Wat nieuwe ransomware-tactieken betekenen voor crisismanagementteams

HOE CRISISTEAMS KUNNEN REAGEREN OP NIEUWE RANSOMWARE-TACTIEKEN

Cybercriminelen vinden nieuwe manieren om hun slachtoffers te compromitteren. Dit maakt het lastig voor crisismanagementteams om adequaat te plannen en zich voor te bereiden op cyberaanvallen.

Ransomware-tactieken verschuiven van traditionele phishing naar nepadvertenties van Google en social engineering van de helpdesk, volgens Principal Security-specialist Paul Pols.

In dit artikel onderzoekt Secura's Senior Crisis Consultant Luke Fletcher vier manieren waarop deze nieuwe tactieken impact hebben op crisismanagementteams. Hij geeft ook tips om als organisatie met deze impact om te gaan.

1. Gebruik nieuwe ransomware-tactieken als input voor crisisoefeningen

Ransomware werd traditioneel verspreid via phishing e-mails met daarin corrupte links en bijlagen. Maar aanvallers maken steeds vaker gebruik van geavanceerde social engineering tactieken. Zij doen zich bijvoorbeeld voor als een IT helpdesk, om zo inloggegevens van gebruikers te verkrijgen.

De FBI en CSIA hebben onlangs een dreigingsadvies gepubliceerd over de cybercrime-groep Scattered Spider. Deze groep wist zelfs mobiele netwerkproviders ervan te overtuigen om de controle over het telefoonnummer van een beoogde gebruiker over te dragen aan een SIM-kaart die zij beheersten. Hierdoor kregen ze de controle over de telefoon en toegang tot MFA-aanvragen (Multi-Factor Authentication).

Gebruik actuele dreigingsinformatie

Dit vormt een uitdaging voor crisisteams, volgens Fletcher. ‘Hoe ver zal een aanvaller gaan? Welke aanvullende informatie heeft een aanvaller misschien verkregen? Is een belangrijk lid van het leiderschapsteam of zelfs een van de crisisteamleden gecompromitteerd?’ Kortom: hoe kunnen crisisteams zich voorbereiden op dit soort nieuwe incidenten?

‘Organisaties zouden deze nieuwe vormen van social engineering moeten opnemen in hun crisissimulaties’, adviseert Fletcher. ‘Dit helpt niet alleen de awareness rond deze tactieken te vergroten, maar het zorgt er ook voor dat crisisteams mogelijke gevolgen en reactieopties kunnen bespreken.’

Een goed voorbeeld van simulaties die actuele intel gebruiken is het Threat Intelligence-Based Ethical Red Teaming framework (TIBER-EU) dat in Europa wordt gebruikt: ‘Het kernconcept van dit framework is dat het gebruikmaakt van de nieuwste informatie over tactieken van dreigingsactoren, om een aanval op een organisatie te simuleren en om lessen te leren en de veerkracht te verbeteren.’

Organisaties kunnen zelfs nog verder gaan: ‘Je kunt ook de uitkomsten van security tests, zoals red teaming, gebruiken om scenario's voor crisisteams op te stellen. Op die manier zijn crisissimulaties zo realistisch mogelijk.'

Wel of niet betalen

In oktober 2023 kondigde LockBit 3.0 nieuwe regels aan voor losgeldonderhandelingen. Hun doel: grotere losgeldbedragen veilig te stellen en de kans op uitbetalingen te vergroten. In deze regels staat een minimumbedrag aan losgeld. Dit is gebaseerd op de omzet van een organisatie. Er geldt een maximum van 50% korting die kan worden toegepast op het losgeld, na onderhandelingen.

Organisaties kunnen deze informatie gebruiken als basis om proactief in te schatten wat hun losgeld ongeveer zou zijn als ze het slachtoffer zouden worden van een aanval, adviseert Fletcher. ‘En deze informatie kan natuurlijk ook worden gebruikt in simulaties. Zo kunnen deelnemers de kosten van herstel afwegen tegen de kosten van een losgeldbetaling.’

2. Aanvallers gebruiken publiciteit om u onder druk te zetten

Cybercriminelen weten dat publiciteit druk betekent. Daarom publiceren veel groepen de aanvallen op hun slachtoffers via openbare leak sites. In de eerste negen maanden van 2023 werden evenveel organsaties op dit soort sites genoemd als in heel 2022.

Een specifiek voorbeeld hiervan is de Clop ransomware groep, zegt Fletcher: ‘Sinds mei 2023 heeft deze ransomware groep gegevens gepubliceerd op leak sites van honderden organisaties die weigerden losgeld te betalen. Dit gebeurde na hun succesvolle hack van het transfer platform MOVEit.’

'Clop experimenteerde met het delen van deze informatie via torrents, maar paste hun publicatiestrategie aan na berichten over trage downloadsnelheden, beperkingen op de toegang en takedowns. Ze hebben nu toegang tot de gegevens van organisaties die geen losgeld betaalden veel toegankelijker gemaakt.'

