RANSOMWARE
& INTERNAL AUDIT
Antoine van Vlodorp 1 december 2021
1
Onderwerpen
2© Getty Images
Introductie Travelex
3
4
Remittance and international money transfer, zoals Western Union
Prepaid cards
Particulieren
5
Vreemde valuta en betaaldiensten voor supermarkten, banken en andere organisaties
UK voorbeelden: Tesco, Sainsbury’s, HSBC, Barclays en NatWest NL voorbeelden: Ziggo, CJIB, de Belastingdienst, organisaties van
concerten en festivals, Vodafone, internationale scheepvaart, Eneco, SNS Bank en Rabobank
Wholesale banknotes voor (centrale) banken
Wholesale
klanten
Oudejaarsdag 2019 slachtoffer van de Sodinokibi-ransomware, die ook bekendstaat als REvil.
Criminelen hebben een bekende kwetsbaarheid met de Pulse Secure VPN Servers gebruikt om het Travelex-netwerk binnen te komen.
Als gevolg van de ransomware-aanval werkten systemen en websites van Travelex niet langer.
Travelex betaalde criminelen achter ransomware-aanval 2,3 miljoen dollar.
Zelfs met een werkende decryptiesleutel heeft de herstart maanden geduurd.
Ransomware-aanval Travelex
6Bekende kwetsbaarheid niet opgemerkt
7Travelex gebruikte de Pulse Secure VPN enterprise solution voor veilige communicatie tussen haar kantoren en met partners.
Op 21 augustus 2019 heeft de leverancier, Pulse Secure, een
kwetsbaarheid gepubliceerd (CVE-2019-11510) en aangedrongen op het snel updaten van de software op de VPN servers.
Vlak na de publicatie van de kwetsbaarheid begonnen partijen het internet te scannen op kwetsbare endpoints.
Travelex was door externen geïnformeerd over de kwetsbaarheid
van haar Pulse Secure VPN
Servers op 13-09-2019
8
Eerlijkheid duur het langst..
911
Travelex Groep heeft na het faillissement met een nieuwe eigenaar en in afgeslankte vorm een doorstart gemaakt.
Verlies van landen, klanten en diensten soms permanent
12
Ransomware
© Ilse van Kraaij
• Versleutelt bestanden en mappen en 14
vervangt deze meestal door een
tekstbestand met contactgegevens van de hackers en betaalinstructies.
• Het probleem wordt mogelijk pas
ontdekt als geprobeerd wordt een van de versleutelde bestanden te openen.
• Sommige varianten van encryptie-
ransomware tonen een zogenaamd ‘lock screen’ of losgeldbericht.
Encryptie-
ransomware
Geschiedenis randsomware - 1
15Geschiedenis randsomware - 2
16Ransomware families
17
Aantal ransomware-
aanvallen bereikt nieuw record met 304,7 miljoen miljoen in eerste helft
2021
18
Stijging met 151% t.o.v.
1H 2020.
Ransomware is groeiende business
MID-YEAR 2021 UPDATE SONICWALL CYBER THREATREPORT
19
© Microsoft
20
© 2021 Veeam Software
Periode juli 2020-juni 2021 © Microsoft
Hoe verloopt een ransomware-aanval?
211) Hackers komen het netwerk binnen middels phishing, hacking of simpelweg wachtwoorden raden en installeren van kwaadaardige software.
2) Meer computers binnen het netwerk worden besmet en rechten worden uitgebreid – dit kan wel maanden duren.
3) Versleutelen en/of verwijderen van bestanden en mappen op servers en backups op een bepaalde datum.
4) Dreigen met het publiceren van gevoelige bedrijfsgegevens en klant- of medewerkersgegevens of zelfs het afpersen van jouw klanten.
Wat als je
22bestanden zijn
versleuteld?
2• Inschakelen cybersecurity firma voor begeleiding
• Terugzetten van de back-ups als deze niet zijn versleuteld.
• Nagaan of decryptie-software
beschikbaar is voor de specifieke randsomware encryptie
Anders:
• Onderhandelen en betalen hackers voor decryptie-sleutel of
• Netwerk en databestanden van de grond af aan opnieuw opbouwen
Ransomware ‘kosten’
Betaling losgeld voor de
decryptiesleutel
23
Verlies aan klanten en opbrengsten Veel extra
kosten, zoals inhuur cyber-
experts
Zo’n 60 procent van de slachtoffers ransomware besluit uiteindelijk om losgeld te betalen. Een cyberverzekering dekt vaak het losgeld en de extra kosten, maar niet het verlies aan klanten en opbrengsten.
Waarom geen losgeld betalen?
Helaas hebben veel organisaties geen
keus om wel te betalen of het is goedkoper dan alle
herstel-
werkzaamheden.
24
• Het betalen van losgeld aan criminelen is principieel verkeerd.
• Losgeldbetalingen houden het cyber-criminele
ecosysteem in stand en leiden tot meer ransomware- aanvallen.
• Losgeldbetalingen zijn financiering van andere criminele activiteiten.
