Waar cybercriminelen vroeger weken tot zelfs enkele maanden aanwezig waren in het netwerk van een doelwit alvorens ze zichtbaar toesloegen, is dat vandaag bijna nooit langer dan zes dagen. Dat komt omdat het hele ecosysteem achter cybercriminaliteit drastisch veranderd is.
Vandaag zijn aanvallers vier tot maximaal zes dagen aanwezig in het netwerk van hun doelwit. Dat vertelt Geert Baudewijns, CEO en oprichter van Secutec, in aanloop naar de CyberNova-conferentie in Antwerpen. “Amper twee jaar geleden ging het nog om weken, maar vandaag zijn er weinig gevallen waarin ze langer dan zes dagen in het netwerk blijven.”
Snelle evolutie
De modus operandi van cybercriminelen is daarmee op heel korte tijd sterk geëvolueerd. In 2022 was het nog normaal dat aanvallers zo’n drie maanden toegang hadden tot een bedrijfsnetwerk, waarna ze hun aanwezigheid zelf bekendmaakten door ransomware los te laten. Die tijd gebruikten ze om het netwerk in kaart te brengen, lateraal te bewegen, bijkomende toegang te krijgen en boeiende gegevens te exfiltreren. Pas daarna startte de encryptie, gevolgd voor een vraag naar losgeld.
Dat is vandaag helemaal veranderd, stelt Baudewijns vast vanuit zijn expertise als onderhandelaar met cybercriminelen in geval van afpersing. De oorzaak ligt bij een fundamentele verschuiving in het ecosysteem van de aanvallers zelf.
Versnipperd landschap
“Het ransomware-landschap bestaat uit verschillende organisaties met gespecialiseerde rollen, die allemaal samenwerken”, zegt hij. “Er zijn professionele hackers, programmeurs die ransomware-platformen maken, onderhandelaars, en criminelen die van al die diensten gebruik maken.”
Het is dus niet zo dat één bende binnenbreekt, ransomware ontwikkelt, data stelen en pc’s versleuteld: de criminelen die binnenbreken, zijn niet dezelfde als diegene die ransomware-tools bouwen. Toegang tot een netwerk en ransomware-as-a-service worden allebei verkocht en gekocht door partijen die er dan mee aan de slag gaan.
Minder loyaliteit
Dat was enkele jaren geleden ook al, maar de dynamiek was anders. Toen verkochten hackers toegang aan een ransomware-collectief met een initiële (lage) kostprijs en de belofte van bijvoorbeeld twintig procent van de winst als het doelwit zou betalen. De aanvallers die de initiële toegang tot netwerken verkochten, waren best trouw aan de ransomwarebendes.
“Vandaag is die loyaliteit verdwenen”, ziet Baudewijns. Initiële toegang wordt vaak meerdere keren verkocht, aan verschillende ransomware-bendes. De winst voor de verkopers komt niet noodzakelijk meer van een percentage van het losgeld, maar van de verkoop van toegang en tools.”
Race tegen andere criminelen
Het resultaat daarvan is dat bendes doorgaans niet meer gegarandeerd alleen in het netwerk van hun doelwit aanwezig zijn. Wie het eerst data versleutelt, kan losgeld vragen. Daarom starten ze onmiddellijk met de exfiltratie van data, die intussen het hoofddoel van de aanval is. Al na een viertal dagen wordt de ransomware-payload dan losgelaten. Langer wachten houdt voor de bendes het risico’s in dat een concurrent ze de loef afsteekt.
“Nadat de payload wordt uitgerold en de vraag voor losgeld op tafel ligt, verdwijnen de hackers uit het netwerk”, weet Baudewijns. “Ze zullen nooit het risico nemen om nog langer aanwezig te blijven.”
De vrees voor concurrentie is niet de enige motivator om sneller te werk te gaan. Betere detectie bij doelwitten speelt ook een rol. Hoe langer criminelen aanwezig zijn in het netwerk, hoe groter de kans dat ze daadwerkelijk worden ontdekt.
Daarom wordt ransomware en datadiefstal meer dan ooit bandwerk. “Ransomware-bendes kopen pas toegang tot het netwerk van een slachtoffer op het moment dat ze iemand ter beschikking hebben om er onmiddellijk mee aan de slag te gaan”, weet Baudewijns.
Focus op de kmo
Met die nieuwe realiteit in het achterhoofd, is het profiel van geliefkoosde doelwitten veranderd. ’s Werelds grootste bedrijven zijn niet meer de relevantste slachtoffers van bendes. Zij hebben complexe en gesegmenteerde netwerken met geavanceerdere beveiliging.
Baudewijns: “Bedrijven met tien tot 500 zitjes met een vlakke netwerktopologie zitten in de sweetspot.” Het zijn met andere woorden kmo’s die vandaag vooral geviseerd worden.
Dat alles verandert de manier waarop organisaties zich dienen te beveiligen. Aanvallers viseren geen specifieke bedrijven, maar kopen toegang waar ze die kunnen krijgen. De zichtbaarheid op het internet verminderen en ervoor zorgen dat je geen eenvoudig doelwit bent, is de belangrijkste manier van bescherming. Best practices gelden ook nog steeds: een goede hygiëne, tweefactor-authenticatie en vooral snel patchen, zijn allemaal stappen in de goede richting.