Spearphishing belangrijke aanvalsvector voor ransomware
Beveiliging je mailinfrastructuur met SPF/DKIM/DMARC en DANE
Ransomware is de afgelopen jaren uitgegroeid tot een enorm probleem. Het afgelopen jaar alleen al kwamen tientallen zaken in het nieuws waarbij grote organisaties in ernstige moeilijkheden kwamen. Bij elkaar gaat het om vele duizenden gevallen en miljarden aan schade.
Gelukkig kunnen we nog een heleboel zelf doen om het risico op een digitale gijzeling te verminderen. Zo geven organisaties als ENISA en NCSC zowel aanbevelingen ter voorkoming van ransomware-aanvallen als richtlijnen over wat te doen als een dergelijke aanval je toch overkomt. Daarnaast werken overheden (samen) aan regelgeving om deze problematiek aan te pakken. Hetzelfde geldt voor "de markt", waar onder andere verzekeringsmaatschappijen, de financiële sector en security-bedrijven proberen om de ransomware-epidemie de kop in te drukken.
In dit artikel richten we ons specifiek op e-mail als belangrijke aanvalsvector, en hoe de inzet van moderne internetbeveiligingsstandaarden het risico op phishing sterk kan verminderen.
Kritieke infrastructuur
Omdat ook veel kritieke infrastructuuronderdelen getroffen worden [1, 2, 3], krijgt de bestrijding van ransomware steeds meer de prioriteit, de aanpak en de internationale samenwerking die ook in de strijd tegen terrorisme wordt gebezigd. Maar ook bij kleinere organisaties, lagere overheden, onderwijsinstellingen en het mkb zijn dergelijke aanvallen aan de orde van de dag.
Alle organisaties betrokken bij de bestrijding van cybercrime hebben ransomware de afgelopen tijd dan ook geïdentificeerd als de grootste cyberbedreiging van deze jaren [ENISA, het Counter Ransomware Initiative, Interpol, NCSC UK, NCTV]. In het geval van Colonial Pipeline was de ontwrichting zelfs zo ernstig dat een regionale noodtoestand werd afgeroepen.
Gijzeling en afpersing
Bij een ransomware-aanval penetreren en besmetten kwaadwillenden een groot deel van de bedrijfsinfrastructuur en versleutelen zij alle data – inclusief de recente backups. De gegijzelde organisatie kan de toegang tot haar informatie terugkopen door een bedrag in cryptocurrency aan de aanvallers over te maken. Meestal wordt ook nog gedreigd om de data online te publiceren of door te verkopen als het slachtoffer niet betaalt. De afpersing betreft dus zowel de beschikbaarheid als de vertrouwelijkheid van de informatie. In geval van een 'supply chain'-aanval worden ook de klanten nog eens afgeperst en/of als hefboom ingezet.
Spear phishing (gerichte e-mail met een link of attachment als kwaadaardige payload) blijkt na 'remote desktop'-diensten [1] de op-een-na grootste aanvalsvector voor ransomware te zijn. Bovendien wint phishing aan terrein als eerste ingang voor kwaadwillenden. Het goede nieuws is dat de toepassing van moderne beveiligingsstandaarden voor mail het risico op phishing sterk kunnen verminderen.
Honderden gevallen
Bekende Nederlandse casus is natuurlijk de Universiteit van Maastricht. Zij betaalden in 2019 2 ton losgeld om de toegang terug te krijgen tot de bestanden op 267 Windows-servers (een deel van die betaling in Bitcoin kregen zij later "met winst" terug). Die aanval begon met het openen van 2 simpele (generieke) phishingmailtjes 2 maanden eerder.
Andere Nederlandse organisaties die de afgelopen jaren op vergelijkbare wijze zijn gegijzeld zijn onder andere dierentuin Artis, de gemeente Buren, MediaMarkt, de winkelketen Game Mania, RTL Nederland, werkplekleverancier Manutan, ICT-dienstverlener Managed IT, transportbedrijf Bakker Logistiek, de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), de Veiligheidsregio Noord- en Oost-Gelderland, de gemeente Hof van Twente [1] en het wetenschappelijk instituut voor watertechnologie Wetsus. Volgens de Minister van Justitie en Veiligheid ontvangt de Nederlandse politie jaarlijks rond de 200 aangiftes van ransomware. Daarbij merkt zij echter gelijk op dat de aangiftebereidheid voor cybercrime-incidenten laag is [1].