• Betalen van losgeld biedt geen garanties. Ondanks betaling krijgen veel organisaties geen toegang tot de gegijzelde data.
• Bedrijfsvoering wordt toch verstoord.
25
Enig idee hoeveel organisaties
gemiddeld betalen aan losgeld?
Losgeldeis voor de decryptie-
sleutel kan
flink hoog zijn
Losgeldeis
ongeveer 0,5%
tot 2% van de jaaromzet.
26
• Travelex: 285 bitcoins of USD 2,3 miljoen
• Vleesverwerkings-bedrijf JBS: USD 11 miljoen in bitcoins
• Universiteit Maastricht: 197.000 euro in bitcoins
• Softwareleverancier Kaseya (VSA- software): $70 miljoen in bitcoins
Betaalde losgeld ransomware
MediaMarkt 08-11-2021 slachtoffer ransomware
De Europese vestigingen getroffen door een ransomware- aanval uitgevoerd door de cybercriminele groep Hive.
Eis losgeld: 50 miljoen dollar
27
Helpdesk van cybercriminelen
28
Data-diefstallen als onderdeel
ransomware-aanval
29Organisaties zijn verplicht om zo’n data-diefstal, waarbij bijvoorbeeld
persoonsgegevens van klanten en/of personeel zijn gestolen, te melden.
Niet (tijdig) melden van data-diefstal kan leiden tot een AVG-boete opgelegd door de AP.
Probleem is dat organisaties lastig kunnen vaststellen of klant-of bedrijfsgegevens zijn gestolen.
Wel wordt vaak door hackers gedreigd met het publiceren van klant- en medewerkersgegevens wanneer geen losgeld wordt betaald.
Afpersen door dreigen met publicatie data
Klant- of bedrijfsdata Middels speciale websites Er staat bij elk bedrijf wanneer het is gehackt en wanneer hun data is gepubliceerd.
De data wordt veelal openbaar gemaakt via downloaddiensten als Mega, AnonFiles en SendSpace.
30
Ransomware trends in 2022
31• Steeds meer cyberdreigingen zullen in de toekomst gecombineerd worden om ransomware te verspreiden.
• Een veilige online werkplek voor medewerkers creëren vormt een steeds grotere uitdaging, terwijl corona-pandemie deze wel verlangd.
• Opkomst van Ransomware-as-a-Service (RaaS): cybercriminelen kopen ransomware-diensten van specialisten op dark web-forums.
• Regularisatie van betalingen met cryptomunten.
• Verschillende afpersingstechnieken worden (gelijktijdig) ingezet, zoals
datadiefstal, publiekelijke bekendmaking, dreigtelefoontjes en -emails en DDoS- aanvallen.
Bron: Sophos
Scope audit ransomware-aanval
Preventie: Hoe was de
organisatie voorbereid op een cyberaanval en had ze adequate preventieve maatregelen genomen (cyberweerbaarheid)?
33
Respons: Welke acties heeft de organisatie
genomen in reactie op de cyberaanval om de
bedrijfsvoering zo snel mogelijk te herstellen?
Lerend vermogen:
Welke voorzieningen heeft de organisatie getroffen om
soortgelijke incidenten in de toekomst te
voorkomen?
Heeft de organisatie vooraf, tijdens en na de aanval passende maatregelen genomen om de kwaliteit en continuïteit van de bedrijfsvoering te waarborgen?
De hoofdvraag was onderverdeeld in de volgende drie deelvragen:
Scope audit ransomware preventie
Preventie: Hoe is de organisatie voorbereid op een
cyberaanval en zijn adequate preventieve maatregelen genomen (cyberweerbaarheid)?
Internal Audit: Voer periodiek een audit uit of de
organisatie adequaat is voorbereid op een cyberaanval en de beschreven preventieve maatregelen bestaan en werken.
34
Preventie – technisch (1)
© Microsoft
Preventie – technisch (2)
1. Installeer tijdig software-updates
2. Zorg dat elke applicatie en elk systeem voldoende loginformatie genereert
3. Pas multifactorauthenticatie toe bij netwerktoegang en risicovolle systemen
4. Maak regelmatig back-ups van systemen en test deze
5. Segmenteer netwerken in (geografische / businessline) zones 6. Bepaal wie toegang heeft tot data en diensten
7. Versleutel opslagmedia met gevoelige klant- of bedrijfsinformatie 8. Controleer welke apparaten en diensten bereikbaar zijn vanaf het
internet en bescherm deze
37
Security
Operations Center (SOC)
Een SOC is toegewijd om beveiligingsproblemen in IT-systemen en IT-
infrastructuur te voorkomen, op te sporen,
te beoordelen en erop te reageren.
1 2 3 4
Preventie – organisatorisch (1)
1. Vergroten bewustzijn informatiebeveiliging - bestuurders en medewerkers.
2. Veilige en open cultuur om (potentiele) risico’s en incidenten actief te melden.
3. Inrichten (cyber-)risicoteam met proces- en systeemeigenaren, Chief Information Security Officer (CISO), Functionaris
Gegevensbescherming (FG).
