Meeste cyberaanvallen gericht op back-ups om betaling van losgeld af te dwingen
Cyberverzekeringen worden te duur
26 mei 2023 -
Organisaties van elke omvang worden steeds vaker het slachtoffer van ransomware-aanvallen en zijn onvoldoende beschermd tegen deze toenemende cyberdreiging. Volgens nieuwe gegevens in het Veeam 2023 Ransomware Trends Report zal een op de zeven organisaties in de komende tijd ervaren dat bijna alle (> 80 procent) gegevens zijn aangetast als gevolg van een ransomware-aanval.
Dit legt een aanzienlijke leemte in de bescherming bloot. Veeam Software, expert op het gebied van gegevensbescherming en herstel van ransomware, ontdekte dat aanvallers zich bijna altijd (93 procent+) richten op back-ups tijdens cyberaanvallen en er in 75 procent van die gevallen in slagen het vermogen van hun slachtoffers om te herstellen te ondermijnen. Dit onderzoek benadrukt nogmaals de noodzaak voor onveranderlijke back-ups en air gaps om ervoor te zorgen dat back-ups worden beschermd.
Het Veeam 2023 Ransomware Trends Report deelt inzichten van 1.200 getroffen organisaties en bijna 3.000 cyberaanvallen, waardoor het een van de grootste rapporten in zijn soort is. Het rapport omvat de belangrijkste conclusies van deze incidenten, hun impact op IT-omgevingen en de stappen die zijn genomen of nodig zijn om strategieën voor gegevensbescherming te implementeren die de veerkracht van organisaties waarborgen. Dit onderzoeksrapport omvat vier verschillende rollen die betrokken zijn bij cyberparaatheid en/of -mitigatie, waaronder beveiligingsprofessionals, CISO's of vergelijkbare IT-managers, IT Operations-generalisten en back-upbeheerders.
"Het rapport laat zien dat het er vandaag niet om gaat OF je organisatie het doelwit wordt van een cyberaanval, maar hoe vaak. Hoewel beveiliging en preventie belangrijk blijven, is het van cruciaal belang dat elke organisatie zich richt op hoe snel ze kunnen herstellen door hun organisatie veerkrachtiger te maken," aldus Danny Allan, CTO bij Veeam. "We moeten ons richten op effectieve voorbereiding op ransomware door ons te concentreren op de basis, inclusief sterke beveiligingsmaatregelen en het testen van zowel originele gegevens als back-ups, het waarborgen van de overlevingskansen van de back-upoplossingen en het zorgen voor afstemming tussen de back-up- en cyberteams zodat zij werken vanuit dezelfde visie."
Het betalen van het losgeld garandeert geen herstel
Voor het tweede jaar op rij betaalde de meerderheid (80 procent) van de ondervraagde organisaties het losgeld om een aanval te beëindigen en gegevens te herstellen. Dit is vier procent meer dan het jaar ervoor. Dit ondanks dat 41 procent van de organisaties een ‘Do-Not-Pay’-beleid voor ransomware hanteert. Hoewel 59 procent het losgeld betaalde en gegevens kon herstellen, betaalde 21 procent het losgeld zonder dat het de gegevens terugkreeg van de cybercriminelen. Bovendien vermeed slechts zestien procent van de organisaties het betalen van losgeld omdat ze in staat waren om te herstellen van back-ups. Helaas is wereldwijd het percentage van organisaties dat in staat is om zelf gegevens te herstellen, zonder losgeld te betalen, gedaald ten opzichte van de negentien procent in de enquête van vorig jaar.
Om te voorkomen dat u losgeld moet betalen, moeten uw back-ups overleven
Na een ransomware-aanval hebben IT-leiders twee keuzes: het losgeld betalen of herstellen vanaf een back-up. Wat het herstel betreft, blijkt uit het onderzoek dat criminelen bij bijna alle (93 procent) cybergebeurtenissen proberen de back-ups aan te vallen, waardoor 75 procent ten minste een deel van hun back-ups verliest tijdens de aanval. Meer dan een derde (39 procent) van de back-ups gaat hierbij zelfs volledig verloren.
Door de back-upoplossing aan te vallen, verwijderen aanvallers de optie van herstel en dwingen ze organisaties in feite het losgeld te betalen. Hoewel best practices, zoals het beveiligen van back-ups, het automatiseren van cyberdetectiescans van back-ups en het automatisch verifiëren dat back-ups kunnen worden hersteld, gunstig zijn voor bescherming tegen aanvallen, is uiteindelijk de belangrijkste tactiek ervoor te zorgen dat de back-ups niet kunnen worden verwijderd of beschadigd. Om dit mogelijk te maken, moeten organisaties zich richten op onveranderlijkheid (immutability). Het goede nieuws is dat we kunnen leren van ervaringen van andere slachtoffers. 82 procent gebruikt onveranderlijke clouds, 64 procent gebruikt onveranderlijke schijven en slechts twee procent van de organisaties heeft geen onveranderlijkheid in ten minste één laag van hun back-upoplossing.
Niet opnieuw infecteren tijdens herstel
Toen de respondenten werd gevraagd hoe ze ervoor zorgen dat gegevens 'schoon' zijn tijdens het herstel, gaf 44 procent van de respondenten aan een of andere vorm van geïsoleerde staging uit te voeren om gegevens uit back-ups te scannen voordat ze opnieuw in de productieomgeving worden geïntroduceerd. Helaas betekent dit dat de meerderheid (56 procent) van de organisaties het risico loopt de productieomgeving opnieuw te infecteren omdat ze geen middelen inzetten die zorgen voor schone gegevens tijdens het herstel. Daarom is het belangrijk om tijdens het herstelproces de gegevens grondig te scannen.
Andere opmerkelijke bevindingen uit het Veeam 2023 Ransomware Trends Report zijn:
Cyberverzekeringen worden te duur: 21 procent van de organisaties geeft aan dat ransomware nu specifiek is uitgesloten van hun polissen. Organisaties met een cyberverzekering zagen veranderingen in hun nieuwste polis: 74 procent zag hogere premies, 43 procent zag hogere eigen risico's, tien procent zag verminderde dekkingsvoordelen.
Draaiboeken voor incident response zijn afhankelijk van back-up: 87 procent van de organisaties heeft een risicobeheerprogramma dat hun routekaart voor beveiliging stuurt, maar slechts 35 procent gelooft dat dit programma goed werkt, terwijl 52 procent probeert hun situatie te verbeteren en dertien procent nog niet een vast programma heeft. Uit het onderzoek blijkt dat de meest voorkomende elementen van het 'draaiboek' ter voorbereiding op een cyberaanval schone back-ups zijn en terugkerende verificatie dat de back-ups kunnen worden hersteld.
Organisatorische afstemming blijft een aandachtspunt: Hoewel veel organisaties ransomware als een ramp beschouwen en daarom cyberaanvallen opnemen in hun Business Continuity of Disaster Recovery (BC/DR)-planning, zegt 60 procent van de organisaties dat ze nog steeds aanzienlijke verbeteringen of volledige revisies nodig hebben van hun back-up- en cyberteams om voorbereid te zijn op dit scenario.