Dagboek van een ransomware-aanval: een kijkje achter de schermen bij het incident met Colonial Pipeline

Oktober 8, 2021
Kaseya
Ransomware

Ransomware is een vernietigende klap voor elke organisatie. Financiële schade is het eerste waar je aan denkt, maar andere aspecten van het incident kunnen net zo erg zijn of zelfs erger. De verstoring van slechts één ransomware-aanval werkt door in de hele operatie en creëert een rimpeleffect dat verstrekkende gevolgen kan hebben. Het ransomware-incident bij Colonial Pipeline in mei 2021 is een goed voorbeeld van hoe dat rimpeleffect werkt.   

Bedrijven die getroffen worden door ransomware verliezen naar schatting gemiddeld zes werkdagen en 37% van hen ervaart downtime van een week of meer. Dat is iets wat niemand zich kan veroorloven, vooral nu de budgetten krap zijn in een onzekere economie. De verstoring bij Colonial Pipeline had niet alleen gevolgen voor hun productiviteit, maar ook voor het dagelijks leven van veel Amerikanen en vestigde de aandacht op het gevaar van cyberaanvallen op infrastructuur of kritieke diensten. De meeste ransomware-aanvallen zijn complexe, schimmige operaties en de exacte details komen zelden aan het licht. Maar het Colonial Pipeline ransomware-incident is uitgebreid onderzocht, onderzocht en gerapporteerd, en dat biedt een zeldzame blik op hoe een ransomware-aanval in zijn werk gaat. 

5 feiten over Ransomware tegen. Bedrijven om te onthouden 

Het verhaal van het incident met de Koloniale pijpleiding

De bediening instellen 

DeDarkSide-ransomwarebendeverwierf bekendheid door een succesvolle aanval op Colonial Pipeline, waarmee ze naar schatting iets meer dan 4 miljoen dollar verdienden. Maar die operatie werd niet rechtstreeks uitgevoerd door de ontwikkelaars en operators van DarkSide. In plaats daarvan werd de hack op Colonial Pipeline uitgevoerd door een partner van de grotere operatie, die gebruikmaakte van de eigen malware van DarkSide.  Die gelieerde onderneming huurde viadark web-forumszijn eigen onderaannemers in en verzamelde resources dark web-datamarkten en -dumps om de daad te verrichten. 

Toen sloeg de satellietbende toe en haalde Colonial Pipeline binnen met een verwoestende aanval die de grootste brandstofpijpleiding in de VS stillegde. Het toegangspunt voor de bende was een enkel gecompromitteerd werknemerswachtwoord dat hen de sleutels tot het koninkrijk gaf. Met behulp van dat gestolen wachtwoord drong de DarkSide-partner door security toegegeven lakse digitale security van Colonial Pipeline heen security leverde zijn lading, de eigen ransomware van DarkSide, om de systemen en gegevens van Colonial Pipeline te versleutelen. Daarna kwam het makkelijke deel: de partner stelde een timer in voor de implementatie van de malware, stelde zijn losgeld eis en leunde achterover om op zijn geld te wachten.  

De val zetten

Iets meer dan een week na de eerste inbraak begon de ransomware-infectie, waarmee het eindspel van de operatie van het filiaal werd ingeluid. Een werknemer die aan zijn werkdag begon in de centrale controlekamer van Colonial Pipeline zag een losgeldbrief met cryptocurrency op zijn computer verschijnen en belde zijn supervisor. Toen begon de race voor Colonial Pipeline om de infectie te slim af te zijn en hun systemen en gegevens te beschermen. Na het afsluiten van de pijpleiding om te proberen de schade te beperken en te voorkomen dat de hackers verder zouden binnendringen, moest Colonial experts inschakelen om te helpen.  

De aanvallers sloten de Colonial Pipeline af met een verwoestend effect, waardoor de benzinetoevoer in het oosten van de VS werd verstoord. De mediahype rond de aanval zorgde ervoor dat bezorgde consumenten in lange rijen gingen staan wachten bij benzinestations uit angst voor een mogelijk langdurig dreigend brandstoftekort dat niet echt werkelijkheid werd. Maar dat deed er niet toe. Elk groot nieuwskanaal besteedde aandacht aan dit grote verhaal en cyberbeveiliging werd het favoriete onderwerp van iedereen, vooral met betrekking tot het gebruik van cyberbeveiliging in oorlogsvoering en hacken door natiestaten, hoewel uiteindelijk werd vastgesteld dat dit geen operatie was van bedreigers door natiestaten, maar gewoon hebzuchtige cybercriminelen.  

