Cloud-softwareleverancier Blackbaud betaalt losgeld, terwijl incidenten wereldwijd toenemen

WEEK IN IT-BEVEILIGING – Net zoals we vorige week berichtten op onze zustersiteThe Evolving Enterprise dat ransomware zit achter 1 op de 3 cyberbeveiligingsaanvallen op organisaties, er was nieuws over een nieuwe grote losgeldaanval, meldt Jeremy Cowan.

Deze keer in South Carolina gevestigd Blackbaud , een externe leverancier van databaseservices en CRM-systemen (Customer Relationship Management) voor ondernemingen, had hackers een onbekend losgeld betaald om zijn eigen klantgegevens te ontgrendelen.

Blackbaud omschrijft zichzelf als 's werelds toonaangevende cloudsoftwarebedrijf dat het sociale welzijn bevordert'. De klanten in kwestie zijn naar verluidt onder meer de dakloze liefdadigheidsinstelling Crisis, de Britse universiteiten van Aberystwyth en Aberdeen*, die elk hun klanten en partners verontschuldigende berichten hebben gestuurd. Andere klanten die door het bedrijf worden vermeld, zijn de American Diabetes Association, de universiteiten van Londen en Oxford en YWCA Chicago.

In een verklaring zei Blackbaud:“In mei 2020 hebben we een ransomware-aanval ontdekt en gestopt. Bij een ransomware-aanval proberen cybercriminelen het bedrijf te ontwrichten door bedrijven buiten hun eigen data en servers te houden. Na de aanval te hebben ontdekt, heeft ons Cyber ​​Security-team — samen met onafhankelijke forensische experts en wetshandhavers — met succes voorkomen dat de cybercrimineel onze systeemtoegang blokkeerde en bestanden volledig versleutelde; en uiteindelijk verdreven ze uit ons systeem. Voordat we de cybercrimineel buitensloten, verwijderde de cybercrimineel een kopie van een subset van gegevens uit onze zelf-gehoste omgeving. De cybercrimineel had geen toegang tot creditcardgegevens, bankrekeninggegevens of burgerservicenummers.”

Het ging verder:"Omdat het beschermen van de gegevens van onze klanten onze topprioriteit is, hebben we de eis van de cybercrimineel betaald met de bevestiging dat de kopie die ze hebben verwijderd, was vernietigd. Op basis van de aard van het incident, ons onderzoek en onderzoek door derden (inclusief wetshandhavingsinstanties) hebben we geen reden om aan te nemen dat gegevens verder gingen dan de cybercrimineel, misbruikt werden of zullen worden; of zal worden verspreid of anderszins openbaar worden gemaakt. … We verontschuldigen ons dat dit is gebeurd en zullen ons uiterste best blijven doen om hulp en ondersteuning te bieden terwijl wij en onze klanten samen door dit cybercriminaliteitsincident navigeren.”

Uit de verklaring wordt niet duidelijk welke verzekering de criminelen hebben gegeven dat de gegevens in de toekomst niet zullen worden misbruikt of gedeeld, of hoe Blackbaud kan vertrouwen op de bewering van de hacker dat de gegevens zijn vernietigd.

Ontdekt in mei, aangemeld in juli

In een bericht aan zijn alumni schreef Rob Donelson, uitvoerend directeur van Advancement aan de Aberdeen University:“Op 16 juli 2020 heeft Blackbaud ons laten weten dat het in mei 2020 een ransomware-aanval had ontdekt. ​​Volgens Blackbaud heeft de cybercrimineel gegevens uit zijn back-up verwijderd. server ergens tussen 7 februari en 20 mei 2020, en we hebben vernomen dat gegevens met betrekking tot onze alumni daar deel van uitmaakten. We begrijpen dat een aanzienlijk aantal organisaties over de hele wereld is getroffen.”

Een punt van directe zorg voor klanten was de vertraging van Blackbaud bij het melden van het datalek. Aberdeen University zei:“Blackbaud heeft geadviseerd ons niet eerder op de hoogte te stellen omdat ze:zich moesten verdedigen tegen de aanval; het vervolgonderzoek uitvoeren; maatregelen nemen om het probleem aan te pakken dat tot het incident heeft geleid; en middelen voorbereiden voor zijn klanten. We onderzoeken dit echter verder,” en voegen er nadrukkelijk aan toe:“We herzien met spoed de contractuele afspraken met Blackbaud, waarbij we ons concentreren op hun huidige en voorgestelde beveiligingsmaatregelen voor onze gegevens. We hebben ook een formeel rapport ingediend bij het Information Commissioner's Office (ICO).”