Op de hoogte zijn van publicatie

Deze tactiek van cybercriminelen betekent dat crisisteams vanaf het moment dat een crisis begint bezig zijn met een inhaalslag. Als uw organisatie het slachtoffer is van een aanval, kan het voorkomen dat uw klanten of leveranciers u op de hoogte stellen van de aanval voordat u zelf weet dat u bent getroffen.

Een van de belangrijkste doelstellingen van elk crisismanagementteam is daarom om voorop te lopen, zegt Fletcher. 'Het team moet ongeveer weten wat er komen gaat en stappen ondernemen om zich voor te bereiden. Dit kan bijvoorbeeld door het opstellen van allerlei berichten die kunnen worden verzonden naar interne en externe stakeholders.'

Ook het implementeren van systemen voor vroegtijdige waarschuwing kan de druk op uw crisisteams verminderen in het geval van een aanval, naast passende plannen en draaiboeken.

3. Laat het crisisteam meebeslissen over het wel of niet betalen van losgeld

Er zijn twee botsende belangen als het gaat om het betalen van losgeld: het belang van de organisatie en het grotere belang van de samenleving. Het betalen van losgeld kan de impact van de organisatie beperken, maar het komt de maatschappij niet altijd niet ten goede.

Daarom zouden meerdere stakeholders betrokken moeten zijn bij het ransomware vraagstuk, stelt Fletcher. 'Om een weloverwogen beslissing te nemen, moeten stakeholders binnen het bedrijf als team samenkomen om de feiten te bekijken, de gevolgen van beslissingen te bespreken en uiteindelijk de beste beslissing te nemen.'

'Deze lijst kan nog langer zijn', benadrukt Fletcher. 'De input van elk van deze afdelingen moet het crisisteam uiteindelijk helpen bij het nemen van de juiste beslissing.'

Structuur en organisatie

Om dit tijdens een crisis allemaal in goede banen te leiden is structuur en coördinatie nodig, zegt Fletcher. 'Bedenk: heeft mijn organisatie een framework voor crisismanagement zodat we tijdens een crisis goed kunnen reageren? En hebben mijn medewerkers kunnen oefenen met het verzamelen van informatie en het informeren van het crisismanagementteam?

De internationale norm voor crisisbeheer - ISO 22361 - kan organisaties helpen bij het opzetten van een effectief framework, plannen en procedures voor crisisbeheer. Ook crisisoefeningen helpen om responsstructuren in de praktijk te testen.

4. Bereid u voor op belangrijke beslissingen, zoals: onderhandelen we überhaupt?

Veel organisaties schakelen ransomware-onderhandelaars in om contact te leggen met ransomwaregroepen, in de hoop dat het losgeld kan worden verlaagd. Deze groepen maken onderling afspraken om vaste prijzen te garanderen of weigeren zelfs verder te praten als ze merken dat er onderhandelaars in het spel zijn.

Alleen al de beslissing om in eerste instantie te onderhandelen kan gevolgen hebben, zegt Fletcher: ‘We zagen dit bijvoorbeeld bij de ransomware-aanval van Lockbit tegen het Britse Royal Mail in januari 2023. Lockbit publiceerde het hele onderhandelingsgesprek online.’

Organisaties die actief hebben nagedacht over welke belangrijke beslissingen nodig zijn bij scenario's als ransomware-aanvallen, zijn beter in staat om te reageren, zegt hij: ‘Ook belangrijk: documenteer welke belangrijke beslissingen je in zo’n geval moet nemen, wie bevoegd is om de beslissing te nemen en welke informatie nodig is om die beslissing te nemen.’

TIPS VOOR CRISISTEAMS

Nieuwe ransomware-tactieken vormen een uitdaging voor crisismanagementteams. Fletcher adviseert de volgende maatregelen om ervoor te zorgen dat u voorop blijft lopen:

• Voer regelmatig cybercrisissimulaties uit, waarin de nieuwste tactieken van dreigingsactoren en uitkomsten van andere security tests zijn verwerkt. Zo blijven uw crisisteams goed op de hoogte en zijn ze goed voorbereid.
• Als uw bedrijf wordt getroffen door een cyberincident, zijn organisatie en structuur van cruciaal belang. Zorg er voor dat u een goed ingebed framework voor crisisbeheer hebt. Zo bespaart u tijd, zorgt u ervoor dat de communicatie effectief is, bevordert u een hoog niveau van situationeel bewustzijn en geeft u crisisteams het vertrouwen om weloverwogen beslissingen te nemen.
• Denk actief na over welke belangrijke beslissingen er in een crisisscenario genomen moeten worden. Bedenk ook welke informatie uw crisisteams moeten verzamelen om die beslissing te kunnen nemen. Documenteer deze beslissingen in een plan of draaiboek en neem deze door met de belangrijkste stakeholders.