RaaS:ransomware-aanvallen op de supply chain gemakkelijk gemaakt

Nu de cloud het belangrijkste middel wordt om toegang te krijgen tot een groeiend aantal softwareaanbiedingen, lijkt het erop dat elke applicatie tegenwoordig migreert naar een "as-a-service" leveringsmodel. Het zou dus geen verrassing moeten zijn dat ransomware in de cloud is gesprongen.

Maak kennis met ransomware-as-a-service (RaaS), een voorverpakte, eenvoudig te implementeren manier om datanetwerken af ​​te sluiten en vervolgens hun eigenaren af ​​te persen voor betaling - meestal in de vorm van Bitcoin of een ander type cryptocurrency - om ze te ontgrendelen .

Net als de meest populaire vormen van beheerde services, kan RaaS 24-uurs technische ondersteuning en gebruikersforums bevatten die zijn bedoeld om het meeste uit de applicatie te halen. Kopers kunnen de "oplossing" op een aantal manieren verkrijgen, onder meer door een maandelijks abonnement, eenmalige licentievergoedingen of winstdeling met de softwareleverancier. Hoe het ook geleverd wordt, RaaS heeft een gemeenschappelijk doel:digitale chaos veroorzaken en daarbij enorme winsten binnenhalen. Dit is volgens Cybersecurity Ventures een belangrijke reden waarom de inkomsten uit ransomware vorig jaar in de VS naar schatting $ 20 miljard stegen.

Naar verluidt beschikbaar op het dark web sinds ongeveer 2016, is RaaS sindsdien snel opgevoerd als een middel om ransomware te verspreiden. De wereldwijde toeleveringsketen, die bestaat uit meerdere onafhankelijke partners van alle soorten en maten en niveaus van technologische verfijning, is bijzonder kwetsbaar voor aanvallen. Grote fabrikanten, distributeurs en detailhandelaren denken misschien dat ze veilig zijn, omdat ze miljoenen hebben uitgegeven aan strenge veiligheidsmaatregelen in hun eigen huis, maar de kleinste en meest onbelangrijke leverancier kan dienen als een doorgang naar een schat aan gevoelige gegevens over klanten en activiteiten. Volgens sommige schattingen vindt momenteel tweederde van alle cyberaanvallen plaats via de toeleveringsketen.

Mobiele apparaten, die het afgelopen decennium in aantal en toepassingen zijn geëxplodeerd, zijn populaire vectoren voor infectie. "Stel dat er een onderaannemer van een ontwikkelaar komt om een ​​API-gebaseerde software-extensie voor een klant te bouwen", zegt Padmini Ranganathan, global vice president product strategy bij SAP Procurement. “Hoe weet je dat hun code veilig is? Of dat ze de apparaten die ze gebruiken beschermen?”

Netwerken moeten even waakzaam zijn bij het beschermen van embedded systemen in de cloud, zegt Ranganathan. En hoewel cloudtechnologie geen automatische bedreiging vormt voor de beveiliging, verhoogt het de risiconiveaus met de toename van apparaten die zijn gekoppeld aan het internet der dingen. Bedrijven moeten reageren door strenge audits uit te voeren van alle apparaten en systemen die toegang hebben tot hun gegevens, zowel extern als intern, zegt hij.

Nu RaaS het voor cybercriminelen gemakkelijker maakt om netwerken vast te houden voor losgeld, zou je denken dat particuliere bedrijven en overheidsinstanties speciale zorg besteden aan het beschermen van hun gegevens. De golf van ransomware-aanvallen in de afgelopen jaren suggereert dat dit niet het geval is. Alleen al in 2021 hebben slachtoffers onder meer een oliepijpleiding, een vleesverpakker, een chemische distributeur, een autofabrikant en zelfs een veerdienst op Martha's Vineyard. Er lijkt geen patroon te zijn met betrekking tot de entiteit die wordt geraakt - alleen dat ze allemaal kwetsbaar zijn gebleken voor een vorm van aanval die alarmerend gemakkelijk te organiseren is geworden.

Kleinere leveranciers - of grote, wat dat betreft - zouden kunnen beweren dat ze niet over de middelen beschikken om in cyberbeveiliging te investeren. Ranganathan suggereert dat ze het probleem niet met de juiste gemoedstoestand bekijken. Zeker, goede beveiligingsmaatregelen kunnen duur zijn om aan te schaffen en tijdelijk een rem op de balans vormen. Maar wat zijn de kosten om te herstellen van een cyberaanval, met name een losgeld dat in de miljoenen dollars kan lopen? Of de gevolgen van het verliezen van klanten die woedend zijn dat hun gevoelige persoonlijke gegevens in gevaar zijn gebracht door verwaarlozing door een detailhandelaar of dienstverlener? "We onderschatten het concept van waarde die risico loopt", zegt Ranganathan.

Een belangrijk aspect van cyberbeveiliging kost niet per se meer. Het is bewustzijn en toewijding van de kant van werknemers over de dreiging van inbreuken via een willekeurig aantal systemen en apparaten. Niets mag in het begin worden vertrouwd; vaak kan een succesvolle aanval worden toegeschreven aan menselijke onzorgvuldigheid, niet aan kwetsbaarheden in de technologie.

De technieken van hackers blijven natuurlijk evolueren. De ransomware-aanval van vandaag zal de komende jaren waarschijnlijk een geheel nieuwe vorm aannemen. Technologie zal ernaar streven om gelijke tred te houden met de steeds veranderende dreiging, maar constante waakzaamheid van de kant van systeemontwerpers en zelfs de meest toevallige gebruikers is de sleutel.

Bedrijven moeten dezelfde aandacht besteden aan systeembeveiliging als aan de meer oogverblindende wereld van verkoop, marketing en ontwikkeling van nieuwe producten. Ranganathan zegt:"In naam van snelle innovatie kunnen we onze ogen niet afhouden van architecturale hygiëne."