Ransomware Task Force: Een jaar later

Hoewel er enkele opmerkelijke vorderingen zijn gemaakt in de steeds eensgezinder wordende strijd tegen ransomware, moet er nog veel werk worden verzet. Dit was de overkoepelende boodschap tijdens de recente bijeenkomst van de Ransomware Task Force (RTF) van het Institute for Security and Technology.[1]

De RTF, die in april 2021 van start is gegaan, omvat belangrijke belanghebbenden uit de particuliere sector, overheidsinstanties, non-profitorganisaties en onderwijsinstellingen - die allemaal samenwerken, nieuwe oplossingen ontwikkelen en maatregelen aanbevelen om de ransomware-dreiging tegen te gaan. Vorig jaar heeft de taskforce 48 specifieke stappen uiteengezet in het kader van een vierledig actieplan om ransomware-dreigingen af te schrikken, te verstoren, zich erop voor te bereiden en erop te reageren.

Tijdens de recente vergadering heeft de RTF zijn voortgangsverslag voor 2022 over dat actieplan uitgebracht,[2] waarin melding wordt gemaakt van aanzienlijke verbeteringen bij een twaalftal van de aanbevolen stappen. De grootste verbeteringen hebben plaatsgevonden op het gebied van afschrikking van ransomware op regeringsniveau, met de zeer bekendgemaakte prioritering van inspanningen om ransomware-aanvallen te onderzoeken en te vervolgen. "Echt indrukwekkende privaat-publieke samenwerking ... heeft geresulteerd in een groot aantal arrestaties, inbeslagnames van cryptocurrency, aanklachten en sancties - niet slecht voor een jaar werk," merkte CEO van het Institute for Security and Technology Phil Reiner op.

Op andere gebieden zijn de vorderingen minder groot geweest. "Er bestaat geen wondermiddel om de ransomware-dreiging uit te roeien," herhaalt het RTF-verslag van 2022. "Dit vergt veel meer voortdurende inspanningen en subtiele maar substantiële veranderingen.

Voor organisaties die belast zijn met voorbereiding op en reactie op ransomware-aanvallen, blijft de beste handelwijze - zowel voor henzelf als voor de verenigde strijd tegen ransomware - dezelfde: de beste praktijken op het gebied van cyberbeveiliging volgen. Het aanbod van Mimecast ondersteunt veel van deze praktijken, waaronder de implementatie van effectieve ransomware-verdedigingstools in combinatie met uitgebreide cyberbeveiligingsbewustzijnstraining voor werknemers en belanghebbenden.

Ransomware in opmars

Ondanks deze inspanningen blijven de ransomware-aanvallen voortduren en nemen zij in sommige gevallen zelfs in omvang toe", aldus Reiner tijdens de RTF-vergadering.

Sinds de eerste enquête van Mimecast van State of Email Security in 2018, is er inderdaad een gestage toename van het aantal respondenten dat ransomware-aanvallen rapporteert die een impact hebben op de bedrijfsactiviteiten, de merkreputatie schaden en hoge financiële kosten met zich meebrengen. In het Mimecast-rapport State of Email Security 2022 gaf meer dan driekwart (76%) van de respondenten aan dat hun organisatie in de afgelopen 12 maanden te maken had gehad met een ransomware-aanval, waarbij meer dan een derde (36%) aangaf dat de impact aanzienlijk was. De cijfers waren het hoogst voor organisaties die te maken hadden gehad met een algehele toename van bedreigingen via e-mail.

Het verslag van de RTF over 2022 is een "eerlijk overzicht van de vorderingen en de stand van zaken", aldus Reiner. In het jaar dat sinds de oprichting van de taskforce is verstreken, hebben de betrokkenen een solide basis gelegd voor toekomstige vooruitgang. "We hebben veel actie gezien om ransomware te bestrijden," merkte het rapport op, "maar we hebben ook gezien dat het aantal waargenomen incidenten blijft stijgen, zelfs als belanghebbenden zich richten op de dreiging zelf."

John Christopher Inglis, de eerste Amerikaanse nationale Cyberdirecteur, legde uit waarom dit minder een ontmoedigende onthulling was dan een voortdurende oproep tot bewapening. "Net als bij de klimaatverandering heeft het lang geduurd voordat we op dit schommelende punt in de geschiedenis zijn beland", zei Inglis tegen het RTF-publiek. "Het zal niet iets zijn dat we in veertien dagen omdraaien." Hij waarschuwde ook voor zelfgenoegzaamheid. Als de belangrijkste belanghebbenden niet het soort investeringen doen dat door de RTF wordt aanbevolen, zegt Inglis, "dan gaan we door op de weg die we al zijn ingeslagen... We zullen de ene afschuwelijke dreiging na de andere meemaken."

