Enterprise-beveiligingsteams kunnen nog drie ransomware-varianten toevoegen aan de constant groeiende lijst met ransomware-bedreigingen waarop ze moeten letten.
De drie varianten - Vohuk, ScareCrow en AESRT - richten zich, net als de meeste ransomware-tools, op Windows-systemen en lijken zich relatief snel te verspreiden op systemen van gebruikers in meerdere landen. Beveiligingsonderzoekers van FortiGuard Labs van Fortinet, die deze week de bedreigingen volgen, beschreven dat de ransomware-voorbeelden steeds meer grip krijgen in de ransomware-database van het bedrijf.
Fortinets analyse van de drie bedreigingen bleek dat het standaard ransomware-tools waren van het soort dat niettemin zeer effectief is geweest in het versleutelen van gegevens op gecompromitteerde systemen. De waarschuwing van Fortinet identificeerde niet hoe de operators van de nieuwe ransomware-voorbeelden hun malware verspreiden, maar merkte op dat phishing-e-mail doorgaans de meest voorkomende vector is voor ransomware-infecties.
Een groeiend aantal varianten
"Als de groei van ransomware in 2022 aangeeft wat de toekomst in petto heeft, mogen beveiligingsteams overal verwachten dat deze aanvalsvector in 2023 nog populairder wordt", zegt Fred Gutierrez, senior security engineer bij Fortinet's FortiGuard Labs.
Alleen al in de eerste helft van 2022 is het aantal nieuwe ransomware-varianten dat FortiGuard Labs identificeerde met bijna 100% gestegen in vergelijking met de voorgaande zes maanden, zegt hij. Het FortiGuard Labs-team documenteerde 10,666 nieuwe ransomware-varianten in de eerste helft van 2022 vergeleken met slechts 5,400 in de tweede helft van 2021.
"Deze groei in nieuwe varianten van ransomware is voornamelijk te danken aan het feit dat steeds meer aanvallers gebruik maken van ransomware-as-a-service (RaaS) op het Dark Web", zegt hij.
Hij voegt eraan toe: "Bovendien is misschien wel het meest verontrustende aspect dat we een toename zien van meer destructieve ransomware-aanvallen op schaal en in vrijwel alle sectortypen, en we verwachten dat dit doorzet tot in 2023."
Standaard maar effectieve soorten ransomware
De Vohuk-ransomwarevariant die Fortinet-onderzoekers analyseerden, leek in zijn derde iteratie te zitten, wat aangeeft dat de auteurs deze actief aan het ontwikkelen zijn.
De malware plaatst een losgeldbrief, "README.txt", op gecompromitteerde systemen waarin de slachtoffers wordt gevraagd om via e-mail contact op te nemen met de aanvaller met een uniek ID, aldus Fortinet. Het briefje informeert het slachtoffer dat de aanvaller niet politiek gemotiveerd is, maar alleen geรฏnteresseerd is in financieel gewin โ vermoedelijk om de slachtoffers gerust te stellen dat ze hun gegevens terugkrijgen als ze het gevraagde losgeld betalen.
Ondertussen is "ScareCrow een andere typische ransomware die bestanden op de machines van slachtoffers versleutelt", aldus Fortinet. "De losgeldbrief, ook wel 'readme.txt' genoemd, bevat drie Telegram-kanalen die slachtoffers kunnen gebruiken om met de aanvaller te praten."
Hoewel de losgeldbrief geen specifieke financiรซle eisen bevat, is het veilig om aan te nemen dat slachtoffers losgeld moeten betalen om versleutelde bestanden te herstellen, zei Fortinet.
Het onderzoek van de beveiligingsleverancier toonde ook enige overlap tussen ScareCrow en de beruchte Conti ransomware-variant, een van de meest productieve ransomware-tools ooit. Beide gebruiken bijvoorbeeld hetzelfde algoritme om bestanden te versleutelen, en net als Conti verwijdert ScareCrow schaduwkopieรซn met behulp van het WMI-opdrachtregelhulpprogramma (wmic) om gegevens op geรฏnfecteerde systemen onherstelbaar te maken.
