Ransomware infecteert de cloud: wat u moet weten

Cloud-security-is-critical-because-hackers-have-set-their-sights-on-the-virtual-realm_459_40133419_0_14098096_300Grote ondernemingen, MKB en organisaties van alle overige maten hebben cloudbased tools en -omgevingen omarmd. Volgens RightScale’s 2016 State of the CloudTM-rapport hanteert 82 procent van de grote ondernemingen een multi-cloudstrategie; ze maken gebruik van de infrastructuur van meer dan één cloudprovider. Daarnaast laten voorspellingen van Intuit zien dat 78 procent van de ‘small businesses’ in 2020 volledig in de cloud zal werken. Door data op te slaan in virtuele omgevingen worden bedrijven flexibeler en besparen ze kosten op hun eigen IT-infrastructuur. Zodoende doen ze makkelijker zaken en kunnen ze op termijn meer inkomsten genereren. De cloud is een mooie technologie, die organisaties helpt: de productiviteit te verhogen, beter samen te werken, IT-strategieën te schalen en de kostenefficiency van hun infrastructuur te verbeteren. Er kan echter een zeer giftige adder onder het groene gras van cloud-computing zitten: Ransomware.

Het probleem met Cerber

Ransomware is een vloek voor bedrijven over de gehele linie. Eerder deze week maakte het Nationaal Cyber Security Centrum (NCSC) nog bekend dat overheidsinstellingen regelmatig bestookt worden met ransomware. Zelf in die mate dat elke tien dagen een gemeente, ministerie of een bedrijf melding maakt van een poging hiertoe. Ook andere onderzoeken en cijfers belichten de ransomware-realiteit. Na eerst data en applicaties te hebben vergrendeld en versleuteld, chanteren hackers organisaties voor losgeld – meestal in bitcoins. Ransomware kan op verschillende manieren bedrijfsnetwerken binnendringen. Een populaire manier is een nietsvermoedende medewerker zover krijgen dat hij een besmette e-mailbijlage opent.

Zelfs programma’s met behoorlijke beveiligingscontroles worden door hackers aangevallen. Zij gebruiken ‘social engineering’-technieken: kwaadwillende personen zoeken naar wegen om bedrijfsnetwerken binnen te dringen om data en applicaties onbruikbaar te maken. Recentelijk hebben onderzoekers van Trend Micro uitgevonden dat een specifieke ‘strain’ van malware een ware verwoesting heeft aangericht onder gebruikers van Microsoft 365-tools. De laatste variant ervan heet RANSOM_CERBER.CAD, en hij wordt ingezet tegen zowel zakelijke als particuliere gebruikers van Microsofts cloudbased productiviteitsplatform.

“Deze variant van Cerber kan 442 bestandstypen coderen, gebruikmakend van een combinatie van AES-265 en RSA. De Internet Explorer Zone Settings worden veranderd, kopieën worden verwijderd en Windows Startup Repair wordt onklaar gemaakt, terwijl de processen van Outlook, The Bat!, Thunderbird en Microsoft Word worden stopgezet”, zo rapporteren de Trend Micro-onderzoekers. “Na het uitvinden van het land van herkomst van het geïnfecteerde systeem, beëindigt de ransomware zijn activiteiten zodra hij uitvindt dat hij draait in CIS-landen.”

Het eerste geval van e-mails met Cerber-ransomware werd in mei 2016 door Trend Micro-onderzoekers gevonden. De strain van malware is echter nóg actiever geworden. In maart schreef threat response engineer Rhena Inocencio dat RANSOM_CERBER.A in staat was een audioboodschap af te spelen, gebruikmakend van een computerstem – een boodschap dat de bestanden van de gebruiker versleuteld zijn en hij, om als rechtmatige eigenaar weer toegang te krijgen, losgeld moest betalen.

