Kaspersky werpt licht op het ransomware-ecosysteem

kaspersky-lab-400300

Ransomware ligt op het puntje van ieders tong wanneer bedrijven cyberbedreigingen bespreken waarmee ze in 2021 waarschijnlijk te maken zullen krijgen. Aanvallers hebben hun merken opgebouwd en zijn brutaal in hun opmars als nooit tevoren. Het nieuws over organisaties die worden getroffen door ransomware staat consequent op de voorpagina's van kranten.

Maar door zichzelf in de schijnwerpers te plaatsen, verbergen dergelijke groepen de werkelijke complexiteit van het ransomware-ecosysteem. Om organisaties te helpen begrijpen hoe het ransomware-ecosysteem werkt en hoe het kan worden bestreden, hebben onderzoekers van Kaspersky in het nieuwste rapport gegraven in darknet-forums, een diepgaande blik geworpen op REvil- en Babuk-bendes en daarbuiten, en een aantal mythes over ransomware ontkracht. En als je in deze onderwereld graaft, moet je er rekening mee houden dat deze vele gezichten heeft.

Zoals elke industrie, bestaat het ransomware-ecosysteem uit vele spelers die verschillende rollen vervullen. In tegenstelling tot de overtuiging dat ransomware-bendes eigenlijk bendes zijn - hechte, samen doorleefde, Godfather-achtige groepen, lijkt de realiteit meer op de wereld van Guy Ritchie's 'The Gentlemen', met een aanzienlijk aantal verschillende actoren - ontwikkelaars, botmasters, toegangsverkopers, ransomware-exploitanten - die betrokken zijn bij de meeste aanvallen en elkaar diensten verlenen via dark web-marktplaatsen.

Deze actoren ontmoeten elkaar op specialized darknet forums waar regelmatig bijgewerkte advertenties te vinden zijn waarin diensten en partnerschappen worden aangeboden. Prominente grote spelers die op eigen houtje opereren, frequenteren dergelijke sites niet, maar bekende groepen zoals REvil, die zich in de afgelopen kwartalen steeds meer op organisaties hebben gericht, maken hun aanbiedingen en nieuws regelmatig bekend door gebruik te maken van partnerprogramma's. Dit soort betrokkenheid veronderstelt een partnerschap tussen de ransomware groep operator en de partner waarbij de ransomware operator een winstaandeel neemt variërend van 20-40%, terwijl de resterende 60-80% bij de partner blijft.

REvil kondigt een nieuwe mogelijkheid aan om oproepen te organiseren naar de media en partners van het doelwit om extra druk uit te oefenen op het betalen van het losgeld.De selectie van dergelijke partners is een nauwkeurig afgestemd proces met basisregels die vanaf het begin door de ransomware-exploitanten worden vastgesteld - inclusief geografische beperkingen en zelfs politieke standpunten. Tegelijkertijd worden ransomware-slachtoffers opportunistisch geselecteerd.

Aangezien de mensen die organisaties infecteren en degenen die ransomware daadwerkelijk exploiteren verschillende groepen zijn, enkel gevormd door de wens om winst te maken, zijn de organisaties die het meest geïnfecteerd zijn vaak laaghangend fruit - in wezen degenen waartoe de aanvallers gemakkelijker toegang konden krijgen. Het kunnen zowel actoren zijn die werken binnen de partnerprogramma's als onafhankelijke operatoren die later de toegang verkopen - in de vorm van een veiling of als een oplossing, vanaf 50 USD. Deze aanvallers zijn meestal botnet-eigenaars die werken aan massale en wijdverspreide campagnes en toegang tot de machines van de slachtoffers in bulk verkopen, en toegangsverkopers die op zoek zijn naar openbaar gemaakte kwetsbaarheden in op het internet gerichte software, zoals VPN-toestellen of e-mailgateways, die ze kunnen gebruiken om organisaties te infiltreren.