Zou ik het zijn geweest?

Als dit kan gebeuren met een organisatie wiens raison d’etre is de opslag en bescherming van bedrijfskritieke gegevens, dan toont het aan dat dit ons allemaal kan overkomen. We raden de lezers aan om een ​​paar minuten te overwegen hoe ze kunnen profiteren van de 5 stappen die worden beschreven in de NordLocker artikel.

Halfjaarlijks Cyber ​​Threat Report van SonicWall

Rapport vindt ransomware wereldwijd

SonicWall Het onderzoeksteam van Capture Labs heeft zijn halfjaarlijkse update van het SonicWall Cyber ​​Threat Report 2020 gepubliceerd. Dit wijst op een toename van ransomware, opportunistisch gebruik van COVID-19, systeemzwakheden en een groeiende afhankelijkheid van Microsoft Office-bestanden door cybercriminelen.

SonicWall president en CEO, Bill Conner zei:"Deze laatste gegevens tonen aan dat cybercriminelen hun tactieken blijven veranderen om de kansen in hun voordeel te beïnvloeden in onzekere tijden. Nu iedereen meer op afstand en mobieler is dan ooit tevoren, zijn bedrijven zeer kwetsbaar. Het is absoluut noodzakelijk dat organisaties afstand nemen van geïmproviseerde of traditionele beveiligingsstrategieën.”

In de eerste helft van 2020 daalden de wereldwijde malware-aanvallen van 4,8 miljard naar 3,2 miljard (-24%) ten opzichte van het totaal van het midden van het jaar 2019. Deze daling is de voortzetting van een neerwaartse trend die afgelopen november begon. Ondanks deze daling, zei Conner, "blijft ransomware de meest zorgwekkende bedreiging voor bedrijven en het favoriete hulpmiddel voor cybercriminelen, met een stijging van maar liefst 20% (121,4 miljoen) wereldwijd in de eerste helft van 2020.

Ter vergelijking:de VS en het VK hebben verschillende kansen. De dreigingsonderzoekers van SonicWall Capture Labs registreerden 79,9 miljoen ransomware-aanvallen (+109%) in de VS en 5,9 miljoen ransomware-aanvallen (-6%) in het VK – trends die blijven eb en vloed op basis van het gedrag van flexibele cybercriminele netwerken.

Malware-beladen COVID-19-e-mails

De combinatie van de wereldwijde pandemie en social-engineered cyberaanvallen is volgens SonicWall een effectieve mix gebleken voor cybercriminelen die phishing en andere e-mailscams gebruiken.

Zoals verwacht begon COVID-19-phishing in maart toe te nemen en kende de grootste pieken op 24 maart, 3 april en 19 juni. Dit in tegenstelling tot phishing als geheel, dat sterk begon in januari en wereldwijd licht daalde (-15% ) tegen de tijd dat de pandemische phishingpogingen op stoom begonnen te komen.

SonicWall Cyberdreigingsrapport

IoT blijft bedreigingen dienen

Werknemers die vanuit huis (WFH) of externe werknemers werken, kunnen veel nieuwe risico's met zich meebrengen, waaronder Internet of Things (IoT)-apparaten zoals koelkasten, babycamera's, deurbellen of gameconsoles. IT-afdelingen worden belegerd met talloze apparaten die netwerken en eindpunten overspoelen terwijl de voetafdruk van hun bedrijf zich buiten de traditionele perimeter uitbreidt.

Onderzoekers van SonicWall ontdekten een toename van 50% in IoT-malware-aanvallen, een weerspiegeling van het aantal extra apparaten dat online is verbonden, aangezien zowel individuen als bedrijven vanuit huis werken. Niet-gecontroleerde IoT-apparaten kunnen cybercriminelen een open deur geven naar wat anders een goed beveiligde organisatie zou kunnen zijn, aldus SonicWall.

Om de halfjaarlijkse update te downloaden, gaat u naar:
Andere richtlijnen voor cyberbeveiliging zijn beschikbaar op deze pagina's:
www.ncsc.gov.uk/guidance/suspicious-email-actions
www.ncsc.gov.uk/collection/top-tips-for-staying-secure-online
www.equifax.co.uk/resources/identity_protection/how-to-spot-a-phishing-email
www.ico.org.uk/your-data-matters/identity-theft

De auteur is Jeremy Cowan, hoofdredacteur van VanillaPlus, The Evolving Enterprise en IoT Now.
* Voor volledige informatie:Jeremy Cowan is een alumnus van de Aberdeen University, Schotland.