De vruchten plukken (en de gevolgen) 

Naast het losgeld dat werd betaald voor de ontsleuteling, stal de bende naar schatting 100 gigabyte aan gegevens die mogelijk zeer gevoelig waren. Dat gaf hen een extra mogelijkheid om winst te maken, of Colonial Pipeline er nu voor koos om het losgeld te betalen of niet. Bovendien betekent het betalen van de aanvallers niet dat de gegevens van het slachtoffer volledig worden teruggegeven en niet worden gedupliceerd of gebruikt in een andere cybercriminele operatie. Er is nooit een garantie dat de bende je gegevens niet al heeft gekopieerd en verkocht en je kunt er nooit zeker van zijn of ze de waarheid spreken als ze zeggen dat ze dat niet hebben gedaan. In feite is minder dan 60% van de bedrijven die losgeld betalen in staat om zelfs maar een deel van hun gegevens te herstellen en 39% van de bedrijven die losgeld betalen zien nooit meer iets van hun gegevens terug. 

Volgens elke standaard was de aanval van de DarkSide-partner een doorslaand succes. De aanvallers scoorden een grote betaaldag en een schat aan waardevolle gegevens. Colonial Pipeline betaalde de aanvallers in korte tijd ten minste een losgeld van 4,4 miljoen dollar. De grotere DarkSide bende verdiende ook geld: volgens onderzoekers van FireEye moeten DarkSide filialen ongeveer 25% van de losgeldbetalingen onder de 500.000 dollar en 10% van alle succesvolle losgeldincasso's boven de 5 miljoen dollar naar de grotere bende sturen.  

De cybercriminelen die deze operatie hebben uitgevoerd, hebben indruk gemaakt op het wereldtoneel en in hackerkringen. Ze hebben resources verzameld resources toekomstige cybercriminaliteit te kunnen uitvoeren. Ze hebben hun reputatie en die van de bende in zekere zin versterkt, maar tegelijkertijd een probleem gecreëerd dat uiteindelijk heeft geleid tot de ondergang van DarkSide. Een grootschalig en goed gefinancierd onderzoek naar de omstandigheden en de spelers in de aanval op Colonial Pipeline dwong DarkSide ondergronds te gaan en de organisatie werd officieel ontbonden. Een deel van het losgeld werd later door de FBI teruggevonden tijdens een cybercriminaliteitsoperatie. 

Ransomware is erg winstgevend, vooral de dubbele versleuteling waar DarkSide de voorkeur aan gaf. Voordat de bende op zwart ging na het Colonial Pipeline incident, had DarkSide volgens blockchain analisten van Elliptic$90 miljoen aan bitcoin losgeldbetalingen ontvangen in de loop van zijn korte bestaan. Zij schatten verder dat de gemiddelde ransomware betaling in een DarkSide operatie ongeveer $1,9 miljoen was. Van de totale buit die DarkSide operaties binnenhaalden, schatten deze experts dat $15,5 miljoen naar de ontwikkelaar van DarkSide ging, terwijl $74,7 miljoen naar zijn filialen ging. 

De vooruitzichten zijn niet goed 

Door deze aanval kwam ransomware centraal te staan in een bredere maatschappelijke discussie over hoe je belangrijke resources kunt beschermen resources cybercriminaliteit in de digitale wereld kunt tegengaan. In de nasleep van deze aanval heeft de Amerikaanse federale overheid een Ransomware One-Stop-site geopend om alle beschikbare resources van de overheid resources één dak te brengen en zo bedrijven support de strijd tegen cybercriminaliteit. Dat is ook een welkome aanvulling van middelen, want ransomware-aanvallen blijven bedrijven treffen en hebben in het tweede kwartaal van 2021 een ongekend hoog niveau bereikt.  

  • Ransomware is nu goed voor 69% van alle aanvallen met malware  
  • Dat is een stijging van 30% ten opzichte van hetzelfde kwartaal in 2020. Deze stijging omvat  
  • Alleen al in april 2021 was er een enorme stijging van 45% in ransomware-aanvallen. 
  • Britse onderzoekers merkten op dat 22% van de aanvallen in het eerste kwartaal van 2021 ransomware was    

De toekomst van het risico op Ransomware 

Wat kunnen we verwachten in de evolutie van ransomware en cybercriminaliteit in de nabije toekomst? Hier zijn drie van onze voorspellingen.  

  1.  Meer gebruik van Ransomware als wapen 

In december 2020 werd de ware impact van een massale, nauwkeurig gerichte aanval door een natiestaat gevoeld door de overheid van de Verenigde Staten en veel grote bedrijven in de nasleep van een inbreuk bij cyberbeveiligingssoftwaregigant SolarWinds. Een wirwar van achterdeurtjes, valse patches, compromittering van zakelijke e-mails, kwaadaardige code, phishing en nog veel meer werd ontrafeld, waardoor het alarmerende feit aan het licht kwam dat waarschijnlijk door Rusland gesponsorde hackers al maandenlang in de systemen van de Amerikaanse overheid en defensie zaten en toegang hadden tot allerlei soorten informatie. Dezelfde groep hackers werd ook in verband gebracht met aanvallen op Microsoft, Cisco, FireEye en andere grote technische spelers. Dit is een van de grootste demonstraties tot nu toe van het gebruik van ransomware als middel voor spionage of zelfs oorlog. 

