Maar liefst 197.000 euro betalen om je ransomware-besmetting te kunnen oplossen. De Universiteit Maastricht telde het net voor de jaarwisseling neer omdat alle andere opties meer schade zouden opleveren. Is dat een nieuwe trend of gewoon een slimme oplossing? En kunnen we dit meer verwachten in de toekomst? Security Expert van Claranet is Curtis Partoredjo en hij geeft antwoord op deze en nog een paar prangende vragen. Dit is deel 1.
Is de situatie rondom de Universiteit Maastricht een uitzondering?
Nee en ja! De aanval op de universiteit is zeker geen uitzondering. Sterker nog; de Universiteit Maastricht kampt op een willekeurige dag met zo’n 1000 aanvallen, volgens eigen zeggen. De meeste worden afgeslagen door de anti-virus software maar deze ene aanval is er tussendoor geglipt. Deze criminelen zijn doorgewinterd. Het is een Oost-Europese groep, bekend onder de naam TA505, die al vanaf 2014 bekend en berucht is. Vorig jaar hebben ze op 15 oktober een phishing-aanval uitgevoerd waarbij een van de ontvangers op een link heeft geklikt waardoor de criminelen het netwerk op konden. Eind november, dus ruim na de besmetting, hebben ze via twee servers, die geen update hadden gehad, volledige controle over het netwerk gekregen. Het heeft daarna nog een maand geduurd voordat ze hun Clop-virus volledig uitgerold hadden en maar liefst 267 servers wisten te versleutelen. Dit was dus een aanval van de lange adem.
En wat is dan de uitzondering?
Het bijzondere aan deze aanval was het vervolg. Na de versleuteling zat de universiteit met de handen in het haar en hebben ze, tegen alle voorgeschreven adviezen in, losgeld betaald om het beheer over het netwerk terug te krijgen. Een bedrag van 30 bitcoins, omgerekend € 197.000, werd betaald. Het is dus een oplossing die volledig tegen het gevoel in gaat (“er wordt NIET onderhandeld met terroristen!”), maar wel een die meer schade heeft voorkomen. Het is dan ook een behoorlijk dilemma. Betaal je de gijzelsom zonder dat je de zekerheid hebt dat je weer toegang krijgt tot je eigen netwerk of neem je het verlies en, dat is het praktische gevolg, bouw je een volledig nieuw netwerk op. Wat hier waarschijnlijk heeft meegespeeld, is dat de criminelen al een track-record hadden en dus hun gedrag na het voldoen van de afkoopsom voorspelbaar was.
Gaan we een dergelijke reactie vaker zien?
Sterker nog; dat gebeurt al vaker dan we denken. Echter kiezen slechts enkelen ervoor om dit openlijk in de media te delen. Het Friese onderzoekslab Wetsus is ook in het nieuws gekomen maar het lijkt nog vaker een uitzondering te zijn om hiermee naar buiten te komen. De inschatting is dat organisaties vaak de schuld bij zichzelf zoeken en uit angst voor reputatieverlies het onder de mat willen vegen. Of dat de juiste tactiek is, is twijfelachtig. Uiteindelijk is er een enorm grote kans dat een dergelijke hack aan de ‘voorwaarden’ van een datalek van persoonsgegevens voldoet. Dan ben je wettelijk verplicht, via de Algemene Verordening Gegevensbescherming, melding te maken bij alle betrokkenen én de Autoriteit Persoonsgegevens. Als het dan alsnog uitkomt is de reputatieschade nog veel groter.
Is dergelijke cybercriminaliteit dan een trend?
Al snel na het uitbreken van de COVID-19 crisis kregen we al de eerste meldingen dat er vanuit WHO en RIVM e-mail zouden zijn gestuurd. In het echt was het ordinaire phishing en dat is tijdens de crisis alleen maar toegenomen. Zo zijn er ook duizenden domeinnamen met een verwijzing naar Corona vastgelegd... en je kan er donder op zeggen dat het overgrote deel daar een criminele bijbedoeling mee heeft.
Daarnaast zien we wel degelijk dat cybercriminaliteit steeds persoonlijker wordt. Uit verschillende onderzoeken blijkt dat slechts 10% van de incidenten een technische oorzaak heeft en dat de rest komt uit menselijke oorzaken. Dat heeft voornamelijk te maken met het feit dat het overgrote deel van organisaties, en hun IT-leveranciers, voldoende technische maatregelen heeft genomen om te zorgen dat ongewenste bezoekers buiten blijven. De 90% aan menselijk falen, ligt in de sfeer van slecht beleid, onwetendheid en gebrek aan awareness.
Lees volgende week deel 2 van dit blog! Dit blog is eerder verschenen in ons Security Magazine editie zomer 2020. Geïnteresseerd in dit magazine? Vraag het magazine dan hier aan!