Toeval bestaat niet in cyber­se­cu­rity. In de meeste gevallen waarbij meerdere bedrijven die actief zijn in dezelfde sector worden aange­vallen en gecom­pro­mit­teerd, is dat vaak te wijten aan een van twee zaken. Ofwel gaat het om een georga­ni­seerde aanvals­groep die gespe­ci­a­li­seerd is in het aanvallen van een speci­fieke sector, of er is een gemeen­schap­pe­lijke kwets­baar­heid in een systeem dat door de meeste bedrijven in die sector wordt gebruikt.

Een recent voorbeeld van een situatie waarbij meerdere bedrijven binnen één sector in korte tijd last hadden van cyberin­ci­denten, komt uit het Verenigd Konink­rijk. Meerdere bedrijven in de retail­sector hadden binnen een aantal weken te maken met cyberin­ci­denten. Marks & Spencer schortte alle online activi­teiten voor meer dan twee weken op, de Co-Op Group kreeg te maken met een cyber­aanval en moest preven­tieve maatre­gelen nemen en ook Harrods meldde dat het te maken had met een cyberin­ci­dent. Dat de impact van deze aanvallen groot kan zijn, blijkt uit de jaarcij­fers van Marks & Spencer waarbij wordt opgemerkt dat de kosten door de cyber­aanval inmid­dels oplopen tot 300 miljoen pond – driemaal zoveel als het bedrag waarvoor het bedrijf verze­kerd was.

Hoewel er volop wordt gespe­cu­leerd over de aanvals­tech­nieken die zijn gebruikt bij deze aanvallen, richt de specu­latie zich niet op een bepaalde zero-day kwets­baar­heid of genera­tieve AI. De specu­latie richt zich eerder op social enginee­ring en phishing – naast het aanvallen en overnemen van bedrijfs­kri­ti­sche VMware vSphere virtuele infra­struc­tuur­om­ge­vingen binnen de organisaties.

Scattered Spider

De overeen­kom­sten in deze cyber­aan­vallen worden toege­schreven aan een bekende aanvals­groep, genaamd ScatteredSpider. Dit is een groep cyber­cri­mi­nelen die uit zijn op geld en die bekend staat om zijn ransom­ware- en afper­sings­aan­vallen. De groep wordt bijvoor­beeld verant­woor­de­lijk gehouden voor de aanvallen op Ceasar’s Enter­tain­ment en MGM Resorts in 2023. Deze aanvallen zorgden voor grote versto­ringen en leverde de groep naar schat­ting losgeld op van 15 miljoen dollar. Scattered Spider staat erom bekend dat ze phisingcam­pagnes uitvoeren waarbij ze domein­namen gebruiken die erg lijken op die van bekende merken, zoals Nike of Apple – een belang­rijk onder­deel van hun strategie om toegang te krijgen tot de systemen van hun slachtoffers.

Hoewel Scattered Spider – voor zover bekend – nog geen slacht­of­fers heeft gemaakt in Neder­land en België, worden retail­be­drijven ook hier op soort­ge­lijke manieren aange­vallen. Daarnaast worden merknamen misbruikt voor phishing­cam­pagnes. Zo werd vorig jaar november Ahold Delhaize slacht­offer van een ransom­ware-aanval door de Russi­sche groep INC Ransom en is er een phishing-scam gaande in België waarbij de merknamen van Delhaize en Colruyt worden misbruikt.

Wat kunnen organisaties in een sector doen om het risico op cyberincidenten te minimaliseren?

Hoewel nu de retail­sector in de VK aan de beurt is, zouden deze aanvallen een wake-up call moeten zijn voor elke organi­satie – niet alleen binnen de retail­sector. Voor een cyber­cri­mi­neel maakt het immers niet uit hoe groot een organi­satie is, zolang ze maar geld kunnen ‘verdienen’. Dus welke stappen kunnen organi­sa­ties nemen om hun cyber­se­cu­rity te verbeteren? 

