“This is not a DDoS attack, games are over. No money – no weapons – no Kyiv regime – this formula will work.” Deze boodschap verscheen op 14 Juni om 18:53 (GMT+2). Daarbij werd vermeld dat Killnet, een Russische hacker groep, met andere groepen, REvil en Anonymous Sudan de Europese banken gaan vernietigen binnen 48 uur.
Dit klinkt als een serieus dreigement. De spelers zijn oude bekenden, ze hebben in het verleden cyberaanvallen uitgevoerd, variërend van eenvoudige DDoS aanvallen tot geavanceerde ransomware aanvallen en ze staan bekend als gedoogd door de Russische overheid.
Ook het tijdstip lijkt te kloppen met de verwachting die je bij cyberaanvallen zou verwachten. 18:53 in Oost-Europa is zeven voor zes in de middag in Frankfurt en zeven voor vijf in London. Aanvallers kiezen graag het begin van de vrijdagavond als starttijd voor een cyberaanval, omdat wij dan allemaal denken ontspannen het weekend in te gaan. De waakzaamheid is minder.
Wat valt op?
Toch zijn er ook wat opvallende zaken te melden over deze gelegenheidscombinatie: Killnet en Anonymous Sudan zijn pro-Russische hacktivisten, REvil is een professionele ransomware-as-a-service organisatie (voor zover je over professioneel kunt spreken in de criminele wereld) waar sinds november 2022 niets meer van is vernomen. Zouden zij juist herboren worden als hacktivist? En waarom dan?
Een bericht dat vandaag nog geplaatst is (vrijdag 16 juni 11:36) laat zien dat ze in hun dreigementen met termen gooien, maar wellicht niet helemaal begrijpen hoe het betaalsysteem werkt: “Hello Europe! How are things with the IBAN banking system?” en vervolgens “IBAN will be dead, but also SEPA, WISE, SWIFT.” IBAN is een rekeningnummeringssysteem, SEPA en SWIFT zijn betaalsystemen, WISE is een Estlandse betaalservices provider. Het lijkt een hagelschot op aan de euro gelinkte kreten.
Het is daarom niet zeker of de genoemde partijen ook echt een aanval van plan zijn of alleen iedereen op scherp willen zetten om vervolgens victorie te kunnen kraaien omdat ze aandacht hebben kunnen afleiden van de dagelijkse gang van zaken. Ook dat geeft ongewenste aandacht aan deze partijen met een pro-Russische boodschap met betrekking tot de Russische oorlog in de Oekraïne. Extreme groeperingen kunnen dit weer gebruiken voor een tegengeluid.
Wat kunt u doen?
Als u zo’n bericht wilt gebruiken om aan de hand hiervan uw organisatie beter te beschermen dan geven onderstaande punten een goede houvast. Mocht u de beveiliging al op orde hebben, dan kunt u met deze waarschuwing uw organisatie op alert zetten. Verder zijn er organisaties waar zo’n bericht als een soort ‘wake-up-call’ dient, ook voor die organisaties bieden onderstaande punten een houvast.
- Heeft u een SOC, zorg ervoor dat ze deze dreiging kennen en laat ze vooraf nadenken over wat ze extra willen monitoren om een aanval zo vroeg mogelijk en zo snel mogelijk te detecteren.
- Zet het telefoonnummer van uw CERT-provider in het adresboek op de telefoon, of op een Post-it notitie bij uw scherm. Dit is security-informatie die wel degelijk zo opgeplakt mag worden.
- Loop voor de zekerheid nog door de contactlijst in uw crisiscommunicatieplan om zeker te weten dat alle recente wijzigingen opgenomen zijn.
- Heeft u een tweede internet service provider? Test of de lijn goed werkt.
- Controleer dat uw patch management helemaal op orde is en bij is. Forceer als het kan de installatie van de nieuwste patches.
- Draai een kwetsbaarhedenscan en los hoog-risico kwetsbaarheden zo snel mogelijk op.
- Controleer dat de back-ups goed gelopen hebben en zet ze eventueel offline voor de zekerheid.
Tevens kan zo’n bericht als dit een aanleiding zijn om te bekijken of de beveiliging goed genoeg op orde is. Cybercriminelen hebben aan één kwetsbaarheid genoeg om uw netwerk en systemen binnen te dringen, u moet zorgen dat dit moeilijk genoeg wordt gemaakt en dat uw leveranciers hetzelfde doen (preventieve maatregelen). Zorg dat ze opgemerkt worden, liefst voordat ze schade aan hebben kunnen richten (detectie en respons) en dat er procedures zijn als het komt tot een cybercrisis (businesscontinuïteit en crisismanagement). Mocht u een CERT nodig hebben om de crisis te bezweren, kunt u altijd contact met ons opnemen.
