Wouter Hoeffnagel - 25 mei 2023

Onderzoek: Back-ups bijna altijd doelwit bij cyberaanvallen

Organisaties van elke omvang worden steeds vaker het slachtoffer van ransomware-aanvallen en zijn onvoldoende beschermd tegen deze toenemende cyberdreiging. Een op de zeven organisaties ervaart in de komende tijd dat bijna alle (> 80%) gegevens zijn aangetast als gevolg van een ransomware-aanval. Dit legt een aanzienlijke leemte in de bescherming bloot. Aanvallers richte zich bijna altijd (93%+) richten op back-ups tijdens cyberaanvallen en er in 75% van die gevallen in slagen het vermogen van hun slachtoffers om te herstellen te ondermijnen. Dit onderzoek benadrukt nogmaals de noodzaak voor onveranderlijke back-ups en air gaps om ervoor te zorgen dat back-ups worden beschermd.

Onderzoek: Back-ups bijna altijd doelwit bij cyberaanvallen image

Dit blijkt uit het Veeam 2023 Ransomware Trends Report. Het rapport deelt inzichten van 1.200 getroffen organisaties en bijna 3.000 cyberaanvallen, waardoor het een van de grootste rapporten in zijn soort is. Het rapport omvat de belangrijkste conclusies van deze incidenten, hun impact op IT-omgevingen en de stappen die zijn genomen of nodig zijn om strategieën voor gegevensbescherming te implementeren die de veerkracht van organisaties waarborgen. Dit onderzoeksrapport omvat vier verschillende rollen die betrokken zijn bij cyberparaatheid en/of -mitigatie, waaronder beveiligingsprofessionals, CISO's of vergelijkbare IT-managers, IT Operations-generalisten en back-upbeheerders.

“Het rapport laat zien dat het er vandaag niet om gaat OF je organisatie het doelwit wordt van een cyberaanval, maar hoe vaak. Hoewel beveiliging en preventie belangrijk blijven, is het van cruciaal belang dat elke organisatie zich richt op hoe snel ze kunnen herstellen door hun organisatie veerkrachtiger te maken”, aldus Danny Allan, CTO bij Veeam. "We moeten ons richten op effectieve voorbereiding op ransomware door ons te concentreren op de basis, inclusief sterke beveiligingsmaatregelen en het testen van zowel originele gegevens als back-ups, het waarborgen van de overlevingskansen van de back-upoplossingen en het zorgen voor afstemming tussen de back-up- en cyberteams zodat zij werken vanuit dezelfde visie."

Het betalen van het losgeld garandeert geen herstel

Voor het tweede jaar op rij betaalde de meerderheid (80%) van de ondervraagde organisaties het losgeld om een aanval te beëindigen en gegevens te herstellen. Dit is 4% meer dan het jaar ervoor. Dit ondanks dat 41% van de organisaties een ‘Do-Not-Pay’-beleid voor ransomware hanteert.

Hoewel 59% het losgeld betaalde en gegevens kon herstellen, betaalde 21% het losgeld zonder dat het de gegevens terugkreeg van de cybercriminelen. Bovendien vermeed slechts 16% van de organisaties het betalen van losgeld omdat ze in staat waren om te herstellen van back-ups. Helaas is wereldwijd het percentage van organisaties dat in staat is om zelf gegevens te herstellen, zonder losgeld te betalen, gedaald ten opzichte van de 19% in de enquête van vorig jaar.

Betalen of herstel vanaf back-ups

Na een ransomware-aanval hebben IT-leiders twee keuzes: het losgeld betalen of herstellen vanaf een back-up. Wat het herstel betreft, blijkt uit het onderzoek dat criminelen bij bijna alle (93%) cybergebeurtenissen proberen de back-ups aan te vallen, waardoor 75% ten minste een deel van hun back-ups verliest tijdens de aanval. Meer dan een derde (39%) van de back-ups gaat hierbij zelfs volledig verloren.

Door de back-upoplossing aan te vallen, verwijderen aanvallers de optie van herstel en dwingen ze organisaties in feite het losgeld te betalen. Hoewel best practices, zoals het beveiligen van back-ups, het automatiseren van cyberdetectiescans van back-ups en het automatisch verifiëren dat back-ups kunnen worden hersteld, gunstig zijn voor bescherming tegen aanvallen, is uiteindelijk de belangrijkste tactiek ervoor te zorgen dat de back-ups niet kunnen worden verwijderd of beschadigd. Om dit mogelijk te maken, moeten organisaties zich richten op onveranderlijkheid (immutability). Het goede nieuws is dat we kunnen leren van ervaringen van andere slachtoffers. 82% gebruikt onveranderlijke clouds, 64% gebruikt onveranderlijke schijven en slechts 2% van de organisaties heeft geen onveranderlijkheid in ten minste één laag van hun back-upoplossing.

Niet opnieuw infecteren tijdens herstel

Toen de respondenten werd gevraagd hoe ze ervoor zorgen dat gegevens 'schoon' zijn tijdens het herstel, gaf 44% van de respondenten aan een of andere vorm van geïsoleerde staging uit te voeren om gegevens uit back-ups te scannen voordat ze opnieuw in de productieomgeving worden geïntroduceerd. Helaas betekent dit dat de meerderheid (56%) van de organisaties het risico loopt de productieomgeving opnieuw te infecteren omdat ze geen middelen inzetten die zorgen voor schone gegevens tijdens het herstel. Daarom is het belangrijk om tijdens het herstelproces de gegevens grondig te scannen.

Andere opmerkelijke bevindingen uit het Veeam 2023 Ransomware Trends Report zijn:

  • Cyberverzekeringen worden te duur: 21% van de organisaties geeft aan dat ransomware nu specifiek is uitgesloten van hun polissen. Organisaties met een cyberverzekering zagen veranderingen in hun nieuwste polis: 74% zag hogere premies, 43% zag hogere eigen risico's, 10% zag verminderde dekkingsvoordelen.
  • Draaiboeken voor incident response zijn afhankelijk van back-up: 87% van de organisaties heeft een risicobeheerprogramma dat hun routekaart voor beveiliging stuurt, maar slechts 35% gelooft dat dit programma goed werkt, terwijl 52% probeert hun situatie te verbeteren en 13% nog niet een vast programma heeft. Uit het onderzoek blijkt dat de meest voorkomende elementen van het 'draaiboek' ter voorbereiding op een cyberaanval schone back-ups zijn en terugkerende verificatie dat de back-ups kunnen worden hersteld.
  • Organisatorische afstemming blijft een aandachtspunt: Hoewel veel organisaties ransomware als een ramp beschouwen en daarom cyberaanvallen opnemen in hun Business Continuity of Disaster Recovery (BC/DR)-planning, zegt 60% van de organisaties dat ze nog steeds aanzienlijke verbeteringen of volledige revisies nodig hebben van hun back-up- en cyberteams om voorbereid te zijn op dit scenario.

Meer informatie is beschikbaar in het Veeam 2023 Ransomware Trends Report. Daarnaast kunt u ook de sessies volgen op VeeamON 2023, het community-evenement voor experts op het gebied van gegevensherstel, dat online plaatsvindt van 22 t/m 24 mei. Het event is gericht op back-up- en herstelprofessionals.

Sophos All Colours BW 10-10-2024 tm 31-10-2024 Dutch IT Security Day BW tm 15-10-2024
Dutch IT Security Day BN tm 15-10-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!