Hackersgroep GOLD LOWELL zit achter je geld aan

Secureworks

Het gevaar van cyberaanvallen blijft alsmaar groeien. In afgelopen een tot twee jaar zijn vooral ransomware-aanvallen ongekend populair. Criminele individuen en particuliere hackersgroepen, maar ook overheidsinstanties zitten achter deze aanvallen. Ook al hebben deskundigen vaak een vaag idee wie achter de aanvallen zitten en waar zij vandaan komen, het is buitengewoon lastig om precies aan te duiden wie de slechteriken zijn en hoe zij werken. Hiervoor is niet alleen een groot monitoring-network noodzakelijk maar het traceerwerk vraagt ook om tijd.

Secureworks, een leverancier van beveiligingsoplossingen dat gebruikmaakt van globale informatie over cyberaanvallen, achterhaalt regelmatig het gedrag van hackersgroepen. Zo zijn de onderzoekers van Secureworks Counter Threat Unit (CTU) eind 2015 begonnen financieel gemotiveerde campagnes te traceren waarbij de GOLD LOWELL genoemde groep gebruikmaakte van SamSam ransomware (ook wel bekend als Samas en SamsamCrypt). Volgens het onderzoek van de CTU scant en exploiteert GOLD LOWELL bekende kwetsbaarheden in internetsystemen om een eerste voet aan de grond te krijgen in het netwerk van een slachtoffer. De cybercriminelen zetten vervolgens de SamSam ransomware in en eisen betaling om de data van het slachtoffer te ontsleutelen.

Geld, niet spionage

Het gebruik van bepaalde scan-and-exploit technieken van hackers om toegang te krijgen tot het netwerk van slachtoffers laat zien dat de aanvallen gericht zijn op systemen en protocollen (bijvoorbeeld JBoss en RDP) die eerder door organisaties dan door particulieren worden gebruikt. De aanvallers mikken vooral op de netwerkrand en kiezen hun slachtoffers zorgvuldig om de kans op een succesvolle afpersing te verhogen. Bij de meeste slachtoffers van GOLD LOWELL die bekend zijn bij de CTU gaat het om kleine tot middelgrote organisaties. Sommige deskundigen beweerden na bekende SamSam-aanvallen in 2016 en 2018 dat GOLD LOWELL zijn pijlen vooral richt op de zorgsector. De verspreiding van de door Secureworks waargenomen activiteiten van de groep laat echter zien dat GOLD LOWELL zich niet beperkt tot een bepaalde branche of type organisatie.

De methode van GOLD LOWELL om eerst netwerktoegang te verkrijgen voor SamSam te installeren houdt potentieel een groot gevaar in voor het misbruik van de vertrouwelijke data op de systemen van de slachtoffers. De analyse van de CTU geeft echter aan dat GOLD LOWELL financieel is gemotiveerd. De onderzoekers hebben geen indicatie gevonden dat de netwerktoegang misbruikt wordt voor spionage of datadiefstal. In sommige gevallen waarbij de slachtoffers het initiële losgeld betaalden, heeft GOLD LOWELL zijn eisen achteraf significant verhoogd om de bereidheid van de slachtoffers om losgeld te betalen maximaal uit te buiten.

Handige hackers

GOLD LOWELL gebruikt een combinatie van algemeen beschikbare en zelf ontwikkelde tools met publiek beschikbare exploits en technieken. Dat de groep een eigen ransomware toolkit wist te ontwikkelen suggereert dat de ontwikkelaars binnen de groep veel verstand hebben van encryptie en Windows netwerkomgevingen. De aanvallers hebben laten zien dat zij in staat zijn om toegang te krijgen via internetsystemen, hun privileges naar hogere niveaus binnen het netwerk te escaleren en horizontaal binnen het netwerk uit te breiden. In tegenstelling tot vele andere criminele activiteiten die gebruikmaken van ransomware vergen de methodes van GOLD LOWELL manuele interactie via het toetsenbord om een directe relatie op te bouwen tussen de aanvaller en zijn slachtoffer. Om voor het betalen van het losgeld vertrouwen op te bouwen bieden de aanvallers hun slachtoffers test-decryptie van bepaalde data aan.

Wie zijn de slechteriken?

Taalfouten in GOLD LOWELL’s losgeldeisen en communicatie tijdens de transacties doen vermoeden dat Engels niet de moedertaal van de aanvallers is. Tot vandaag de dag is de toeschrijving van de aanvallen aan een bepaalde groep onzeker omdat zij een beroep doen op publiek beschikbare tools, diensten en infrastructuren. De consistentie van de methoden en tools die tijdens de SamSam-aanvallen sinds 2015 werden gebruikt zijn echter een indicatie dat GOLD LOWELL één groep is of een verzameling van nauw verbonden hackers.

Wat te doen?

De activiteiten van GOLD LOWELL zijn tussen 2015 en 2018 significant toegenomen. Dit geeft aan dat hun ‘businessmodel’ nog steeds goed werkt. Over de jaren heen heeft de groep haar methodes lichtjes aangepast. Zij maakt nog steeds gebruik van publiek beschikbare tools maar heeft zijn eigen knowhow en programma’s verder uitgebouwd om succesvol te blijven. De aanvallers komen het netwerk via internetsystemen binnen. Daarom adviseren de CTU-onderzoekers aan organisaties om de security-protocollen voor deze systemen hoogste prioriteit te geven.

Software updates, regelmatige penetratietests, monitoren voor abnormaal gedrag en toegangscontrole staan boven op de lijst van security-maatregelen. Organisaties moeten ook hun weerbaarheid tegen ransomware-incidenten in kaart brengen. Denk eraan om noodvalplannen op te stellen en te testen, regelmatig back-ups van belangrijke data aan te maken en deze goed te beschermen.

Meer over
Lees ook
Proofpoint's 2024 State of the Phish rapport: 69% van Nederlandse werknemers gokt met security van organisaties

Proofpoint's 2024 State of the Phish rapport: 69% van Nederlandse werknemers gokt met security van organisaties

Proofpoint, publiceert vandaag de tiende editie van het jaarlijkse State of the Phish-rapport. Hieruit blijkt dat meer dan twee derde (69%) van Nederlandse werknemers hun organisaties bewust in gevaar brengt. Dit leidt tot ransomware- of malware-infecties, datalekken of financieel verlies. Ondanks een lichte daling van succesvolle phishing-aanvall1

Politiediensten halen LockBit infra offline

Politiediensten halen LockBit infra offline

Op 20 februari 2024 hebben Europol, de Nederlandse Politie en politiediensten uit tien landen met een grote verstoringsactie 34 servers uit de lucht gehaald van de ransomware groepering LockBit.

Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

Onderzoekers van Proofpoint ontdekten dat TA571 de Forked-variant van IcedID levert in twee campagnes. Dit vond plaats op 11 en 18 oktober 2023. Beide campagnes bevatten meer dan 6.000 berichten die allemaal een impact hadden op meer dan 1.200 klanten in verschillende sectoren verspreid over heel de wereld.