Wereldwijde Ransomware golf eist slachtoffer van Amerikaanse oliepijplijn

De ransomware-plaag die de wereld teistert, heeft dit weekend weer een bekend slachtoffer geëist: Cyberaanvallers legden de Amerikaanse Colonial Pipeline plat, die volgens het bedrijf dagelijks 2,5 miljoen vaten diesel, benzine en vliegtuigbrandstof van Texas naar New Jersey vervoert - ruwweg 105 miljoen gallon die vervolgens over de hele oostkust wordt verspreid en 45% van de brandstof voor het gebied levert.

Op zondag reageerden overheidsinstanties en de energie-industrie als een gek: Het U.S. Department of Transportation gaf een tijdelijke vrijstelling waardoor vrachtwagenchauffeurs die deze producten naar de Oostkust transporteren hun opgelegde "Uur of Service"-beperkingen mochten overschrijden. [1] Ondertussen maakten de grondstoffenmarkten zich op voor mogelijke prijsvolatiliteit van aardolieproducten als gevolg van de ransomware-aanval. In gepubliceerde rapporten wordt opgemerkt dat, ook al is de benzinevoorraad in de regio groot in afwachting van de toegenomen vraag in de zomer, er waarschijnlijk tekorten zullen ontstaan als de pijpleiding vijf dagen of langer uitvalt.

Net als bij meer dan 90% van de cyberaanvallen is de ransomware waarschijnlijk via e-mail binnengedrongen bij Colonial. De cyberhackgroep die vermoedelijk verantwoordelijk is, Darkside, levert zijn ransomware payload meestal af via een PowerShell-script na zo'n eerste compromittering, aldus Carl Wearn, Head of Threat Intelligence, Risk and Resilience, Mimecast.

Energiesector niet eens het meest doelwit van Ransomware

Meerdere onderzoeksrapporten die in het eerste kwartaal van dit jaar werden gepubliceerd, waaronder Mimecast's eigen State of Email Security 2021 (SOES), onthulden een dramatische wereldwijde stijging van ransomware, maar toonden aan dat de energiesector ver onder het gemiddelde doelwit voor ransomware was. Zes van de 10 (61%) ondervraagde bedrijven in het SOES-onderzoek gaven aan dat hun bedrijf in de afgelopen 12 maanden was verstoord door ransomware. Dat is een opmerkelijke stijging ten opzichte van de 51% van de ondervraagde bedrijven in de 2020-editie van SOES.

Het FBI's Internet Crime Report 2020, ondertussen, vond meer dan een verdrievoudiging jaar-op-jaar van de financiële verliezen door ransomware-aanvallen gemeld aan het bureau, tot 29,1 miljoen dollar in 2020 van 8,9 miljoen dollar in 2019. [2]

Van de responderende SOES-bedrijven uit de energiesector meldde echter slechts 15% een succesvolle ransomware-aanval in het afgelopen jaar. De sector die het meest werd aangevallen door ransomware was informatietechnologie en telecommunicatie met 75% van de ondervraagde bedrijven, gevolgd door zakelijke en professionele dienstverlening (70%), financiële dienstverlening (49%), productie en productie (37%) en detailhandel (36%). Ondanks het feit dat ransomware-aanvallen herhaaldelijk het voorpaginanieuws haalden, bleven deze achter bij organisaties in de gezondheidszorg en overheidsinstellingen, met respectievelijk 22% en 27% van de respondenten - maar dat is nog steeds meer dan één op de vijf organisaties die in één jaar door een geslaagde ransomware-exploit werden ontwricht.

"Uit ons onderzoek bleek dat bedrijven die getroffen werden door ransomware gemiddeld zes werkdagen kwijt waren aan systeemdowntime, waarbij 37% aangaf dat de downtime een week of langer duurde", zegt Francis Gaffney, Director Threat Intelligence and Response bij Mimecast, verwijzend naar het SOES 2021-onderzoek. "Deze verstoring dwingt veel organisaties om het losgeld te betalen en uit ons onderzoek blijkt dat 52% van de bedrijven dat heeft gedaan. Slechts 66% van hen was echter in staat om hun gegevens te herstellen. De overige 34% heeft hun data nooit meer teruggezien, ondanks het betalen van het losgeld."

Ransomware 'angstaanjagende bedreiging' genoemd

Ongeacht het gemiddelde dreigingsniveau in een bepaalde sector, zijn IT-beveiligingsprofessionals altijd het meest bang voor ransomware-aanvallen. In het ene interview na het andere voor meerdere whitepapers hebben Mimecast-klanten in bijvoorbeeld de financiële dienstverlening en gezondheidszorg ons verteld dat dit het geval is omdat hun bedrijven afhankelijk zijn van informatienetwerken en een ransomware-aanval deze netwerken plat kan leggen, waardoor alle activiteiten kunnen worden gestaakt. En dan is er natuurlijk nog de potentiële reputatieschade als gevolg van de onvermijdelijke nieuwsberichten.

