Ransomware-bendes kunnen contact opnemen met insiders van het bedrijf om de inbreuk gemakkelijker te maken. Hier is hoe ze het doen.
Ransomware is een van de meest schadelijke vormen van cybercriminaliteit. Naarmate gegevens waardevoller worden, hebben criminelen ontdekt dat ze grotere uitbetalingen kunnen krijgen door ze vast te houden voor losgeld. Deze aanvallen komen angstaanjagend veel voor en sommige ransomware-bendes rekruteren zelfs insiders van het bedrijf om hen te helpen.
Bedrijven die zich willen beschermen tegen ransomware moeten nu met meer rekening houden dan alleen bedreigingen van buitenaf. De volgende aanval kan van binnenuit komen.
Waarom willen ransomware-bendes insiders?
Werknemers om hulp vragen bij een misdrijf lijkt een goede manier om alarm te slaan, dus waarom zouden ransomware-bendes dat risico nemen? Het meeste komt neer op insiders die ervoor zorgen dat deze aanvallen meer kans van slagen hebben.
Velen zijn het erover eens dat insiders grotere risico's vormen dan bedreigingen van buitenaf
omdat ze al toegang hebben tot gevoelige informatie en veel bedrijven interne risico's over het hoofd zien. Als gevolg hiervan kunnen werknemers een enorme hulp zijn voor ransomware-bendes als ze overtuigd zijn om te helpen. In plaats van bestaande lagen van complexe beveiligingssystemen te moeten hacken, kunnen cybercriminelen eenvoudig een bestand naar een medewerker e-mailen om op de computers van het bedrijf te installeren.Het kan steeds moeilijker worden om een bedrijf te hacken als de beveiliging zo sterk is. Mensen zijn daarentegen net zo gemakkelijk te manipuleren als altijd. Het werven van een insider maakt het veel gemakkelijker om een succesvolle ransomware-aanval uit te voeren, wat vaak een grote uitbetaling betekent.
Wervingsmethoden voor insiders
Voorkomen dat ransomware-bendes insiders hun vuile werk laten doen, begint met te leren hoe ze het doen. Hier zijn enkele van de meest voorkomende methoden.
Social engineering
Phishing of andere vormen van social engineering zijn verantwoordelijk voor een groot percentage van de ransomware-aanvallen, en het is duidelijk waarom. Het is gemakkelijker om iemand te rekruteren om te helpen bij een misdrijf als ze niet weten dat ze dat doen. Ransomware-bendes kunnen werknemers ertoe brengen kwaadaardige software te installeren zonder dat ze zich hiervan bewust zijn.
Deze aanvallen komen meestal via e-mail of sms, vaak met een link of bijlage die er legitiem uitziet. Wanneer de nietsvermoedende insider erop klikt, installeert het bestand of de link ransomware op hun werkapparaat. Als gevolg hiervan geeft het ransomware-bendes insider-toegang zonder iemand te hoeven overtuigen om willens en wetens een misdaad te plegen.
Ransomware-bendes zijn de laatste jaren ook meer op de voorgrond treden. Volgens Bravura-beveiliging, zegt maar liefst 65 procent van de IT-professionals dat criminelen rechtstreeks contact met hen of hun werknemers hebben opgenomen over hulp bij een ransomware-aanval. Dat is een stijging van 17 procent ten opzichte van het niveau van 2021.
Net als bij phishing komen deze verzoeken meestal via e-mail, maar sommige ransomware-bendes nemen contact op via telefoongesprekken of sociale media. In de meeste gevallen proberen ze werknemers te overtuigen om te helpen door ze om te kopen. Bendes bieden honderdduizenden dollars in contanten, cryptocurrency of een deel van het losgeld in ruil voor het installeren van ransomware.
Crowdsourcing
Beveiligingsonderzoekers hebben ook gemerkt dat sommige ransomware-bendes hun aanvallen proberen te crowdsourcen. Cybercriminelen posten op openbare fora of gecodeerde sociale platforms zoals Telegram en roepen mensen met insider-toegang op om contact met hen op te nemen. Ze kunnen zelfs openbare peilingen houden over op wie ze zich moeten richten of welke gegevens ze moeten lekken.
Deze openbare berichten bereiken een breder publiek, wat mogelijk de kans op insiderhulp vergroot. Volgens Vergelijkingstechnologie, een gemiddeld losgeld is meer dan $ 2 miljoen, zullen ransomware-bendes meer dan genoeg verdienen aan een succesvolle aanval om ook meerdere medewerkers te betalen.
