Ransomware-slachtoffers stijgen terwijl bedreigingsactoren zich richten op zero-day-exploits

Het aantal organisaties dat het slachtoffer werd van ransomware-aanvallen steeg met 143% tussen het eerste kwartaal van 2022 en het eerste kwartaal van dit jaar, omdat aanvallers steeds vaker gebruik maakten van zero-day kwetsbaarheden en one-day fouten om in te breken in doelnetwerken.

Bij veel van deze aanvallen deden dreigingsactoren niet eens de moeite om gegevens van slachtofferorganisaties te versleutelen. In plaats daarvan richtten ze zich uitsluitend op het stelen van hun gevoelige gegevens en dwongen ze slachtoffers af door te dreigen de gegevens te verkopen of aan anderen te lekken. De tactiek zorgde ervoor dat zelfs degenen met anderszins robuuste back-up- en herstelprocessen in het nauw werden gedreven.

Een golf van slachtoffers

Onderzoekers bij Akamai ontdekte de trends toen ze onlangs gegevens analyseerden die waren verzameld van leksites van 90 ransomware-groepen. Leksites zijn locaties waar ransomware-groepen doorgaans details vrijgeven over hun aanvallen, slachtoffers en alle gegevens die ze mogelijk hebben versleuteld of geëxfiltreerd.

Uit de analyse van Akamai bleek dat verschillende populaire opvattingen over ransomware-aanvallen niet langer volledig waar zijn. Een van de belangrijkste, volgens het bedrijf, is een verschuiving van phishing als eerste toegangsvector naar misbruik van kwetsbaarheden. Akamai ontdekte dat verschillende grote ransomware-exploitanten zich richten op het verwerven van zero-day-kwetsbaarheden - hetzij door intern onderzoek, hetzij door deze te verkrijgen van bronnen op de grijze markt - om te gebruiken bij hun aanvallen.

Een opmerkelijk voorbeeld is de Cl0P-ransomwaregroep, die misbruik maakte van een zero-day SQL-injection-kwetsbaarheid in Fortra's GoAnywhere-software (CVE-2023-0669) eerder dit jaar om in te breken bij tal van spraakmakende bedrijven. In mei maakte dezelfde bedreigingsactor misbruik van een andere zero-day bug die hij ontdekte - dit keer in de MOVEIt-toepassing voor bestandsoverdracht van Progress Software (CVE-2023-34362) — om tientallen grote organisaties wereldwijd te infiltreren. Akamai ontdekte dat het aantal slachtoffers van Cl0p tussen het eerste kwartaal van 2022 en het eerste kwartaal van dit jaar vernegenvoudigd was nadat het begon met het exploiteren van zero-day bugs.

Hoewel het gebruik van zero-day-kwetsbaarheden niet bijzonder nieuw is, is de opkomende trend onder ransomware-actoren om ze te gebruiken bij grootschalige aanvallen aanzienlijk, zei Akamai.

"Bijzonder zorgwekkend is de interne ontwikkeling van zero-day-kwetsbaarheden", zegt Eliad Kimhy, hoofd van het CORE-team van Akamai Security Research. "We zien dit met Cl0p met hun twee recente grote aanvallen, en we verwachten dat andere groepen dit voorbeeld zullen volgen en hun middelen zullen gebruiken om dit soort kwetsbaarheden te kopen en te vinden."

In andere gevallen veroorzaakten grote ransomware-outfits zoals LockBit en ALPHV (ook bekend als BlackCat) ravage door op nieuw onthulde kwetsbaarheden te springen voordat organisaties de kans hadden om de oplossing van de leverancier erop toe te passen. Voorbeelden van dergelijke 'day-one'-kwetsbaarheden zijn de PaperCut-kwetsbaarheden van april 2023 (CVE-2023-27350 en CVE-2023-27351) en kwetsbaarheden in de ESXi-servers van VMware die de exploitant van de ESXiArgs-campagne misbruikte.

Draaien van encryptie naar exfiltratie

Akamai ontdekte ook dat sommige ransomware-operators, zoals die achter de BianLian-campagne, volledig zijn overgestapt van gegevensversleuteling tot afpersing via gegevensdiefstal. De reden waarom de overstap belangrijk is, is dat organisaties met gegevensversleuteling een kans hadden om hun vergrendelde gegevens op te halen als ze een robuust genoeg gegevensback-up- en herstelproces hadden. Met gegevensdiefstal hebben organisaties die mogelijkheid niet en moeten ze in plaats daarvan betalen of het risico lopen dat de aanvallers hun gegevens publiekelijk lekken - of erger nog, ze aan anderen verkopen.

De diversificatie van afpersingstechnieken is opmerkelijk, zegt Kimhy. "De exfiltratie van gegevens was begonnen als extra hefboomeffect dat in sommige opzichten ondergeschikt was aan de versleuteling van bestanden", merkt Kimhy op. "Tegenwoordig zien we dat het wordt gebruikt als primaire hefboom voor afpersing, wat betekent dat bijvoorbeeld een back-up van bestanden mogelijk niet voldoende is."

De meeste slachtoffers in Akamai's dataset - zo'n 65% zelfs - waren kleine tot middelgrote bedrijven met gerapporteerde inkomsten tot $ 50 miljoen. Grotere organisaties, vaak gezien als de grootste doelwitten van ransomware, maakten slechts 12% van de slachtoffers uit. Productiebedrijven kregen te maken met een onevenredig groot percentage van de aanvallen, gevolgd door zorginstellingen en financiële dienstverleners. Het is veelbetekenend dat Akamai ontdekte dat organisaties die een ransomware-aanval meemaakten, een zeer grote kans hadden om binnen drie maanden na de eerste aanval een tweede aanval te ervaren.

Het is belangrijk om te benadrukken dat phishing nog steeds erg belangrijk is om je tegen te verdedigen, zegt Kimhy. Tegelijkertijd moeten organisaties prioriteit geven aan het patchen van nieuw onthulde kwetsbaarheden. Hij voegt eraan toe: “Dezelfde aanbevelingen die we hebben gedaan, zijn nog steeds van toepassing, zoals het begrijpen van de tegenstander, bedreigingsoppervlakken, gebruikte, favoriete en ontwikkelde technieken, en met name welke producten, processen en mensen je moet ontwikkelen om stop een moderne ransomware-aanval.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
• Bron: https://www.darkreading.com/threat-intelligence/ransomware-victims-surge-as-threat-actors-pivot-to-zero-day-exploits