Er zijn vier belang­rijke pijlers: het trainen en opleiden van medewer­kers, dreigingen detec­teren en hierop reageren, kwets­baar­heden proac­tief verhelpen (patchen) en misschien wel het aller­be­lang­rijkste: een uitge­breid incident respon­se­plan (en dat plan testen!). 

Uit onder­zoek blijkt dat in 2024 voor 76% van de inbreuken ten minste één van tien speci­fieke kwets­baar­heden werden misbruikt. Geen van deze kwets­baar­heden was een zero-day en zeven kwets­baar­heden hadden te maken met tools voor externe toegang of andere extern gerichte diensten. Met andere woorden, het meren­deel van de inbreuken werd veroor­zaakt door bekende kwets­baar­heden die allemaal proac­tief verholpen kunnen worden door systemen te patchen en updates te installeren.

Het onder­zoek sugge­reert verder dat de securi­ty­uit­da­gingen waarmee organi­sa­ties worstelen, oplos­baar zijn, mits IT- en securi­ty­teams de nodige stappen nemen om ervoor te zorgen dat hun incident response plan uitvoer­baar en herhaal­baar is. Toch lukt het veel organi­sa­ties niet om regel­matig hun incident respon­se­plan te testen en tegelijk oefeningen uit te voeren. Net zoals de bedrijfs­stra­tegie en techno­lo­gieën binnen een organi­satie continu in ontwik­ke­ling zijn, moet ook het IR-plan voort­du­rend worden aange­past om ervoor te zorgen dat iedereen zijn rol kent. Daarnaast zorgt dit ervoor dat de proce­dures voor het indammen van incidenten up-to-date zijn en dat eventuele downtime wordt geminimaliseerd.

Proactieve maatregelen

Hoewel een ransom­ware-aanval met name impact heeft op de getroffen organi­satie zelf, kunnen ook klanten last hebben door een verhin­de­ring van dienst­ver­le­ning. Echter, wat poten­tieel meer impact heeft op klanten zijn phishing-campagnes waarbij bekende merknamen worden misbruikt, zoals bij eerder genoemde voorbeelden Delhaize en Colruyt. Bedrijven zouden daarom niet alleen hun eigen systemen goed moeten bevei­ligen en een uitge­breid incident respon­se­plan moeten hebben. Klanten moeten ook proac­tief gewaar­schuwd worden dat de merknamen van bedrijven worden misbruikt door aanval­lers in phishing-campagnes. Delhaize en Colruyt hebben bijvoor­beeld een waarschu­wing staan op de eigen website, maar hier ligt ook een rol voor sectororganisaties. 

Sector­or­ga­ni­sa­ties zouden daarnaast kennis­de­ling en samen­wer­king over cyber­drei­gingen kunnen stimu­leren. Dit kan bijvoor­beeld door CISO’s binnen de sector samen te brengen in een Infor­ma­tion Sharing and Analyses Center (ISAC) om best practices en dreigingen met elkaar te bespreken. Hierbij kan ook overwogen worden om CISO’s uit andere sectoren aan te laten sluiten om het niveau van de volle­dige keten omhoog te brengen. De sector­or­ga­ni­sa­ties kan daarnaast cyber-oefeningen organi­seren en bedrijven helpen bij het nemen en imple­men­teren van de juiste cybermaatregelen. 

Conclusie

Het is niet ondenk­baar dat een sector in Neder­land of België binnen­kort ook wordt getroffen door een reeks aanvallen. Het risico op een cyber­aanval kan nooit helemaal worden terug­ge­bracht naar nul, maar door cyber­maat­re­gelen te nemen kan de impact van een cyberin­ci­dent wel worden gemini­ma­li­seerd. Het is daarom zaak om een goed incident respon­se­plan te hebben en klanten proac­tief te waarschuwen als je weet dat jouw merk wordt misbruikt in phishing­cam­pagnes – zo kunnen we gezamen­lijk het risico op cyber­aan­vallen verkleinen.