Ransomware bedreigt ook de cloud

Tot voor kort werden vooral lokale devices getroffen door ransomware. Maar cybercriminelen beginnen hun aandacht te verleggen naar de cloud. Met een aanval op een cloudprovider kunnen talloze klanten het slachtoffer worden. Veel bedrijven realiseren zich onvoldoende dat hun data ook in de digitale wolken vatbaar voor malware zijn.

Het aantal ransomware-aanvallen in de cloud stijgt. Experts verwachten bovendien dat door toename van het aantal cloudtools en -diensten het gevaar groeit.

Zo werd onlangs bekend dat de malwarevariant met de naam Cerber het vooral gemunt heeft op gebruikers van Microsofts clouddienst Office 365. Cerber gebruikt kwaadaardige macro’s in Office-documenten die cybercriminelen via spammails verspreiden. En hoewel Office 365 automatisch macro’s uitschakelt om juist malware-infectie te voorkomen, maakt Cerber gebruik van social engineering om de gebruiker te verleiden deze beveiliging te omzeilen.

'Benieuwd naar de laatste trends op het gebied van ransomware? Lees dan het blog Ransomware-update: dit zijn de laatste trends.'

Desastreuze gevolgen

De gevolgen van ransomware in de cloud zijn in potentie desastreus. Veel organisaties gebruiken de cloud voor ofwel hun gehele bedrijfsvoering, ofwel als back-up. Onderzoek wijst uit dat 95 procent van de bedrijven clouddiensten gebruikt. 70 procent gebruikt zowel publieke als private clouds. Dat betekent dat IT en data letterlijk overal zijn.

Met een back-up in de cloud zijn data nog niet veilig voor ransomware. Zodra bestanden op het bedrijfsnetwerk worden versleuteld door ransomware, zijn ook de data in de cloud niet veilig. Een synchronisatieopdracht vervangt de schone bestanden met de versleutelde versies.

De cloud als verspreidingsvehikel

Ook kunnen cybercriminelen via de cloud malware verspreiden naar andere gebruikers. Bijvoorbeeld door het delen van besmette bestanden en automatische synchronisatie. Dat is bijvoorbeeld hoe de Virlock ransomware werkt. Het richt zich specifiek op cloudopslag en samenwerkingsplatformen waardoor het zichzelf razendsnel kan repliceren over het hele netwerk via slechts één geïnfecteerde gebruiker.

Dat gebeurt vaak. Volgens onderzoek wordt 56 procent van de geïnfecteerde bestanden in cloudapplicaties gedeeld met andere gebruikers. En 44 procent van de cloudmalware is verantwoordelijk voor het verspreiden van ransomware, waaronder Javascript-exploits, Microsoft Office-macro’s en PDF-exploits.

Verdedigingsstrategie

Opvallend genoeg vergeten organisaties vaak om de cloud mee te nemen in hun backup- en recoverystrategie. Maar data staan overal: in het eigen datacenter, op een colocatie, en ook in de clouds van bijvoorbeeld Google of Microsoft. Zelfs op smartphones en tablets van medewerkers is steeds vaker bedrijfsdata te vinden.

Zo’n hybride IT-omgeving vraagt om een slimme gegevensbeveiliging. Deze 5 stappen helpen u op weg:

1. Inventariseer waar welke data staan

Het is ten eerste belangrijk om inzichtelijk te krijgen waar welke data zich bevinden en welke type data de organisatie heeft. Die informatie bepaalt hoe de data het best beveiligd kan worden. Zeker met het oog op de komende Europese privacywetgeving (GDPR) is het verstandig om te weten welke data waar worden opgeslagen. Want ook al raken gegevens bij een ransomware-aanval versleuteld en komen ze dus feitelijk niet op straat te liggen, alsnog is er sprake van een datalek. De versleuteling is immers een onrechtmatige verwerking van de persoonsgegevens.

2. Neem adequate backupmaatregelen

De adviezen om ransomware op het eigen netwerk tegen te gaan, gelden grotendeels ook voor de clouddiensten die uw organisatie gebruikt. Zo zijn dagelijkse (cloud)back-ups onontbeerlijk, maar is ook een efficiënte recoveryprocedure noodzakelijk. Anders duurt het dagen voordat uw organisatie na een aanval weer up-and-running is. Ook een regelmatige audit van de gebruikte cloud apps mag niet ontbreken.

3. Kies cloudproviders met zorg

Niet iedere cloudprovider heeft hetzelfde beveiligingsniveau. Houd daar rekening mee in de selectie. Ga na welke securitymaatregelen de cloudprovider genomen heeft, en/of welke ze optioneel beschikbaar stellen. Vraag specifiek naar APT- en zero day-detectie.

4. Hanteer een holistische beveiligingsaanpak

Een SIEM (system information and event management)-gebaseerde aanpak om ransomware te ontdekken kan waardevol zijn. IT-omgevingen zijn tegenwoordig complex, waardoor één antiviruspakket of firewall vrijwel nooit tegen alle soorten dreigingen beschermt. Hoe meer beveiligingslagen het IT-netwerk heeft, hoe groter de kans dat een ransomwarebesmetting wordt ontdekt voordat die zijn schadelijke werk kan doen. Met een SIEM-aanpak wordt er op een holistische wijze naar de IT-omgeving gekeken waar specifieke security gebeurtenissen plaatsvinden.

5. Gebruik alleen erkende bedrijfssoftware

Tot slot is het aan te bevelen om het gebruik van cloudapplicaties binnen de organisatie te beperken tot enterprise-niveau software. Een Enterprise Mobility oplossing kan hierin zeker raadzaam zijn om hier controle op te houden. Zeker als het gaat om apps die kwetsbare data verwerken. Vergeet niet dat de boete die de EU oplegt voor overtreding van de GDPR vele malen hoger is dan de losgeldsom die ransomwarecriminelen vragen.

Cloud is vaak toch veiliger

Ondanks de risico’s is de cloud beslist geen gevaarlijke no-go-area. De digitale wolk is zelfs in veel gevallen veiliger dan het beheren en beveiligen van een eigen omgeving. Uit cijfers van MarketsandMarkets blijkt dat de cloud securitymarkt in 2022 groeit naar een onvoorstelbare 12,7 miljard dollar. Dat betekent dat providers steeds meer investeren in oplossingen om hun cloudomgevingen te beschermen.

Bovendien is de cloud het hart van de business voor cloudleveranciers. Ze kunnen een groot deel van hun budgetten en kennis aanwenden om een zo veilig mogelijke omgeving te creëren voor hun klanten.

Dat neemt niet weg dat voorzichtigheid is geboden wanneer data naar de cloud worden verplaatst. Beveiliging van data op alle plekken waar ze zich bevinden is cruciaal. Wilt u advies over hoe u dat het beste kunt aanpakken? KPN Security begeleidt u en uw cloudstrategie en stemt dit af op uw wensen ten aanzien van de continuïteit en informatiebeveiliging.

Gerelateerde artikelen