Cybercriminelen worden steeds strategischer en professioneler ransomware. Ze bootsen steeds vaker na hoe legitieme bedrijven opereren, onder meer door gebruik te maken van een groeiende cybercrime-as-a-service toeleveringsketen.
Dit artikel beschrijft vier belangrijke trends op het gebied van ransomware en geeft advies over hoe u kunt voorkomen dat u het slachtoffer wordt van deze nieuwe aanvallen.
1. IAB’s in opkomst
Cybercriminaliteit wordt steeds winstgevender, zoals blijkt uit de groei van initial access brokers (IAB’s) die gespecialiseerd zijn in het overtreden van bedrijven, het stelen van inloggegevens en het verkopen van die toegang aan andere aanvallers. IAB's vormen de eerste schakel in de cybercrime-as-a-service kill chain, een schaduweconomie van kant-en-klare diensten die elke potentiële crimineel kan kopen om geavanceerde gereedschapsketens te bouwen om vrijwel elk denkbaar digitaal misdrijf uit te voeren.
De belangrijkste klanten van IAB’s zijn ransomware-exploitanten, die bereid zijn te betalen voor toegang tot kant-en-klare slachtoffers, terwijl zij hun eigen inspanningen richten op afpersing en het verbeteren van hun malware.
In 2021 waren er meer dan 1,300 IAB-vermeldingen op grote cybercriminaliteitsforums die worden gecontroleerd door het KELA Cyber Intelligence Center, waarbij bijna de helft afkomstig is van tien IAB's. In de meeste gevallen lag de prijs voor toegang tussen de $10 en $1,000, met een gemiddelde verkoopprijs van $10,000. Van alle beschikbare aanbiedingen behoorden VPN-referenties en toegang tot domeinbeheerders het meest waardevolle.
2. Bestandsloze aanvallen vliegen onder de radar
Cybercriminelen spelen in op geavanceerde persistente dreigingen (APT) en natiestatenaanvallers door gebruik te maken van 'living-off-the-land' (LotL) en bestandsloze technieken om hun kansen te vergroten om detectie te omzeilen en zo ransomware met succes in te zetten.
Deze aanvallen maken gebruik van legitieme, openbaar beschikbare softwaretools die vaak in de omgeving van een doelwit worden aangetroffen. Bijvoorbeeld 91% van DarkSide-ransomware Bij de aanvallen waren legitieme tools betrokken, waarbij volgens slechts 9% malware werd gebruikt een rapport van Picus Beveiliging. Er zijn andere aanvallen ontdekt die 100% bestandloos waren.
Op deze manier omzeilen bedreigingsactoren detectie door ‘bekende slechte’ indicatoren te vermijden, zoals procesnamen of bestandshashes. Lijsten met toegestane applicaties, die het gebruik van vertrouwde applicaties toestaan, slagen er ook niet in kwaadwillende gebruikers te beperken, vooral niet voor alomtegenwoordige apps.
3. Ransomwaregroepen die zich richten op low-profile doelwitten
Het hoogprofiel Koloniale pijplijn ransomware-aanval in mei 2021 heeft de kritieke infrastructuur zo ernstig getroffen dat er een internationale en reactie van de hoogste regering.
Dergelijke aanvallen die de krantenkoppen halen, leiden tot onderzoek en gezamenlijke inspanningen van wetshandhavings- en defensiediensten om op te treden tegen ransomware-exploitanten, wat leidt tot verstoring van criminele activiteiten, maar ook tot arrestaties en vervolgingen. De meeste criminelen houden hun activiteiten liever onder de radar. Gezien het aantal potentiële doelwitten kunnen exploitanten het zich veroorloven opportunistisch te zijn en tegelijkertijd het risico voor hun eigen activiteiten tot een minimum te beperken. Ransomware-actoren zijn veel selectiever geworden in hun targeting op slachtoffers, mogelijk gemaakt door de gedetailleerde en gedetailleerde firmagrafische gegevens die door IAB's worden geleverd.
4. Insiders worden verleid met een stukje van de taart
Ransomware-exploitanten hebben ook ontdekt dat ze malafide medewerkers kunnen inschakelen om hen te helpen toegang te krijgen. Het conversiepercentage kan laag zijn, maar de uitbetaling kan de moeite waard zijn.
A onderzoek door Hitachi ID Uit de metingen tussen 7 december 2021 en 4 januari 2022 bleek dat 65% van de respondenten zei dat hun werknemers door bedreigingsactoren waren benaderd om te helpen bij het verlenen van initiële toegang. Insiders die in het aas grijpen, hebben verschillende redenen om bereid te zijn hun bedrijven te verraden, hoewel ontevredenheid over hun werkgever de meest voorkomende drijfveer is.
Wat de reden ook is, de aanbiedingen van ransomwaregroepen kunnen verleidelijk zijn. In het Hitachi ID-onderzoek kreeg 57% van de ondervraagde werknemers minder dan $500,000 aangeboden, 28% kreeg tussen de $500,000 en $1 miljoen aangeboden, en 11% kreeg meer dan $1 miljoen aangeboden.
Praktische stappen om de bescherming te verbeteren
De evoluerende tactieken die hier worden besproken vergroten de dreiging van ransomware-exploitanten, maar er zijn stappen die organisaties kunnen nemen om zichzelf te beschermen:
- Volg de beste praktijken op het gebied van zero-trust, zoals multifactorauthenticatie (MFA) en toegang met de minste bevoegdheden, om de impact van gecompromitteerde inloggegevens te beperken en de kans op het detecteren van afwijkende activiteiten te vergroten.
- Focus op het beperken van bedreigingen van binnenuit, een praktijk die kwaadwillige acties kan helpen beperken, niet alleen door werknemers, maar ook door externe actoren (die immers insiders lijken zodra ze toegang hebben verkregen).
- Voer regelmatig jacht op bedreigingen uit, die kunnen helpen bij het vroegtijdig opsporen van bestandsloze aanvallen en bedreigingsactoren die uw verdediging proberen te omzeilen.
Aanvallers zijn altijd op zoek naar nieuwe manieren om de systemen van organisaties te infiltreren, en de nieuwe trucs die we zien dragen zeker bij aan de voordelen die cybercriminelen hebben ten opzichte van organisaties die niet voorbereid zijn op aanvallen. Organisaties staan echter verre van machteloos. Door de praktische en bewezen stappen te nemen die in dit artikel worden beschreven, kunnen organisaties het leven van IAB's en ransomwaregroepen erg zwaar maken, ondanks hun nieuwe reeks tactieken.
