49% van de ransomware-slachtoffers verliest gegevens voordat ze de aanval opmerken

49% van de ransomware-slachtoffers verliest gegevens voordat ze de aanval opmerken

Ransomware is altijd al een pijnlijk probleem geweest, maar een nieuw rapport onthult hoe slecht detectie faalt: bijna de helft van alle ransomware-slachtoffers zag hun gegevens al gestolen voordat ze zich realiseerden dat een aanvaller zich in hun netwerk bevond. Dat cijfer is fors gestegen ten opzichte van 31% het jaar ervoor, wat erop wijst dat hackers niet alleen brutaler worden, maar ook aanzienlijk geduldiger en sluwer.

De gemiddelde verblijftijd vóór detectie bedraagt nu ongeveer 2,5 weken. Dat zijn 17 of meer dagen waarin een aanvaller stilletjes je systemen in kaart kan brengen, je meest waardevolle bestanden kan identificeren en ze naar buiten kan sluizen, nog voordat er ook maar één alarm afgaat.

De echte dreiging is exfiltratie, niet alleen versleuteling

De meeste mensen stellen zich ransomware voor als een dramatische gebeurtenis: bestanden vergrendelen, een losgeldbrief verschijnt, de bedrijfsvoering komt stil te liggen. Dat beeld is steeds meer achterhaald. Moderne ransomware-groepen zijn overgestapt op een tweefasenstrategie. Eerst stelen ze gegevens. Vervolgens, als ze versleuteling toepassen, houden ze hun slachtoffers twee afzonderlijke dreigingen voor: betalen om de toegang te herstellen, en opnieuw betalen om te voorkomen dat de gestolen gegevens openbaar worden gemaakt.

Deze aanpak, vaak double extortion (dubbele afpersing) genoemd, verandert de rekensom volledig. Zelfs organisaties met solide back-upsystemen die versleutelde bestanden snel kunnen herstellen, staan nog steeds bloot aan het uitlekken van gevoelige klantgegevens, financiële documenten of intellectueel eigendom. De versleuteling is op dat moment bijna bijzaak.

Het feit dat gegevensdiefstal jaar na jaar in meer dan de helft van de gevallen een vast onderdeel van afpersingsactiviteiten blijft, bevestigt dat dit geen voorbijgaande trend is. Het is nu het standaard draaiboek.

Waarom detectie steeds verder achterop raakt

De groeiende kloof tussen inbraak en detectie wijst op een paar samenkomende problemen.

Ten eerste gebruiken aanvallers steeds vaker legitieme tools die al in de omgeving van het doelwit aanwezig zijn. Beveiligingssoftware is ontworpen om onbekende malwaresignaturen te markeren, maar wanneer een aanvaller ingebouwde systeemhulpprogramma's gebruikt om bestanden te verplaatsen, lijken die acties vaak niet te onderscheiden van normaal beheerdersgedrag.

Ten tweede vertrouwen veel organisaties nog steeds sterk op perimeterverdediging. Firewalls en versleutelde tunnels beschermen gegevens tijdens transport, maar zodra een aanvaller geldige inloggegevens heeft of voet aan de grond heeft gekregen in het netwerk, bieden perimetertools weinig zicht op wat er zich lateraal afspeelt.

Ten derde is alarmmoeheid een reëel en goed gedocumenteerd probleem in security operations centers. Wanneer detectiesystemen duizenden meldingen met lage betrouwbaarheid per dag genereren, raken echte inbraaksignalen ondergesneeuwd. Aanvallers weten dit en stemmen hun activiteiten af op rumoerige periodes om op te gaan in de ruis.