4. Inrichten van een Security Operations Center (SOC).
5. Borgen (cyber-)risicomanagement: risicomanagement is een
cyclisch, iteratief en terugkerend proces: dreigingen, omgeving en wetgeving veranderen en effectiviteit maatregelen evalueren.
6. Een business continuïteit plan (BCP) met een cyberprotocol.
Preventie – organisatorisch (2)
7. Aandacht voor ketensamenwerking: wat is de kwaliteit van de informatiebeveiliging van partners en leveranciers.
8. Regelmatige controle en evaluatie informatiebeveiligingsbeleid, BCP en risicomanagement ingebed zijn in de organisatie.
9. Worden voldoende middelen (geld en FTE) beschikbaar gesteld om de noodzakelijke beveiligingsmaatregelen te treffen.
10.Jaarlijkse cyberincident-oefening met het (cyber-)risicoteam.
11.Cyberverzekering met voldoende dekking van de directe en vervolgschade.
12.Contract met extern cybersecurity-expert voor periodieke onafhankelijke penetratietesten en ondersteuning bij een cyberincident.
Plat door
gijzelsoftware?
Blinde paniek helpt niet, maar
wat wel..
een business
40continuïteit plan (BCP) met een cyberprotocol en
Incident
Management
Team (TMT)
Scope audit ransomware respons
Respons: Welke acties heeft de organisatie genomen in reactie op de cyberaanval om de bedrijfsvoering zo snel mogelijk te herstellen?
Internal Audit:
• Neem het functioneren van het Incident Management Team (IMT) waar.
• Zorg dat alle respons-stappen zorgvuldig worden doorlopen en gedocumenteerd.
• Denk mee en voorzie het IMT van constructieve feedback.
41
Ransomware - respons (1)
1. Breng het Incident Management Team (IMT) samen.
2. Schakel indien nodig externe cyber/ransomware-experts in.
3. Breng de ernst van de situatie in beeld en probeer verspreiding te voorkomen.
4. Evalueer in het IMT de herstelopties. Check de integriteit en beschikbaarheid van de back-ups en de beschikbaarheid van publieke decryptiesleutels en decryptor software.
5. Doe aangifte bij de politie (optie).
6. Maak melding bij Autoriteit Persoonsgegevens.
7. Licht cyberverzekeraar en interne en externe toezichthouders.
8. Licht de medewerkers en OR in en breng een persbericht naar buiten voor klanten, business partners en leveranciers.
Externe cyberexperts die incident &
response-dienstverlening leveren
43• NFIR (Den Haag en Zwolle)
• EYE (Den Haag)
• Fox IT (Delft)
• Northwave (Utrecht)
• Hunt & Hacket (Den Haag)
• Deloitte
• en tal van kleinere bedrijven
9. Bepaal of er herstelopties zijn. Indien geen hersteloptie
beschikbaar is, bepaal dan de vervolgstrategie: betaling losgeld voor de decryptiesleutel of volledig opnieuw opbouwen van de systemen en data (gemeente Hof van Twente).
10.Voer de hersteloptie of vervolgstrategie uit. Test (‘front-to-back’) of de systemen weer operationeel zijn en interfaces goed werken.
Start logging van alle processen en systemen. Monitor actief de logging en andere signalen vanuit de organisatie of partners,
klanten en leveranciers. Bespreek de voortgang en signalen in het IMT.
11.Houdt interne en externe stakeholders geïnformeerd over het verloop van de respons.
Ransomware - respons (2)
Wie te informeren over de ransomware-aanval?
Directie
Medewerkers
Commissarissen OR
45
Klanten Partners
Leveranciers
Cyberverzekeraar Cybersecurity
specialist
Autoriteit
Persoonsgegevens (AP; binnen 72 uur) Sectorspecifieke toezichthouder
Advocatenkantoor
Intern Extern
Scope audit ransomware lerend vermogen
Respons: Welke voorzieningen heeft de organisatie getroffen om soortgelijke incidenten in de toekomst te voorkomen?
Internal Audit:
• Beoordeel de evaluatie van de ransomware-aanval: heldere oorzakenanalyse, wie waren erbij betrokken, geeft de evaluatie een realistisch beeld en wat zijn de
‘lessons learned’.
• Stel vast dat de geformuleerde acties zijn uitgevoerd en maatregelen zijn getroffen.
• Beoordeel de effectiviteit van de technische en organisatorische preventieve maatregelen op basis van de cyberincident en de laatste inzichten.
46
Samenvatting
47• Iedere organisatie zal vroeg of laat slachtoffer worden van een ransomware- aanval door cybercriminelen.
• De impact van een geslaagde ransomware-aanval is groot.
• Technische en organisatorische preventieve maatregelen kunnen een geslaagde ransomware-aanval grotendeels voorkomen.
• Zijn de systemen toch geïnfecteerd met ransomware, dan is een gedegen respons gewenst.
• Internal audit kan bijdragen aan:
– Het periodiek auditen van de effectiviteit van de preventieve maatregelen.
– Heeft een taak in respons op een geslaagde ransomware-aanval.
– Het auditen van het lerend vermogen van de organisatie.