De kans om je doelwit te raken neemt enorm toe wanneer je er op mikt.

Zorgen, waarschuwing & advies omtrent de toename van “gerichte” ransomware-aanvallen op Amerikaanse steden.

Zorgen

Cybercriminelen staan bekend om hun opportunisme. Dankzij het internet is het mogelijk om meerdere slachtoffers te maken met één en dezelfde aanpak. Deze vorm van geautomatiseerde criminaliteit zorgt voor veel problemen, zeker in combinatie met ransomware. Echter hebben de afgelopen maanden in de VS bewezen dat problemen aanzienlijk groter worden als de aanvaller kiest voor een íets gerichtere aanpak.

Ik maak me zorgen dat we in Nederland soortgelijke aanvallen zullen gaan zien. Ik kijk uit naar de concretisering van GGI-Veilig waarbij we hopelijk de weerbaarheid van Nederlandse gemeenten snel op een hoger niveau krijgen. Toch vind ik de gebeurtenissen aanleiding om een waarschuwing uit te brengen naar Nederlandse gemeenten om extra op hun hoede te zijn.

“Ik maak me zorgen dat we in Nederland soortgelijke aanvallen zullen gaan zien, hier moeten we ons op voorbereiden”

Waarschuwing

Meerdere Amerikaanse steden zijn afgelopen maanden besmet met ransomware. Het lijkt vrij klassiek te gaan om kwaadaardige emailbijlagen. Echter ontvangen gemeenten deze wel vaker, dus waarom is dit nu juist zo succesvol? Het lijkt hier dan ook te gaan om gerichtere aanvallen op steden en lokale overheden. Hoe gericht de aanvallers te werk gaan is moeilijk te zeggen. Eén ding is in ieder geval zeker: de aanvallers zijn succesvol. Er is reeds ruim $1 miljoen losgeld betaald in bitcoin door twee steden in Florida.

Er zouden verschillende redenen kunnen zijn waarom Amerikaanse steden juist doelwit zijn. Het zou ook nog kunnen dat vanwege de transparantie die zij moeten nastreven, deze incidenten bovengemiddeld in de media komen. Deze incidenten geven de kwetsbaarheid weer van deze specifieke doelgroep als het aankomt op informatiebeveiliging. Wat als in Nederland op dezelfde schaal gemeenten zouden worden aangevallen?

Op het moment dat deze trend zich doorzet naar Nederland zijn vergelijkbare problemen hier niet ondenkbaar. Als aanvallers enigszins gericht te werk gaan door het gebruik van spearphishing-methoden, handmatige verkenning van het netwerk en misbruik maken van reeds uitgelekte gegevens kan ook in Nederland de schade groot zijn.

 “Als aanvallers enigszins gericht te werk gaan door het gebruik van spearphishing-methoden, handmatige verkenning van het netwerk en misbruik maken van reeds uitgelekte gegevens kan ook in Nederland de schade groot zijn.”

Advies

Het is niet te voorkomen dat medewerkers bijlagen openen. Sterker nog, dit is hun werk. Het is dan ook verstandig nu te investeren in het herzien van het Incident Response Plan. Een goede reactie op een ransomware-aanval is minstens zo belangrijk als effectieve verdediging ertegen. Bij het ontbreken van een gedegen Incident Response Plan kan de schade van een redelijk onschuldig incident enorm oplopen.

Daarnaast is het belangrijk om verder te gaan dan awareness. Moedig medewerkers aan om phishing-mails niet alleen te herkennen, maar vooral ook te rapporteren. Volgens onderzoek van Omroep Gelderland “trappen” 4 op de 10 ambtenaren in phishing-mails. Het is dan ook erg belangrijk om hier een duidelijk proces voor te hebben die centraal gedeeld en proactief gecommuniceerd wordt. Het hebben van een duidelijk en effectief rapportageproces van phishing en andere beveiligingsincidenten is vandaag de dag één van de belangrijkste beveiligingsmaatregelen. Maak medewerkers je sterkste schakel en laat hen acteren als belangrijke sensor.

“Het hebben van een duidelijk en effectief rapportageproces van phishing en andere beveiligingsincidenten is vandaag de dag één van de belangrijkste beveiligingsmaatregelen . Maak medewerkers je sterkste schakel en laat hen acteren als belangrijke sensor.”

Om incidenten effectief af te handelen is het oefenen hiervan cruciaal. Oefen het gehele proces van delen van het plan tot het melden van incidenten tot aan het afhandelen van de impact en communicatie hiervan. Niet alleen zorgt dit voor enorme voorsprong indien het geval van een echt incident, het nabootsen van een ransomware-aanval is ook bewustzijnsverhogend voor alle medewerkers.

Tot slot is het belangrijk om aan te geven dat preventie nog steeds werkt. In dit artikel is met name gefocust wanneer een incident zich voordoet. Op het gebied van preventieve en detectieve maatregelen zijn de volgende punten aanbevolen:

  1. Herzie het incident response plan (indien nog niet aanwezig, vind gratis templates hier).
  2. Implementeer een duidelijk proces voor het melden van phishing-mails en (potentiële) beveiligingsincidenten. Train je medewerkers hierin.
  3. Simuleer en oefen een ransomware-aanval
  4. Configureer 2FA (tweefactorauthenticatie) op alle inlogportalen en systemen (zoals Office 365!)
  5. Configureer anti-malwareoplossingen via best-practices beschikbaar van de leverancier op het gebied van ransomware (voor ESET-klanten zie hier).
  6. Herzie de rechtenstructuur binnen de organisatie
  7. Netwerksegmentatie
  8. Zet logging aan waar mogelijk
  9. Monitor systemen zodat een besmetting buiten kantoortijden ook kan worden gedetecteerd.
  10. Investeer in de basis (solide wachtwoord-, update- en patch-managementbeleid.

Kortom, maak een plan, prioriteer de te nemen acties, implementeer preventieve maatregelen en oefen regelmatig. Ofwel: denk aan de 4 P’s (Plan, Prioritize, Prevent, Practice).

Met de komst van GGI-Veilig en de aandacht voor informatiebeveiliging is de weerbaarheid van Nederlandse gemeenten wellicht op een hoger niveau dan van internationale collega's. Toch moeten de gebeurtenissen in de VS absoluut gezien worden als een wake-up call voor alle Nederlandse gemeenten.

Stay safe!