"Ransomware is een angstaanjagende bedreiging, waar we ons niet altijd helemaal op voorbereid voelen," zei een ondervraagde uit de Amerikaanse gezondheidszorg deze week. Zijn organisatie neemt het standpunt in dat "ransomware ons waarschijnlijk ooit zal treffen" en daarom steken ze energie in de voorbereiding om zo snel en zo volledig mogelijk te herstellen. "We verhogen onze back-ups en redundantie, en bedrijfscontinuïteit. We vragen ons af: hoe kunnen we herstellen, hoe kunnen we weer functioneel worden, zelfs als we een week of wat aan gegevens moeten opgeven?" Dit is een aanvulling op hun cyberbewustzijnstraining en andere inspanningen op het gebied van cyberresilience.

Wat kunt u doen om een Ransomware aanval te voorkomen?

Cyberbeveiligingsdeskundigen zijn het erover eens dat regelmatige back-ups - die vaak worden uitgevoerd, extern worden opgeslagen en losgekoppeld zijn van het bedrijfsnetwerk - een van de drie belangrijkste manieren zijn waarop bedrijven kunnen proberen ransomware-aanvallen te verijdelen. De andere zijn:

• Houd software up to date: De drie belangrijkste woorden in cyberbeveiliging zijn update, update, update. De beruchte wereldwijde WannaCry-infectie van 2017 had voorkomen kunnen worden als organisaties hun Windows-software up-to-date hadden gehouden - de kwetsbaarheid die WannaCry misbruikte was twee maanden eerder gepatcht.
• Bewustmakingstraining cyberbeveiliging: Werknemers moeten regelmatig worden herinnerd aan een goede cyberhygiëne, met name wat betreft phishing via e-mail, vooral nu meer werknemers op afstand werken. Ze mogen nooit onbekende e-mailbijlagen openen en nooit klikken op links die ook maar enigszins verdacht zijn.

"Organisaties moeten gaan investeren in cybersecurity-paraatheid en bewustzijnstrainingen", benadrukt Gaffney. "Het is aan te raden dat organisaties zich richten op preventie door sterke weerbaarheidsmaatregelen te implementeren en ervoor te zorgen dat werknemers goed getraind zijn in cyberbewustzijn."

Aanvallen op infrastructuur zullen waarschijnlijk toenemen

Deskundigen verwachten al jaren dat het aantal cyberaanvallen op kwetsbare infrastructuur zal toenemen, en het lijkt erop dat ze gelijk hadden. Zoals Gaffney uitlegt, is dit grotendeels te wijten aan de integratie van zogenaamde operationele technologie - IT voor productie- en productieprocessen, ook wel industriële controlesystemen (ICS) genoemd - en de internetprotocolwereld (IP) van de moderne IT.

"De verdediging van ICS-apparatuur tegen bedreigingen die tegenwoordig gebruikelijk zijn, zoals kwaadwillende en recreatieve hackers, kan tekortschieten omdat de gevaren nog niet bestonden toen de systemen voor het eerst werden geïnstalleerd", zegt Gaffney. De toegenomen connectiviteit van ICS-systemen via de proliferatie van 5G cellulaire, internet of things en industriële IoT-netwerken maakt ze kwetsbaarder voor cyberaanvallen.

"Door de convergentie van deze systemen is het vrijwel zeker dat gegevens en netwerken een verhoogd risico lopen op aanvallen met zowel ransomware als gegevenscompromittering, en bestaat het gevaar dat apparaten die van kritiek belang zijn voor de infrastructuur van een land worden gebruikt als springplank voor zijwaartse verplaatsing binnen een gecompromitteerd netwerk," concludeert Gaffney.

De kern van de zaak

Het is nog te vroeg om te zeggen hoe ontwrichtend de ransomware-aanval dit weekend op bijna de helft van de aardoliebevoorrading van de Amerikaanse oostkust uiteindelijk zal zijn. Het kan worden opgelost voordat er schade is aangericht, maar het kan ook leiden tot catastrofale prijsschommelingen en rijen voor tankstations die doen denken aan de beruchte oliecrisis van de jaren 1970. Maar elk bedrijf, elke non-profitorganisatie en elke overheidsinstantie ter wereld zou dit moeten opvatten als een sireneoproep om hun cyberbestendigheid in het algemeen en hun e-mailbeveiligingstraining in het bijzonder op te voeren, in een poging om te voorkomen dat hun bedrijf ernstig wordt verstoord.

[1] " U.S. Department of Transportation ... Geeft tijdelijke Uren van Dienst Vrijstelling... " U.S. Dept. of Transportation

[2] Internet Crime Report 2020 , FBI