Eveneens beangstigend aan Cerber is dat het mogelijk gecreëerd is om aan hackers te worden verkocht. Noem het maar een OEM-malware-strain, die door kwaadwillende personen kan worden aangeschaft om daarna met een eigen boodschap te verzenden. “Nader onderzoek bracht naar voren dat je juist deze ransomware vrij eenvoudig naar je hand kunt zetten. De bezitter ervan kan heel makkelijk de losgeldeis, de aan te vallen extensies en de landen op de zwarte lijst veranderen”, aldus Inocencio. “Dit doet vermoeden dat Cerber is ontworpen om aan andere cybercriminelen te worden verkocht en aan hun wensen te kunnen worden aangepast.”

Cerber is niet de enige ransomware die rondwaart om misbruik te maken van de cloudomgeving. Doug Olenick, die voor SC Magazine schrijft, maakt melding van een nieuwe strain van malware, genaamd cuteRansomware. Die gebruikt Google Docs als vertrekpunt om netwerken binnen te dringen. Met Google Docs kunnen kwaadwillende zowel malware installeren alsook, via command-and-control, data onttrekken – door het bij ‘traditionele’ beveiligingstools ontbreken van zicht op de SSL.

Social engineering en phishing: Ransomware’s gezworen kameraden

Andere bedrijven waren wél succesvol in het aanpakken van cloudbased malware, al was het maar net. Zo kwam, volgens KrebsonSecurity, een bedrijf genaamd Children in Film achter het belang van back-ups van álle data. De totale operatie van het bedrijf loopt via de cloud. Toen een nietsvermoedende medewerker een onbekende bijlage opende kon de hele organisatie niet meer bij zijn data en applicaties.

Gelukkig maakte de could-provider dagelijks back-ups van de bestanden van het bedrijf. Evengoed kostte de aanval het bedrijf bijna een week om alles te herstellen. Een ander punt van aandacht was dat Children in Film aan het einde van het kalenderjaar zat en de operaties daardoor waren stopgezet. Hierdoor was de verstoring niet zo omvangrijk als hij had kunnen zijn. En dan was er nog een zwakke plek in de malware, waardoor beveiligers de data konden terugkrijgen zonder het losgeld te betalen.

Dat is bijzonder. Meestal móét losgeld worden betaald. In het ergste geval vindt de kritische downtime juist in het hoogseizoen van de business plaats. Vandaar dat het zo belangrijk is dat bedrijven alle opties om de cloud afdoende te beveiligen goed afwegen.

Cloudbeveiligingsoplossingen zijn noodzakelijk

Bedrijven staan in eerste instantie wat huiverig tegenover investeren in cloudbased tools, omdat ze denken dat het in de cloud minder veilig is dan binnen de eigen infrastructuur. Dit is een misvatting. Cloudomgevingen van een erkend leverancier zijn minstens even veilig en mogelijk veiliger dan uw eigen ‘on-premise’ oplossing. Sterker nog, MarketsandMarkets berekende dat in 2019 de cloudbeveiligingsmarkt een indrukwekkende $8,71 miljard waard zal zijn. Dit houdt in dat bedrijven de komende jaren meer investeren in betere beveiligingstools voor hun IT-omgeving dan ooit tevoren. Buiten dat zijn cloud-providers louter voor één product verantwoordelijk – de cloud – en daardoor kunnen ze meer budget richten op het creëren van een zo veilig mogelijke omgeving voor hun klanten.

Dit betekent overigens niet dat organisaties niet moeten oppassen wanneer ze hun data en applicaties in de cloud onderbrengen. Zoals de Cerber-aanvallen bewijzen, evenals de precaire situatie bij Children in Film, is het back-up’en van data en het zeker stellen van een optimaal beveiligde cloudinfrastructuur noodzakelijk om iedere vorm van indringing te voorkomen. Data veilig houden is echt van het allergrootste belang, omdat doelgerichte aanvallen zich nu eenmaal in vele gedaantes kunnen aandienen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *