Moshe Ben Simon

Misleiding als wapen in de strijd tegen ransomware

Moshe Ben Simon Vice President Product Management bij Fortinet.

Cybercriminelen hebben het afgelopen jaar hard hun best gedaan om op grote schaal en unieke manieren te profiteren van de coronacrisis. Maar wat als je de technieken van deze snoodaards tegen hen gebruikt? Dan heb je een uitstekend beschermingsmiddel in handen, stelt Moshe Ben Simon van Fortinet.

De snelle overstap op thuiswerken bood cybercriminelen volop kansen om aanvallen uit te voeren op werknemers die een verbinding met bedrijfsnetwerken maakten via slecht beveiligde apparaten en thuisnetwerken. Vaak maakten ze voor hun aanvallen gebruik van ransomware.

Bij de meeste aanvallen maken hackers gebruik van phishing of andere middelen om het computersysteem van een slachtoffer te besmetten met ransomware, die zich vervolgens door het netwerk verspreidt. Op een gegeven moment activeren hackers de ransomware, die daarop alle geïnfecteerde systemen versleutelt, zodat bestanden en data niet langer toegankelijk zijn. Vervolgens vragen de criminelen de getroffen organisatie om losgeld in ruil voor de decryptiecode die nodig is voor het ontsleutelen van de bestanden.

Eenmaal je weet wat er tijdens een ransomware-aanval gebeurt, kun je de technieken van cybercriminelen tegen hen gebruiken.

Cybercriminelen gaan ervan uit dat organisaties bereid zijn om vrijwel elk losgeldbedrag te betalen om weer toegang tot hun gegevens te krijgen. En als ze dit weigeren te doen, worden hun gegevens aangeboden op het dark web. In de praktijk zien we ook steeds meer gevallen waarbij slachtoffers wel het losgeld betalen, maar nooit een decryptiesleutel ontvangen. In het ergste geval trekt de ransomware een spoor van vernieling binnen het netwerk door de harde schijven van pc’s en servers te wissen, ondanks het feit dat er losgeld is betaald.

Nepbestanden als lokmiddel

Hoe kun je je organisatie veilig houden voor ransomware-aanvallen? Door up-to-date back-ups van belangrijke bestanden op te slaan op een veilige locatie buiten het netwerk. En door alle apparaten die toegang tot het netwerk zoeken te scannen op malware. Maar dat is nog maar het begin. Het is ook belangrijk om inzicht te verwerven in de werking van ransomware. Want eenmaal je weet wat er tijdens een aanval gebeurt, kun je de technieken van cybercriminelen tegen hen gebruiken.

Zo kun je ransomware op subtiele wijze omleiden, zodat die alleen nepbestanden versleutelt die je opzettelijk hebt aangemaakt als lokmiddel. Als hackers proberen om deze valse bestanden te versleutelen, wordt er automatisch een melding getriggerd. Daarmee geven cybercriminelen hun aanwezigheid prijs voordat ze schade kunnen aanrichten. Daarvoor kunnen bedrijven en organisaties gebruikmaken van speciale cyber deception-technologie.

Misleidingtechnologie

Met cyber deception- oftewel misleidingtechnologie kun je snel een pseudonetwerk in het leven roepen dat als lokaas dient. Het dataverkeer en de IT-bronnen daarbinnen zijn niet te onderscheiden van die van echte netwerken. Dit pseudonetwerk wordt naadloos geïntegreerd met de bestaande IT-/OT-infrastructuur om aanvallers te misleiden en zichzelf te laten verraden. Cyber deception-oplossingen maken hiervoor eerst een valse gedeelde netwerkmap aan op alle endpoints en servers binnen het netwerk. In een notendop werkt dat als volgt:

• De valse netwerkmap bevat nepbestanden die als doel hebben om de activiteiten van hackers en/of ransomware te signaleren. De map blijft verborgen voor eindgebruikers, zodat die geen onterechte meldingen genereren door zelf per ongeluk ergens op te klikken.

• De valse netwerkmap fungeert als file server, compleet met nepverkeer en nepbestanden.

• Elke tool voor cyber deception die zijn naam waardig is biedt volledige integratie met security-oplossingen van andere leveranciers, zoals je firewall, network access control (NAC)-systeem en antivirusoplossing. Op die manier kan alle gedetecteerde kwaadaardige activiteit snel de kop worden ingedrukt.

• Zodra ransomware een endpoint heeft besmet en begint met het versleutelen van lokale folders en netwerkmappen, zal de valse file server dat meteen detecteren, het encryptieproces vertragen en je bestaande security-tools gebruiken om schade te voorkomen of in te perken. Tegelijkertijd wordt het besmette endpoint in quarantaine geplaatst om de rest van het netwerk veilig te houden.

Cyber deception-technologie gebruikt de processen van ransomware dus tegen zichzelf om die te kunnen detecteren. En belangrijker nog: de technologie onthult welke methodes cybercriminelen gebruiken om het netwerk binnen te dringen, zoals zwakke of gestolen wachtwoorden of kwetsbaarheden binnen endpoints en servers. Zo kunnen alle beveiligingslekken worden gedicht.

Organisaties die cyber deception-technologie combineren met een uitgebreid security-platform kunnen ransomware-aanvallen detecteren en daarop reageren voordat cybercriminelen de kans krijgen om hun snode plannen uit te voeren.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content