Gijzelsoftware die een oliepijplijn platlegt en staatshackers die spioneren: het lijkt niet zozeer op mkb-bedrijven gericht. Toch kunnen zij in de slipstream van deze professionele criminele mega-operaties als bijkomende schade ook ten onder gaan. Werner Alsemgeest, cyber security specialist bij Grant Thornton, heeft ervaring met grote internationale hacks. AHA24x7.com vroeg hem naar de trends in die hacks – en wat ertegen te doen is.
Internationale hacks
AHA24x7.com: Kunt u schetsen hoe de trend van grote hacks begon?
Alsemgeest: “Je ziet dat in juni 2017 de wereld is veranderd. Iedereen kent de grote hack, waarbij niet alleen haventerminal Maersk in Rotterdam werd platgelegd en schepen wereldwijd stopten, maar ook allerlei koeriersdiensten, banken, ziekenhuizen over de hele wereld werden getroffen. Er waren Q-parks in Nederland waar je niet meer uit kon rijden, omdat de betaalterminals versleuteld waren. Uiteindelijk had de aanval bij Maersk alleen al een impact van 300 miljoen euro door downtime en het gevolg daarvan. Het interessante is dat de aanvallers helemaal niet die bedrijven, maar Oekraïne wilden aanvallen – dat liep alleen uit de hand. Uit latere analyses bleek dat de malware werd verspreid via een update van de boekhoudsoftware van het Oekraïense bedrijf MeDoc. Aannemelijk is dat Rusland achter de aanval zat.”
“De aanvallers wilden helemaal niet Maersk, maar Oekraïne aanvallen – dat liep alleen uit de hand.”
Supply chain attacks: hele ketens raken besmet
Alsemgeest: “Het gebeurt steeds vaker dat niet een bedrijf aangevallen wordt, maar dat een derde partij of de software die het bedrijf gebruikt, aangevallen en geïnfecteerd wordt. Daar heeft het bedrijf dan last van. Een recent voorbeeld daarvan is de grote hack van Solarwinds. Door een kwaadaardige software-update zijn uiteindelijk 18.000 bedrijven besmet, waardoor ze toegankelijk waren voor hackers. Dit zijn supply chain attacks; een trend waarbij duizenden grote en kleine bedrijven geïnfecteerd worden in het kielzog van de aanval op het hoofddoel. De hackers van Solarwinds konden uiteindelijk meekijken met de hogere echelons van de Amerikaanse regering. Ook hier waren het waarschijnlijk de Russen, denken Amerikaanse top-officials.”
Professionalisering rondom ransomware
AHA24x7.com: Dus dat is spionage door staatshackers. En wat gebeurt er in de grote criminele cyberwereld?
Alsemgeest. “Een andere internationale trend is de professionalisering van cybercriminelen in ransomware, zoals DarkSide en REvil. Ze leveren ‘Ransomware as a service’ en hebben een hele helpdesk voor gebruikers van hun criminele producten. DarkSide hackte mei dit jaar de oliepijplijn in de VS en maakte 4,4 miljoen dollar in Bitcoin buit. Bij REvils bekende hack op Apple-leverancier Quanta vroegen ze 50 miljoen dollar losgeld.”
Steeds sneller hacks na security updates
Alsemgeest: “Daarnaast zie je hackers steeds sneller op kwetsbaarheden in software reageren. Zoals Hafnium – een zeer professionele, aan China gelinkte hackersgroep – dat in maart bij Exchange deed, een e-mailserver van Microsoft. Er zijn door zo’n kwetsbaarheid in één klap honderdduizenden bedrijven potentieel doelwit. Als die niet snel genoeg updaten kan iemand binnendringen, bestanden versleutelen en geld vragen. Er zijn duizenden servers gehackt, ook in Nederland. Op een dinsdagavond kwam de patch uit; toen wij woensdagochtend meteen klanten attendeerden waren sommigen al gehackt. Maar ook maanden daarna kwamen we nog hacks tegen, bij bedrijven die ook de detectie niet op orde hadden. De hackers lezen ook die security-updates. Daarin staat wat er opgelost wordt, dus weten ze meteen wat er kwetsbaar is.”
“De hackers lezen ook die security-updates. Daarin staat wat er opgelost wordt, dus weten ze meteen wat er kwetsbaar is.”
Sla 80-90 procent van de aanvallen af
AHA24x7.com: Professionele criminele organisaties, staatshacks: hoe kunnen mkb-bedrijven zich daartegen beveiligen?
Alsemgeest: “De belangrijkste regel voor bedrijven is: de basis moet op orde zijn. Daarmee sla je 80 tot 90 procent van de aanvallen af. Hackers zoeken een manier om snel geld te verdienen. Als je het moeilijk maakt om binnen te komen, gaan ze naar de volgende. Bij Solarwinds kwamen ze binnen via een oud account, zonder multifactorauthenticatie. Bij Maersk maakten de aanvallers gebruik van een bekende kwetsbaarheid in Windows, waardoor de malware zich enorm snel kon verspreiden. Op 14 maart was daar al een patch voor uitgebracht. Maersk had van maart tot juni helaas die update niet uitgevoerd. Een dure slordigheid dus. Zorg dus dat die basismaatregelen op orde zijn. Dan gaat het om zaken als netwerksegmentatie, wachtwoordhygiëne, goede detectie van afwijkend gedrag – en tijdig updaten hoort dus zeker ook bij die basis.’
Meerdere beveiligingslagen opstellen
“Met onze securitydienst Cyberhunter zetten wij naast die basis in op nog twee punten. Vertrouw niet op slechts één beveiligingslaag, maar bouw meerdere beveiligingslagen in. Die multifactorauthenticatie kan aan het einde van een inbraak ervoor zorgen dat de hacker toch voor een dichte deur komt te staan. Een derde punt is: zorg voor inzicht in de security van je leveranciers en adviseurs. Zelfs IT-partners kunnen gehackt worden. Weet dus wat gevolgen zijn als die partij geïnfecteerd wordt – en neem maatregelen. Hier geldt de uitspraak: ‘trust but verify’.”