Een ongekend jaar

De 12 maanden sinds de RTF zijn actieplan bekendmaakte, werden gekenmerkt door omvangrijke en opeenvolgende ransomware-aanvallen wereldwijd. Slechts een week na de publicatie werd Amerika getroffen door de meest in het oog springende ransomware-aanval op zijn kritieke infrastructuur, toen een leverancier van benzine en vliegtuigbrandstof voor een groot deel van het land zijn pijpleidingen zes dagen lang moest afsluiten, met brandstoftekorten en reisonderbrekingen tot gevolg. Een week later schakelde een ransomware-aanval de Ierse gezondheidszorg uit, waardoor ziekenhuizen gedwongen werden hun diensten op te schorten. Twee weken daarna leidde een ransomware-aanval tegen 's werelds grootste vleesverwerkingsbedrijf tot schaarste en hogere prijzen voor voedselgrondstoffen.

De opeenvolgende aanvallen hebben zowel de openbare als de particuliere sector wakker geschud over de verwoestende gevolgen die ransomware kan hebben voor kritieke infrastructuur, economische stabiliteit, gezondheid en nationale veiligheid.

Na de aanval op de pijplijn is "de aandacht zeker veranderd, vooral in de directiekamer", zei Chris Krebs, voormalig Amerikaans directeur van het Cybersecurity and Infrastructure Security Agency (CISA), op het RTF-evenement. "Je hebt nu raden van bestuur die volledig begrijpen dat cyber echt een bedrijfsrisico is en niet alleen een technisch risico. Het feit dat er een functionele bedrijfsonderbreking was als gevolg van ransomware-aanvallen - dat heeft veel mensen aan het denken gezet." De uitdaging is nu, aldus Krebs, om dat toegenomen bewustzijn om te zetten in actie en meetbare risicobeperking.

Ransomware zal blijven bestaan zolang het voor cybercriminelen relatief eenvoudig is om hun exploits uit te voeren en er geld aan te verdienen, aldus Krebs. Daarom is het belangrijk dat alle belanghebbenden zich niet langer richten op het bestrijden van ransomware, maar op het daadwerkelijk verstoren van de criminele infrastructuur die ransomware mogelijk maakt.

Samen tegen ransomware: Wat bedrijven kunnen doen

Het bevorderen van de invoering van beste praktijken op het gebied van cyberbeveiliging blijft een primaire doelstelling voor overheden, aldus het voortgangsverslag van de RTF. Bijzonder kwetsbaar zijn aanbieders van kritieke infrastructuur, die verstoringen het minst kunnen verdragen, en kleine en middelgrote ondernemingen (kmo's), die te kampen hebben met beperkte middelen en een beperkte technische rijpheid.

De RTF bleef pleiten voor meer gedetailleerde, bruikbare richtsnoeren die zijn toegesneden op de behoeften en context van organisaties en die zodanig worden gepresenteerd dat zij niet overweldigd of verward raken. Daartoe is de taskforce, in samenwerking met het Center for Internet Security (CIS), van plan deze zomer een reeks essentiële controles te introduceren om het MKB te helpen zich voor te bereiden op aanvallen.

Het is voor bedrijven te gemakkelijk om te verdwalen in een mist van cyberbeveiligingsmandaten, legt Phyllis Lee, CIS senior director voor controles, uit. "Ik ben niet tegen regelgeving of kaders, maar organisaties bezwijken onder de druk van alle adviezen en alle regelgevingskaders waaraan zij onderworpen zijn," vertelde zij het RTF-publiek. "Mensen willen precies weten wat ze moeten doen."

Het belangrijkste wat individuele organisaties voor zichzelf en het grotere goed van cyberbeveiliging kunnen doen, is van zichzelf een "moeilijker doelwit" maken, zoals Krebs het noemt. Het gebruik van geavanceerde kant-en-klare oplossingen is van cruciaal belang, zei hij. "Cybercriminelen zijn economisch rationele actoren," aldus Krebs. "Ze gaan gebruiken wat ze hebben tot het niet meer werkt."

De huidige CISA directeur Jen Easterly vertelde de RTF menigte: "Dit is een hardnekkig probleem. Het belangrijkste - en zeker waar wij ons op richten als Amerika's cyberdefensieagentschap - is hoe we de lat hoger kunnen leggen op het gebied van cyberveiligheid en veerkracht."

De kern van de zaak

Belangrijke belanghebbenden uit de openbare en de particuliere sector hebben zich verenigd tegen ransomware. Zij hebben het afgelopen jaar hard gewerkt om een solide basis te leggen voor de bestrijding van ransomware, maar de stapsgewijze veranderingen die moeten plaatsvinden, zullen tijd vergen. "De wendbaarheid en dynamiek van ransomware-actoren kan niet worden overschat", aldus het voortgangsverslag van de RTF. In de campagne tegen ransomware "is het van cruciaal belang dat onze ontwrichtende acties, responstijden en preventieve acties even dynamisch, zo niet dynamischer zijn". Organisaties die hun steentje willen bijdragen om zichzelf niet alleen te beschermen tegen de impact van ransomware, maar ook om bij te dragen aan de grotere inspanning om de dreiging te verminderen, zullen investeren in best practices, toonaangevende beveiligingsoplossingen en bewustmakingstraining op het gebied van cyberbeveiliging. Lees verder voor meer informatie over Mimecast's ransomware-verdedigingsoplossingen en bewustzijnstraining.

[1] "Bestrijding van Ransomware: Een jaar van actie," Instituut voor veiligheid en technologie

[2] "RTF-voortgangsverslagen," Instituut voor Veiligheid en Technologie