Grote aanvallen in het buitenland betroffen onder andere de Deense windturbinefabrikant Vestas, de Canadese salarisverwerker UKG (Kronos), Colonial Pipeline, softwareleverancier Kaseya, vleesverwerkingsbedrijf JBS, de Ierse Health Service Executive, het Zuid-Afrikaanse spoor-/haven-/pijpleidingbedrijf Transnet en de containerrederij Maersk. Maar zo zijn er nog vele honderden.
Losgeld
Het Europees Agentschap voor Cyber Security (ENISA) onderzocht 623 gerapporteerde ransomware-incidenten die in het Westen plaatsvonden in de periode mei 2021 – juni 2022. In hun publicatie 'Enisa Threat Landscape for Ransomware Attacks' lezen we dat naar schatting in 60 procent van de gevallen losgeld werd betaald. Elke maand werd gemiddeld 10 Tbyte aan data gestolen, waarvan bijna 60 procent persoonsgegevens bevatte. In bijna de helft van de gevallen werd gestolen data uiteindelijk geheel of gedeeltelijk gepubliceerd.
Het leeuwendeel van de incidenten wordt echter niet bekendgemaakt, of de beschikbare informatie blijft beperkt. Dit gebeurt zowel om reputatieschade te voorkomen als om geen nieuwe aanvallen uit te lokken. ENISA schat het totaal aantal incidenten in die periode van 14 maanden op 1.640, wat betekent dat zij maar 17 procent daarvan hebben kunnen onderzoeken.
E-mail als aanvalsvector
In 95 procent van de door ENISA onderzochte gevallen was niet te achterhalen hoe de aanvallers in eerste instantie binnenkwamen. Maar voor die incidenten waarvan dat wel bekend is, ging het in 8 van de 29 gevallen om spear phishing. Dat maakt mail (na 'remote desktop'-diensten) de op-een-na grootste aanvalsvector. In het eerder gepubliceerde rapport 'Threat Landscape 2021' meldde ENISA bovendien dat phishing hier terrein wint ten koste van aanvallen via de remote desktop.
Aandachtspunt speciaal voor softwareleveranciers en cloudaanbieders is dat steeds meer ransomware-aanvallen de vorm hebben van een 'supply chain'-aanval [NCTV]. Volgens ENISA's rapport 'Threat Landscape for Supply Chain Attacks' verviervoudigt het aantal van dergelijke aanvallen in één jaar. Bovendien is de impact veel groter vanwege de vermenigvuldigingsfactor naar de afnemers.
Moderne beveiligingsstandaarden voor mail
Ondanks deze alarmerende ontwikkelingen is er ook positief nieuws: met de inzet van SPF/DKIM/DMARC en DANE kan de veiligheid van e-mail sterk verbeterd worden, en daarmee het risico van die eerste aanvalsvector verkleind.
DKIM, SPF en DMARC gaan phishing, spam, virussen en andere malware tegen door de afzender (een mailadres), de verzender (een mail-systeem) en de inhoud van een mailbericht te beveiligen. Daarvoor worden diverse nieuwe records in de DNS-informatie opgenomen. Hoewel ondertekening met DNSSEC voor deze toepassing niet strikt noodzakelijk is – dat wil zeggen verplicht volgens de standaard – is dat wel een belangrijke toevoeging.
DANE is een protocol voor het veilig publiceren van publieke sleutels en certificaten in het DNS-systeem. Daarvoor is het DNS-protocol uitgebreid met het TLSA-record, wat gebruikt wordt om sleutelinformatie aan een adres/protocol/poort-combinatie te koppelen. Daarmee kan van elke versleutelde internetservice de authenticiteit van het servercertificaat via DNS worden geverifieerd.
Hoewel DANE algemeen inzetbaar is, wordt het protocol vooral toegepast voor de beveiliging van mail-transport (SMTP).
Concrete hulp bij implementatie
Gebruik je deze beveiligingsstandaarden nog niet, dan raden wij je ten zeerste aan om deze zo snel mogelijk te implementeren. Omdat je hiervoor alleen de technische mailinfrastructuur (centrale systemen) hoeft aan te raken, is dit bovendien een makkelijker klus dan veel andere (eveneens noodzakelijke!) maatregelen om ransomware buiten de deur te houden.
Om je bij die implementatie van hulp te zijn, bieden we een serie hands-on artikelen voor de complete configuratie van SPF/DKIM/DMARC en STARTTLS/DANE voor Postfix en Exim (de 2 meest gebruikte mailservers):
Voor .nl-registrars is er ook een e-learningmodule over veilige e-mailstandaarden beschikbaar in de SIDN Academy.