Een recent voorbeeld van een situatie waarbij meerdere bedrijven binnen één sector in korte tijd last hadden van cyberincidenten, komt uit het Verenigd Koninkrijk. Meerdere bedrijven in de retailsector hadden binnen een aantal weken te maken met cyberincidenten. Marks & Spencer schortte alle online activiteiten voor meer dan twee weken op, de Co-Op Group kreeg te maken met een cyberaanval en moest preventieve maatregelen nemen en ook Harrods meldde dat het te maken had met een cyberincident. Dat de impact van deze aanvallen groot kan zijn, blijkt uit de jaarcijfers van Marks & Spencer waarbij wordt opgemerkt dat de kosten door de cyberaanval inmiddels oplopen tot 300 miljoen pond – driemaal zoveel als het bedrag waarvoor het bedrijf verzekerd was.

Hoewel er volop wordt gespeculeerd over de aanvalstechnieken die zijn gebruikt bij deze aanvallen, richt de speculatie zich niet op een bepaalde zero-day kwetsbaarheid of generatieve AI. De speculatie richt zich eerder op social engineering en phishing – naast het aanvallen en overnemen van bedrijfskritische VMware vSphere virtuele infrastructuuromgevingen binnen de organisaties.

Scattered Spider

De overeenkomsten in deze cyberaanvallen worden toegeschreven aan een bekende aanvalsgroep, genaamd Scattered Spider. Dit is een groep cybercriminelen die uit zijn op geld en die bekend staat om zijn ransomware- en afpersingsaanvallen. De groep wordt bijvoorbeeld verantwoordelijk gehouden voor de aanvallen op Ceasar’s Entertainment en MGM Resorts in 2023. Deze aanvallen zorgden voor grote verstoringen en leverde de groep naar schatting losgeld op van 15 miljoen dollar. Scattered Spider staat erom bekend dat ze phisingcampagnes uitvoeren waarbij ze domeinnamen gebruiken die erg lijken op die van bekende merken, zoals Nike of Apple – een belangrijk onderdeel van hun strategie om toegang te krijgen tot de systemen van hun slachtoffers.

Hoewel Scattered Spider – voor zover bekend – nog geen slachtoffers heeft gemaakt in Nederland en België, worden retailbedrijven ook hier op soortgelijke manieren aangevallen. Daarnaast worden merknamen misbruikt voor phishingcampagnes. Zo werd vorig jaar november Ahold Delhaize slachtoffer van een ransomware-aanval door de Russische groep INC Ransom en is er een phishing-scam gaande in België waarbij de merknamen van Delhaize en Colruyt worden misbruikt.

Wat kunnen organisaties in een sector doen om het risico op cyberincidenten te minimaliseren?

Hoewel nu de retailsector in de VK aan de beurt is, zouden deze aanvallen een wake-up call moeten zijn voor elke organisatie – niet alleen binnen de retailsector. Voor een cybercrimineel maakt het immers niet uit hoe groot een organisatie is, zolang ze maar geld kunnen ‘verdienen’. Dus welke stappen kunnen organisaties nemen om hun cybersecurity te verbeteren?

Er zijn vier belangrijke pijlers: het trainen en opleiden van medewerkers, dreigingen detecteren en hierop reageren, kwetsbaarheden proactief verhelpen (patchen) en misschien wel het allerbelangrijkste: een uitgebreid incident responseplan (en dat plan testen!).

Uit onderzoek blijkt dat in 2024 voor 76% van de inbreuken ten minste één van tien specifieke kwetsbaarheden werden misbruikt. Geen van deze kwetsbaarheden was een zero-day en zeven kwetsbaarheden hadden te maken met tools voor externe toegang of andere extern gerichte diensten. Met andere woorden, het merendeel van de inbreuken werd veroorzaakt door bekende kwetsbaarheden die allemaal proactief verholpen kunnen worden door systemen te patchen en updates te installeren.

Het onderzoek suggereert verder dat de securityuitdagingen waarmee organisaties worstelen, oplosbaar zijn, mits IT- en securityteams de nodige stappen nemen om ervoor te zorgen dat hun incident response plan uitvoerbaar en herhaalbaar is. Toch lukt het veel organisaties niet om regelmatig hun incident responseplan te testen en tegelijk oefeningen uit te voeren. Net zoals de bedrijfsstrategie en technologieën binnen een organisatie continu in ontwikkeling zijn, moet ook het IR-plan voortdurend worden aangepast om ervoor te zorgen dat iedereen zijn rol kent. Daarnaast zorgt dit ervoor dat de procedures voor het indammen van incidenten up-to-date zijn en dat eventuele downtime wordt geminimaliseerd.

Proactieve maatregelen

Hoewel een ransomware-aanval met name impact heeft op de getroffen organisatie zelf, kunnen ook klanten last hebben door een verhindering van dienstverlening. Echter, wat potentieel meer impact heeft op klanten zijn phishing-campagnes waarbij bekende merknamen worden misbruikt, zoals bij eerder genoemde voorbeelden Delhaize en Colruyt. Bedrijven zouden daarom niet alleen hun eigen systemen goed moeten beveiligen en een uitgebreid incident responseplan moeten hebben. Klanten moeten ook proactief gewaarschuwd worden dat de merknamen van bedrijven worden misbruikt door aanvallers in phishing-campagnes. Delhaize en Colruyt hebben bijvoorbeeld een waarschuwing staan op de eigen website, maar hier ligt ook een rol voor sectororganisaties.  

Sectororganisaties zouden daarnaast kennisdeling en samenwerking over cyberdreigingen kunnen stimuleren. Dit kan bijvoorbeeld door CISO’s binnen de sector samen te brengen in een Information Sharing and Analyses Center (ISAC) om best practices en dreigingen met elkaar te bespreken. Hierbij kan ook overwogen worden om CISO’s uit andere sectoren aan te laten sluiten om het niveau van de volledige keten omhoog te brengen. De sectororganisaties kan daarnaast cyber-oefeningen organiseren en bedrijven helpen bij het nemen en implementeren van de juiste cybermaatregelen.  

Conclusie

Het is niet ondenkbaar dat een sector in Nederland of België binnenkort ook wordt getroffen door een reeks aanvallen. Het risico op een cyberaanval kan nooit helemaal worden teruggebracht naar nul, maar door cybermaatregelen te nemen kan de impact van een cyberincident wel worden geminimaliseerd. Het is daarom zaak om een goed incident responseplan te hebben en klanten proactief te waarschuwen als je weet dat jouw merk wordt misbruikt in phishingcampagnes – zo kunnen we gezamenlijk het risico op cyberaanvallen verkleinen!

Door Dan Schiappa, President Technology and Services bij Arctic Wolf