Inzendingen bij VirusTotal suggereren dat ScareCrow systemen heeft geรฏnfecteerd in de Verenigde Staten, Duitsland, Italiรซ, India, de Filippijnen en Rusland.
En tot slot heeft AESRT, de derde nieuwe ransomware-familie die Fortinet onlangs in het wild zag, functionaliteit die vergelijkbaar is met de andere twee bedreigingen. Het belangrijkste verschil is dat de malware geen losgeldbriefje achterlaat, maar een pop-upvenster weergeeft met het e-mailadres van de aanvaller en een veld met een sleutel voor het decoderen van versleutelde bestanden zodra het slachtoffer het gevraagde losgeld heeft betaald.
Zal Crypto-Collapse de ransomware-dreiging vertragen?
De nieuwe varianten dragen bij aan de lange - en voortdurend groeiende - lijst van ransomware-bedreigingen waarmee organisaties nu dagelijks te maken hebben, aangezien ransomware-operators meedogenloos blijven hameren op grote organisaties.
Uit gegevens over ransomware-aanvallen die LookingGlass eerder dit jaar analyseerde, bleek dat er enkele waren 1,133 bevestigde ransomware-aanvallen alleen al in de eerste helft van 2022 โ waarvan meer dan de helft (52%) Amerikaanse bedrijven trof. LookingGlass ontdekte dat de meest actieve ransomware-groep die achter de LockBit-variant was, gevolgd door groepen achter de Conti-, Black Basta- en Alphy-ransomware.
De activiteitsgraad is echter niet constant. Sommige beveiligingsleveranciers meldden dat ze gedurende bepaalde delen van het jaar een lichte vertraging in ransomware-activiteit waarnamen.
In een halfjaarlijks rapport zei SecureWorks bijvoorbeeld dat de respons op incidenten in mei en juni suggereerde dat de snelheid waarmee succesvolle nieuwe ransomware-aanvallen plaatsvonden een beetje was vertraagd.
SecureWorks identificeerde de trend die waarschijnlijk, althans gedeeltelijk, te maken heeft met de verstoring van de Conti RaaS-operatie dit jaar en andere factoren zoals de ontwrichtende effect van de oorlog in Oekraรฏne op ransomware-bendes.
Een ander rapport, van het Identity Theft Resource Center (ITRC), rapporteerde een daling van 20% in ransomware-aanvallen dat resulteerde in een doorbraak in het tweede kwartaal van 2022 in vergelijking met het eerste kwartaal van het jaar. ITRC identificeerde, net als SecureWorks, de achteruitgang als zijnde te maken met de oorlog in Oekraรฏne en, aanzienlijk, met de ineenstorting van cryptocurrencies die ransomware-operators prefereren voor betalingen.
Bryan Ware, CEO van LookingGlass, zegt dat hij gelooft dat de crypto-instorting ransomware-operators in 2023 zou kunnen hinderen.
"Het recente FTX-schandaal heeft cryptocurrencies tot een hoogtepunt gebracht, en dit heeft invloed op het genereren van inkomsten met ransomware en maakt het in wezen onvoorspelbaar", zegt hij. "Dit voorspelt niet veel goeds voor ransomware-operators, omdat ze op de lange termijn andere vormen van inkomsten genereren zullen moeten overwegen."
Ware zegt de trends rond cryptocurrencies heeft een aantal ransomwaregroepen die overwegen om hun eigen cryptocurrencies te gebruiken: "We weten niet zeker of dit zal gebeuren, maar over het algemeen maken ransomwaregroepen zich zorgen over hoe ze in de toekomst geld zullen verdienen en een zekere mate van anonimiteit zullen behouden."