2. Phishing-risico dat nooit stopt met stijgen  

Het risico op phishing neemt explosief toe, met een stijging van bijna 300% in 2021 ten opzichte van de recordcijfers van 2020. Een deel van die stijging kan worden toegeschreven aan de voortdurende pandemische lockdowns, waardoor werken op afstand en nieuwe hybride werkmodellen worden uitgebreid. Helaas heeft naar schatting 74% van de organisaties in de Verenigde Staten ten minste één phishingaanval meegemaakt in 2020, en 80% van de respondenten in een Brits onderzoek zei dat ze ook een toename hebben ervaren in het aantal phishingaanvallen waarmee hun organisatie te maken heeft gehad. 

3. Toename in strategische aanvallen met uiterste precisie 

Onderzoekers stelden vast dat gerichte ransomware met maar liefst 767% is toegenomen, waarmee alle andere soorten in de schaduw worden gesteld. Deze toename van zorgvuldig sociaal gemanipuleerde kwaadaardige berichten is vooral voelbaar in de APAC-regio. Recente cijfers van Britse onderzoekers vertellen ook een angstaanjagend verhaal, met een recordstijging van 11% op jaarbasis in aanvallen tegen Britse doelen in het eerste kwartaal van 2021. Britse bedrijven werden tussen januari en maart 2021 geconfronteerd met gemiddeld 172.079 cyberaanvallen per aanval, wat neerkomt op 1.912 aanvallen per dag. Cybercriminelen kiezen hun doelwitten verstandig om zoveel mogelijk voordeel te halen uit elke aanval en om onderzoeken door de wetshandhavingsinstanties, die hen in het nauw zouden kunnen brengen, tot een minimum te beperken. 

Ontdek het geheim van een sterke verdediging tegen Ransomware 

Het stoppen van ransomware begint met het stoppen van phishing. Zet in een handomdraai een slimme verdediging op tegen ransomwarebedreigingen met geautomatiseerde, AI-aangedreven e-mailbeveiliging van Kaseya 365 User. Kaseya 365 User is de ideale keuze om de stroom gevaarlijke phishing-e-mails die op elk bedrijf afkomt te bestrijden. Het biedt meer bescherming met drie krachtige beveiligingslagen. 

  • TrustGraph gebruikt meer dan 50 afzonderlijke gegevenspunten om inkomende berichten volledig te analyseren voordat ze in de inbox van medewerkers terechtkomen. TrustGraph leert ook van elke analyse die wordt voltooid en voegt die informatie toe aan de kennisbank om je bescherming voortdurend te verfijnen en te blijven leren zonder menselijke tussenkomst.  
  • EmployeeShield voegt een helder, opvallend vakje toe aan berichten die gevaarlijk kunnen zijn, waardoor medewerkers op de hoogte worden gebracht van onverwachte communicatie die ongewenst kan zijn en medewerkers het bericht met één klik kunnen melden voor controle door de beheerder.    
  • Met Phish911 kunnen werknemers elk verdacht bericht dat ze ontvangen direct melden. Wanneer een werknemer een probleem meldt, wordt de e-mail in kwestie niet alleen verwijderd uit de inbox van die werknemer - het wordt verwijderd uit de inbox van iedereen en automatisch in quarantaine geplaatst voor controle door de beheerder. 

De keuze is duidelijk: slimme, geautomatiseerde e-mailbeveiliging is de juiste keuze voor bedrijven in 2021 en daarna. Laat ons u helpen uw bedrijf de grote voordelen van geautomatiseerde beveiliging te bieden tegen een lage prijs, zonder in te boeten aan functionaliteit of innovatie, wanneer u kiest voor Kaseya 365 User.Boek vandaag nog een demo.

Eén compleet platform voor IT- en Security

Kaseya is de alles-in-één oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya

Eén platform. Alles omtrent IT.

Klanten van Kaseya profiteren van de voordelen van de beste IT-beheer- en beveiligingstools in één enkele oplossing.

Ontdek Kaseya

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeelde risico's en toegewijde support voor uw bedrijf.

Ontdek Partner First Pledge

Wereldwijd MSP rapport 2025

Het Global MSP Report 2025 van Kaseya is uw onmisbare bron van informatie om te begrijpen waar de sector naartoe gaat.

Nu downloaden

Ontdek categorieën

Van phishing tot ransomware: hoe Kaseya 365 User uw SaaS-apps beschermt

SaaS-applicaties, zoals Microsoft 365 en Google Workspace, ondersteunen bijna elk aspect van de digitale activiteiten van vandaag. Echter, aangezien bedrijvenMeer lezen

Lees blogbericht

Wat is Ransomware-as-a-Service (RaaS)?

Ransomware-as-a-service is een bedrijfsmodel waarbij cybercriminelen ransomware ontwikkelen en deze verkopen of verhuren aan partners. Leer hoe het werkt en hoe u het kunt tegenhouden.

Lees blogbericht

Voorkom IT-hartzeer deze Valentijnsdag met Ransomware-detectie

Deze Valentijnsdag willen cybercriminelen van over de hele wereld je hart breken. Hun doel is om in te breken inMeer lezen

Lees blogbericht