Dit is ook waarom vertrouwen op één enkele tool, waaronder een VPN, een vals gevoel van veiligheid creëert. Een VPN versleutelt het verkeer tussen je apparaat en het internet, wat gegevens onderweg beschermt en je IP-adres maskeert. Maar het doet niets om malware te detecteren of te blokkeren die al op een geïnfecteerde machine draait, en het biedt geen inzicht in het gedrag van een aanvaller zodra inloggegevens zijn gestolen. De youX-datalek in Australië, waarbij aanvallers toegang kregen tot gevoelige identiteitsgegevens bij een fintech-bedrijf, illustreert hoe geavanceerde inbraken oppervlakkige beveiligingslagen kunnen omzeilen en een kettingreactie aan gevolgen in de echte wereld kunnen veroorzaken.

Wat dit voor jou betekent

Of je nu een individuele professional bent of deel uitmaakt van een IT-team van een organisatie, de gemiddelde verblijftijd van 2,5 weken zou je denkwijze over beveiliging moeten veranderen.

De vraag is niet langer alleen "hoe houd ik aanvallers buiten?" Het is evenzeer "hoe snel zou ik weten of er al iemand binnen was, en wat zouden ze aantreffen?"

Voor individuen en kleine bedrijven betekent dit:

• Ga ervan uit dat inloggegevens gecompromitteerd kunnen raken. Gebruik overal multi-factorauthenticatie, vooral bij e-mail, cloudopslag en tools voor externe toegang. Gestolen inloggegevens zijn het meest voorkomende instappunt.
• Beperk wat toegankelijk is. Niet elk systeem of elke bestandsshare hoeft vanaf elk apparaat bereikbaar te zijn. Toegangsbeperking verkleint wat een aanvaller kan bereiken na een eerste binnendringen.
• Monitor op afwijkingen, niet alleen op bekende dreigingen. Endpoint-detectietools die ongewoon gedrag signaleren, zoals een gebruikersaccount dat plotseling bestanden opent die het normaal nooit aanraakt, zijn waardevoller dan alleen op handtekeningen gebaseerde antivirus.
• Zorg voor een incidentresponsplan. Precies weten welke stappen je moet nemen in het eerste uur na een bevestigde inbreuk beperkt de schade aanzienlijk. Veel organisaties ontdekken dat ze geen gedocumenteerd proces hebben totdat ze het dringend nodig hebben.
• Segmenteer je back-ups. Back-ups die op hetzelfde netwerk als de primaire systemen staan, kunnen tijdens de verblijfsperiode door aanvallers worden versleuteld of verwijderd. Offline of onveranderlijke back-ups vormen een aparte beschermingslaag.

VPN's blijven een echt nuttig hulpmiddel, vooral voor het beveiligen van verkeer op onvertrouwde netwerken en het beschermen van privacy tegen passieve surveillance. Maar hun rol is één laag te midden van vele, geen complete verdediging.

Het opbouwen van een gelaagde verdedigingsstrategie

De meest effectieve beveiligingshouding beschouwt detectie als een even belangrijke prioriteit als preventie. Preventie is nooit perfect, en de gegevens bevestigen dat aanvallers er steeds beter in worden om deze te omzeilen. Organisaties en individuen die alleen investeren in het buitenhouden van aanvallers, maar niets doen om ze te detecteren zodra ze binnen zijn, zijn feitelijk blind tijdens het venster dat er het meest toe doet.

Gelaagde verdediging betekent het combineren van perimetertools, endpointmonitoring, netwerkverkeersanalyse, strikte toegangscontroles en gebruikerseducatie. Geen enkel product dicht alle gaten, daarom spreekt de beveiligingsindustrie over 'defense in depth' (diepteverdediging) in plaats van over één wondermiddel.

De sterke toename van gegevensdiefstal vóór detectie is een duidelijk signaal dat het dreigingslandschap volwassener is geworden. Aanvallers opereren gedisciplineerder en geduldiger dan ooit. De passende reactie is om die discipline te evenaren met even doordachte, gelaagde verdedigingen in plaats van reactieve aanschaf van tools nadat een incident heeft plaatsgevonden.

Begin met een audit van welke gevoelige gegevens je hebt, waar ze zich bevinden en wie er toegang toe heeft. Alleen al dat inzicht plaatst je voor op de meeste doelwitten.