – geïnstalleerd, en backups waren niet offline opgeslagen, waardoor er hard toegeslagen kon worden en maar liefst 267 servers werden overgenomen.

LEES OOK: PHISHING VIA LINKEDIN – 5 TIPS OM FAKE ACCOUNTS TE SPOTTEN

Over de uiteindelijke keuze om zich over te geven en voor betaling te kiezen, zei vicevoorzitter van het universiteitsbestuur Nick Bos in een reactie aan AD: “We zijn niet over één nacht ijs gegaan. Als bestuurder gruw je van die gedachte, maar het was een afweging tussen de ene kant het principe om criminelen niet te betalen, en aan de andere kant het belang van de continuïteit van het onderwijs, het onderzoek, onze universiteit.”

Politie: ‘niet betalen’

Dat dilemma is ook de politie niet ontgaan. “Wij hebben van meet af aan laten weten op het standpunt te staan niet te betalen”, zegt Bergmeijer. “Maar we respecteren en begrijpen ook wel weer de keuze van de universiteit.”

Ook teamleider Marijn Schuurbiers van Team High Tech Crime raadt slachtoffers af om hackers te betalen. “We begrijpen natuurlijk wel dat dit een enorm dilemma kan zijn, wanneer – zoals in Maastricht – alles stilligt of wanneer je als bedrijf een enorm verlies lijdt. Aan de andere kant houdt zo’n betaling het verdienmodel van deze cybercriminelen in stand. We zien in concrete onderzoeken dat het betaalde geld deels gebruikt wordt om weer nieuwe aanvallen op te zetten.”

“Daarnaast geeft betalen geen garanties dat daarmee de problemen verholpen zijn. Collectief en structureel niet betalen kan een belangrijke oplossing zijn om dit verdienmodel in Nederland minder aantrekkelijk te maken.”

De marktprijs van ransomware

In de wereld van phishing en ransomware zien we helaas meerdere gevallen van het succesvol overnemen van de IT-systemen en het gijzelen van waardevolle gegevens voor losgeld. Google even op ‘CEO-fraude’ of ‘BEC’ (Business E-mail Compromise) en klik ‘nieuws’ voor de laatste voorbeelden. CEO- en digitale factuurfraude heeft bedrijven in Nederland de afgelopen jaren al zo’n 64 miljoen euro gekost, becijferde de politie. Er is dus wel degelijk een verdienmodel, wat inderdaad in stand gehouden wordt door betalingen.

Als gevolg daarvan zijn aanvallers slimmer en beter gefinancierd geworden, en dat is te zien aan hun inspanningen. Kwaadaardige software kan op grotere schaal worden ingezet, waarbij de aanvallen worden ingezet op een breed scala aan potentiële slachtoffers. Pas als er ergens een eerste digitale deur is geopend, wordt de aanval geconcentreerder en doelgerichter.

Een tweede gevolg is dat de marktprijs van ransomware in een aantal gevallen ook specifieker is geworden. Voorheen waren losgeldeisen veelal generiek, bijvoorbeeld 1 bitcoin om weer toegang te krijgen tot je hardware of data. Maar tegenwoordig zien we ook dat er bedragen geëist worden op basis van de kenmerken van de hack, zoals de getroffen organisatie of de mate van succes van de aanval. In Maastricht leverde die ‘berekening’ een serieus bedrag op: 197.000 euro.

Een andere reden tot zorg is het feit dat verzekeraars inmiddels aanbieden om die eventuele schade te dekken wanneer je slachtoffer wordt van ransomware – wat haaks staat op de boodschap ‘niet betalen’. Immers, iedere betaling is een aanmoediging voor cybercriminelen om hun aanvallen te blijven lanceren. Een onverstandige business case van verzekeringsmaatschappijen, nog los van eventuele nadelige effecten op gedrag als gevolg van die voorziene verzekeringsdekking, want preventie wordt simpelweg minder noodzakelijk.

Training: phishing en weerbaarheid

Phishing via e-mail blijft een favoriete strategie van cybercriminelen, ook voor aanvallen met ransomware. Deze pogingen worden bovendien steeds geavanceerder, want de e-mails worden niet alleen in grote aantallen naar potentiële slachtoffers gestuurd, maar ook steeds vaker op maat gemaakt op basis van via social engineering verkregen informatie.

Wil je beter inzicht in het klikgedrag van jouw medewerkers, maar ook een concrete aanpak om ze weerbaar te maken tegen deze reële dreigingen? De aanpak van Awareways gaat veel verder dan monitoring alleen, want onze expertise is gedragsverandering, dus dat moment van wel of niet klikken is voor ons pas de start. We beschikken over eigen phishing simulatiesoftware die medewerkers doorlopend en proactief traint; kijk snel op awareways.com/phishing.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.