Bescherming en detectie
Hoe bescherm je je tegen ransomware? De gebruikelijke technieken die worden ingezet voor malware, zoals anti-malware software zijn niet altijd voldoende. Immers, als dat wel het geval zou zijn was ransomware niet zo’n groot probleem. Wat het tegenwoordig wel is. In het vorige blog heb ik het Cybersecurity model toegelicht en de eerste fase: identificeren. Na deze fase volgen de tweede en derde: bescherming en detectie.
Om je tegen ransomware te beschermen zijn verschillende technieken nodig. Een belangrijke daarvan is informatie te verkrijgen over de mogelijke bedreigingen en hoe een potentiële aanvaller te werk gaat. Aanvallen volgen over het algemeen een bepaalde methodiek. Als we beter bekend zijn met zo’n methodiek dan kunnen we ons er ook beter tegen beschermen.
Een ransomware aanval kan worden onverdeeld in fasen, de methodiek. Er zijn verschillende modellen die dit inzichtelijk maken, waarbij de fasen enigszins van elkaar kunnen verschillen. De firma Lockheed Martin heeft het eerste model ontwikkeld: de Cyber Kill Chain genoemd. Het model laat zien welke stappen kwaadwillenden moeten doorlopen om hun doel te bereiken. Het is ook het bekendste model. We kunnen dit model schematisch als volgt weergeven:
Deze stappen vinden over het algemeen plaats binnen een bepaald tijdsbestek. Dit kan korter of langer zijn, al naar gelang de methodiek die de aanvaller gebruikt. Er kan veel tijd worden besteed aan de eerste fase: het verkennen. Daarbij wordt informatie verzameld die gebruikt kan worden om een aanval te doen. Informatie die bijvoorbeeld bestaat uit informatie van medewerkers van een bedrijf, e-mail adressen en persoonlijke informatie. Of kwetsbaarheden in applicaties en systemen die door bedrijven worden gebruikt. Denk hierbij ook aan persoonlijke gegevens die overal op Internet ‘rondslingeren’.
Het komt vaak voor dat bedrijven worden aangevallen waarbij enorme hoeveelheden persoonlijke gegevens worden gestolen. Zoals bij de aanval op Facebook in 2019 waarbij gegevens van 530 miljoen accounts werden gestolen. Of de verzameling van openbare data op LinkedIn in juni 2021. Deze data werd vervolgens gecombineerd met andere verzamelde openbare data om een dataset te presenteren met email adressen, telefoonnummers, geografische data en andere social media gegevens. De dataset bevatte gegevens van zo’n 500 miljoen accounts.
Als genoeg informatie verzameld is kan een aanval worden gedaan, de fasen bewapening en aflevering. In deze fase probeert de aanvaller binnen te komen bij het doel, jouw organisatie bijvoorbeeld. Het doel kan jouw computer zijn of een kwetsbare applicatie, dienst of website. Alle ingangen die een aanvaller kan vinden kunnen worden uitgebuit. Bijvoorbeeld door phishing mails te versturen met malafide links naar malware. Of links naar een website die inloggegevens probeert te achterhalen, welke de aanvaller vervolgens kan gebruiken om in te loggen. Daarnaast probeert de aanvaller ook binnen te komen via systemen of diensten die via Internet zijn te benaderen en waar een kwetsbaarheid in zit. Denk bijvoorbeeld aan de kwetsbaarheid in de Microsoft Exchange server afgelopen jaar. Veel bedrijven zijn slachtoffer geworden van aanvallen door deze kwetsbaarheid.
Is de aanvaller eenmaal binnengekomen op een computer of systeem dan kan de aanval pas goed beginnen. De aanvaller heeft nu een ingang gevonden en probeert voet aan de grond te krijgen. Dit is de fase van exploitatie en installatie. Een fase die erg snel kan gaan. Er wordt geprobeerd meer kwetsbaarheden te vinden. De aanvaller probeert zichzelf rechten toe te kennen die het mogelijk maken om meer controle te krijgen binnen de omgeving die aangevallen wordt. Met genoeg rechten in de omgeving kan de aanvaller ook malware installeren op andere systemen en zijn sporen verbergen. En, heel belangrijk, monitoring- en detectiesystemen uitschakelen zodat de aanval niet zo snel wordt opgemerkt. Meestal pas wanneer het te laat is.
De volgende fase is die van controle en actie. Als de aanvaller eenmaal voet aan de grond heeft gekregen wordt vaak verbinding gemaakt met een centrale omgeving van de aanvaller. Vanuit deze omgeving kan de aanvaller controle gaan uitoefenen en acties uitvoeren. Acties zoals het versleutelen van data. Of het kopiëren, verwijderen of verplaatsen van data. Verwijderen van backups zodat data niet, of moeilijk, hersteld kan worden. Allerlei acties die ervoor zorgen dat de impact op de bedrijfsvoering van het slachtoffer dusdanig groot is dat ze bereid zijn losgeld te betalen.
Bescherming en detectie
De Cyber Kill Chain geeft ons een goed beeld over de gebruikte methodiek bij een aanval. Als we wat verder gaan kijken naar de algemene stappen van de Cyber Kill Chain dan kunnen we die verder onderverdelen in technieken, tactieken en procedures (TTP’s). Deze TTP’s zijn heel goed in kaart gebracht door verschillende organisaties. Zoals het Amerikaanse MITRE instituut. De TTP database die dit instituut beheerd wordt continue bijgewerkt op basis van actuele informatie, welke ook is gebaseerd op onderzoeksresultaten van daadwerkelijke aanvallen. Een klein voorbeeld hiervan ziet er als volgt uit:
Tot slot
Ik geef toe dat het heel veel informatie is en dat moeilijk te verwachten is dat iedereen zich daar in gaat verdiepen. Daarom zijn er veel bedrijven die technische oplossingen aanbieden die gebruik maken van de kennis van instituten zoals Mitre. Daarbij moet je niet alleen denken aan een applicatie die een ransomware aanval kan detecteren en stoppen. Je kunt ook denken aan mitigerende maatregelen die getroffen kunnen worden in de systemen en applicaties die in gebruik zijn binnen een organisatie. Deze maatregelen zorgen ervoor dat schade beperkt wordt in het geval van een aanval, mocht deze onverhoopt toch plaatsvinden.
In het volgende deel van deze blog ga ik verder in op de maatregelen die genomen kunnen worden.
Bronvermelding
https://attack.mitre.org/matrices/enterprise/
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
https://www.technologyreview.com/2021/04/07/1021892/facebook-data-leak/
https://news.linkedin.com/2021/june/an-update-from-linkedin
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server