Ransomware forums zijn ook de thuisbasis van andere soorten aanbiedingen. Sommige ransomware operators verkopen malware samples en ransomware bouwers voor tussen de 300 en 4.000 USD. Anderen bieden Ransomware-as-a-Service aan - de verkoop van ransomware met voortdurende ondersteuning van zijn ontwikkelaars, wat kan variëren van 120 USD per maand tot 1.900 USD per jaar pakketten.

"In de afgelopen twee jaar hebben we gezien hoe cybercriminelen brutaler zijn geworden in het gebruik van ransomware. Organisaties die het doelwit zijn van dergelijke aanvallen zijn niet beperkt tot bedrijven en overheidsorganisaties - ransomware-exploitanten zijn bereid om in wezen elk bedrijf te treffen, ongeacht de omvang. Het is duidelijk dat de ransomware-industrie op zich een complexe sector is waarbij veel verschillende actoren met allerlei rollen betrokken zijn. Om ze te bestrijden, moeten we ons informeren over hoe ze werken en ze als één geheel bestrijden. Anti-Ransomware Day is een goede gelegenheid om deze noodzaak onder de aandacht te brengen en het publiek eraan te herinneren hoe belangrijk het is om doeltreffende beveiligingspraktijken toe te passen. Het wereldwijde cybercriminaliteitsprogramma van INTERPOL is, samen met onze partners, vastbesloten om de wereldwijde impact van ransomware te verminderen en gemeenschappen te beschermen tegen schade veroorzaakt door deze groeiende dreiging," aldus Craig Jones, Director van Cybercrime, INTERPOL.

 

"Het ecosysteem van ransomware is complex en er staan veel belangen op het spel. Het is een fluïde markt met veel spelers, sommige heel opportunistisch, andere heel professioneel en geavanceerd. Ze kiezen geen specifieke doelwitten, ze kunnen achter elke organisatie aangaan - een onderneming of een klein bedrijf, zolang ze maar toegang tot hen kunnen krijgen. Bovendien floreert hun business, het zal niet snel verdwijnen," zegt Dmitry Galov, beveiligingsonderzoeker bij Kaspersky's Global Research and Analysis Team. "Het goede nieuws is dat zelfs vrij eenvoudige beveiligingsmaatregelen de aanvallers kunnen verjagen van organisaties, dus standaardpraktijken zoals regelmatige software-updates en geïsoleerde back-ups helpen wel degelijk en er is nog veel meer dat organisaties kunnen doen om zichzelf te beveiligen".

"Effectieve maatregelen tegen het ransomware-ecosysteem kunnen pas worden genomen als de onderliggende oorzaken ervan echt worden begrepen. Met dit rapport hopen we meer inzicht te geven in de manier waarop ransomware-aanvallen echt georganiseerd zijn, zodat de gemeenschap adequate tegenmaatregelen kan nemen," voegt Ivan Kwiatkowski, senior beveiligingsonderzoeker bij Kaspersky's Global Research and Analysis Team, toe.

 

Leer meer over het ransomware-ecosysteem in het volledige rapport op Securelist.

 

Lees ook
Onderzoek WatchGuard: sterke stijging evasive malware

Onderzoek WatchGuard: sterke stijging evasive malware

Het gebruik van malware dat detectiemethoden probeert te omzeilen (‘evasive malware’) is het laatste kwartaal van 2023 fors gestegen. Daarnaast hebben hackers het steeds vaker voorzien op Exchange-mailservers. Het aantal ransomwarebesmettingen blijft wel verder afnemen, waarschijnlijk door diverse internationale inspanningen.

Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten.

‘’Innovatie op het gebied van cybersecurity blijft achter in Nederland’’

‘’Innovatie op het gebied van cybersecurity blijft achter in Nederland’’

De huidige innovatiekracht in Nederland en Europa op het gebied van cybersecurity blijft achter, ten opzichte van de Verenigde Staten en China. Dat blijkt uit het deze week verschenen boek ‘Security Innovation Stories’, geschreven door Bram de Bruijn in samenwerking met Frank van Summeren.