Malware die gegevens wist: een directe bedreiging voor activiteiten

Door Eur Ing Mark Hawksworth, leider van de praktijkgroep voor wereldwijde technologiespecialisten

Na een cyberaanval kan een organisatie snel de toegang tot cruciale activa en gegevens verliezen.

Net als bij een incident met ransomware worden organisaties bij de verspreiding van malware geconfronteerd met talloze uitdagingen op het gebied van schadeclaims. Er zijn aanwijzingen – die voor het eerst eind februari werden waargenomen – dat er een nieuwe golf van destructieve malware circuleert die gegevens wist. Hoe kunnen we ervoor zorgen dat de geschiedenis zich niet herhaalt?

Recente zorgen

Deze nieuwe golf van malware die gegevens wist, maakt gedeeltelijk gebruik van gecompromitteerde servers om legitieme schijfbeheersoftware te verspreiden. Deze wordt op zijn beurt gebruikt om gegevens op opslagmedia te beschadigen, waardoor dat systeem onherstelbaar wordt met traditionele technieken voor schijfherstel. Eenmaal geïmplementeerd, stelt de destructieve malware de makers ervan in staat om zich lateraal te verspreiden via het beschadigde netwerk, voordat het onherstelbare schade toebrengt aan alle beoogde systemen binnen dat netwerk. Hoewel deze malware in eerste instantie gericht is op specifieke netwerken, heeft het de neiging om buiten de grenzen van het oorspronkelijk beoogde doel te ontsnappen, wat resulteert in wijdverspreide nevenschade. Destructieve malware van dit type kan een directe bedreiging vormen voor bedrijfsactiviteiten door de toegang tot kritieke activa en gegevens te verhinderen.

De oorsprong van deze malware blijft onbevestigd. Onderzoek heeft nog niet kunnen aantonen dat deze malware afkomstig is van één bepaalde groep of bekende bedreiger, omdat de codestructuur geen overeenkomsten vertoont met andere malware die in het verleden is aangetroffen.

Toekomstige best practices

De toename van cyberbeveiligingsincidenten in de afgelopen jaren is alarmerend en zal alleen maar doorzetten. Voor organisaties wereldwijd is het essentieel om de impact van mogelijke malware-incidenten waarbij gegevens worden gewist te begrijpen en hierop voorbereid te zijn. Door bewustwording te creëren en een plan op te stellen, kunnen onschuldige partijen worden beschermd. Het wordt aanbevolen om:

• Implementeer multi-factor authenticatie voor alle externe toegangspunten.
• Controleer het niveau van spamfiltering om de kans te verkleinen dat phishing-e-mails gebruikers bereiken.
• Zorg ervoor dat antivirus- en antimalwareprogramma's up-to-date zijn en voer regelmatig automatische scans van het apparaat uit.
• Controleer of alle beveiligingsupdates en patches voor de applicatie en het besturingssysteem zijn geïnstalleerd.
• Identificeer back-upstrategieën en zorg ervoor dat back-ups worden beschermd tegen corruptie/kwaadwillige acties. Implementeer een air gap of andere strategische maatregelen om back-ups te beschermen.
• Test back-ups van gegevens om de organisatie ervan te verzekeren dat back-ups kunnen worden gebruikt om gecompromitteerde gegevens en architectuur van het systeem opnieuw te installeren, mochten deze het doelwit worden.
• Word lid van het Information Sharing and Analysis Center (ISAC) van uw branche – er is er een voor de meeste organisaties: FS-ISAC bedient bijvoorbeeld de verzekerings- en financiële sector.
• Monitor bronnen van dreigingsinformatie en zorg ervoor dat alle indicatoren van compromittering (IOC's) proactief worden geblokkeerd.

Met steeds veranderende bedreigingen, een snel veranderende markt en een voortdurend groeiende kennisbasis, blijft cyber een hot topic. Naast opkomende risico's horen we ook steeds weer zorgen over dekking en capaciteit in de cyberspace. De experts van Sedgwick blijven in contact en staan klaar om klanten te adviseren bij het nastreven van preventiestrategieën, het onderzoeken van polisvoorwaarden en limieten, en het voorbereiden op bekende en onbekende risico's.