Voorbeelden van insiders die ransomware-aanvallers bijstaan
Aanvallen als deze zijn gericht op enkele van 's werelds meest herkenbare bedrijven. 2021, AP Nieuws meldde dat een cybercrimineel een Tesla-medewerker $ 500.000 aanbood om ransomware op bedrijfscomputers te installeren. In dit geval meldde de werknemer het incident in plaats van het geld te nemen, maar het benadrukt de omvang van deze aanvallen.
Andere bedrijven hebben minder geluk gehad. In 2019 kreeg een ontevreden ex-werknemer van technisch ondersteuningsbedrijf Asurion $ 50.000 per dag van zijn voormalige werkgever na het stelen van gegevens over miljoenen klanten (volgens Bitdefender). Wetshandhavers slaagden erin de voormalige werknemer te pakken te krijgen, maar niet nadat het bedrijf al duizenden euro's aan losgeld had uitgegeven.
Het is vermeldenswaard dat hoewel deze aanvallen vaker voorkomen, ze ook niet noodzakelijkerwijs nieuw zijn. Volgens de FBI, heeft een Boeing-ingenieur tussen eind jaren zeventig en begin jaren 2000 honderdduizenden documenten gestolen als rekruut voor Chinese inlichtingendiensten. Deze instantie dateert van vóór ransomware, maar illustreert hoe extreem bedreigingen van binnenuit voor externe machten kunnen zijn.
Bedreigingen met insider-ransomware voorkomen
Gezien de enorme risico's moeten bedrijven er alles aan doen om te voorkomen dat insiders samenwerken met ransomware-bendes. Hier zijn drie cruciale stappen in de richting van dat doel.
Creëer een positieve werkcultuur
Een van de belangrijkste maatregelen die u kunt nemen, is zorgen dat medewerkers tevreden zijn in hun functie. Hoe minder een werknemer zijn werkgever mag, hoe groter de kans dat hij steekpenningen aanneemt van een ransomware-bende en zijn bedrijf helpt wraak te nemen. Door een positievere werkplek te creëren, wordt die dreiging geminimaliseerd.
Competitief loon is een belangrijk onderdeel van de tevredenheid van medewerkers, maar het is niet alles. A Gallup rapport laat zien dat slechts 28 procent van de werknemers salaris en secundaire arbeidsvoorwaarden noemt als de grootste verandering die hun werkplek geweldig zou maken, vergeleken met 41 procent die betrokkenheid en cultuurkwesties noemde. Door samen te werken met werknemers om ervoor te zorgen dat ze zich gerespecteerd, veilig en verzorgd voelen, kom je een heel eind.
Medewerkers trainen
Bedrijven moeten hun werknemers hierin opleiden spot social engineering-tactieken te. Veel insider-gerelateerde ransomware-aanvallen zijn het gevolg van ongelukken, zoals het klikken op een phishing-link. De sleutel tot het stoppen van deze incidenten is werknemers te leren waar ze op moeten letten.
Spelfouten, ongebruikelijke urgentie en situaties die te mooi klinken om waar te zijn, zijn veelvoorkomende indicatoren van phishing. Over het algemeen mogen werknemers niet op ongevraagde berichten klikken of erop reageren en nooit gevoelige informatie via e-mail verstrekken.
Implementeer Zero-Trust-beveiliging
Zero-trust-beveiliging is een andere essentiële stap in het voorkomen van insider-ransomwarebedreigingen. De zero-trust-benadering behandelt alles als potentieel vijandig, waarbij bij elke stap verificatie vereist is voordat toegang wordt verleend aan iets of iemand. Als onderdeel daarvan beperkt het ook de toegang, zodat elke werknemer alleen kan zien wat hij nodig heeft voor zijn werk.
Deze beveiligingsmodellen zijn moeilijker te implementeren dan traditionele benaderingen, maar ze zijn de beste keuze tegen bedreigingen van binnenuit. Omdat zelfs geautoriseerde insiders slechts toegang hebben tot een beperkte hoeveelheid bronnen, zal het werven van insiders een ransomware-aanval niet noodzakelijkerwijs de kosten waard maken.
Bedreigingen met insider-ransomware zijn beheersbaar
De trend dat ransomware-bendes insiders rekruteren, is niet per se nieuw, maar zit wel in de lift. Dat zou reden tot zorg moeten zijn, maar dat betekent niet dat je je er niet tegen kunt verdedigen.
Insider-ransomwarebedreigingen benadrukken het belang van het beperken van het vertrouwen in cyberbeveiliging. Bedreigingen kunnen overal vandaan komen, zelfs van vertrouwde werknemers, dus het is het beste om dingen zoveel mogelijk af te sluiten.