In een rapport van SANS Institute worden de verschillen tussen ransomware en andere cyberaanvallen belicht en bekeken hoe deze te bestrijden met behulp van een incident response plan.
SANS Institute is gespecialiseerd in cybersecuritytrainingen en -certificeringen. Uit het rapport wordt duidelijk dat er diverse manieren zijn om ransomware-aanvallers in een zo vroeg mogelijke fase van de aanval op te sporen én ervoor te zorgen dat het voor de aanvaller praktisch onmogelijk wordt om de fase van data-encryptie en systeemvergrendeling te bereiken.
De aanvallen verschillen vooral in het doel, het gaat er niet om gegevens en kennis te stelen, maar is enkel bedoeld om de gegevens af te sluiten van de gebruiker en er vervolgens losgeld voor te vragen.
Als de data versleuteld is worden krappe deadlines gesteld, die het bedrijf dwingen overhaaste beslissingen te nemen. De druk wordt verder opgevoerd doordat de aanvallers de gijzeling vrijwel direct openbaar maken en externe partners van het bedrijf zich er ook in mengen.
IT-securityteams die dit soort signalen herkennen, kunnen hun netwerken optimaal beveiligen en kwaadaardige activiteiten gemakkelijker detecteren.
Ransomware-groepen volgen doorgaans hetzelfde patroon:
- ze zoeken naar systemen met kritieke paden en compromitteren de systemen om access points op te zetten (meestal oplossingen op basis van ‘remote access’)
- daarna wordt een e-mail phishing-campagne opgezet
- als laatste stap worden bekende kwetsbaarheden geëxploiteerd
Matt Bromiley, SANS-instructeur en auteur van het rapport: “Wanneer een organisatie een ransomware-incident ontdekt, is het van het grootste belang dat ze snel handelt en de dreiging meteen wordt aangepakt. Zodra ransomware zich aandient, tikt de klok. Organisaties zouden daarom een plan van aanpak rondom Response van zes stappen moeten hebben om er in een noodsituatie op terug te kunnen vallen.”
Incident Response Plan
Hij stelt dat organisaties via dit Incident Response Plan de dreiging en de mogelijke besmetting zo vroeg mogelijk kunnen identificeren zodat snel aan het herstel van de systemen en de verloren of onbereikbare bestanden gewerkt kan worden. De aanval moet beheersbaar worden gehouden, zodat zo min mogelijk files versleuteld worden en besmette gebieden en accounts dienen direct afgesloten te worden, dat geldt ook voor externe backup systemen. Daarna zal het systeem een serie patches moet krijgen, omdat de aanvallers vaak de bekende doelen weer belagen en via een andere ingang van de zwakke plekken gebruik maken.
Over SANS Institute
SANS Institute werd in 1989 opgericht als een coöperatieve onderzoeks- en opleidingsorganisatie. SANS is vandaag wereldwijd de meest gewaardeerde en veruit grootste bron voor cybersecuritytrainingen en -certificeringen voor security professionals binnen overheden en commerciële instellingen wereldwijd. Gerenommeerde SANS-instructeurs geven meer dan 60 verschillende cursussen online en live tijdens meer dan 200 cybersecuritytrainingsevenementen.
Daarnaast ontwikkelen en onderhouden de professionals van SANS de grootste collectie onderzoeksdocumenten op het gebied van informatiebeveiliging, welke gratis toegankelijk is. SANS Institute beheert tevens ‘the Internet Storm Center’, het internationale alarmeringsysteem voor cyberdreigingen. De vele securityspecialisten die uiteenlopende wereldwijde organisaties vertegenwoordigen en die samenwerken om de infosecuritygemeenschap te helpen, vormen de kern van SANS Institute. Voor meer informatie: www.sans.org.