Afpersingseconomie
Bekijk de digitale briefing van Cyber Signals waarin Vasu Jakkal, CVP van Microsoft Security, ervaren experts op het gebied van bedreigingsinformatie spreekt over de ransomware-economie en hoe organisaties kunnen helpen zichzelf te beschermen.
Digitale briefing: Jezelf beschermen tegen de ransomware-economie
Nieuw bedrijfsmodel biedt nieuwe inzichten voor verdedigers
Net zoals veel sectoren zijn overgestapt op flexwerkers voor efficiëntie, verhuren of verkopen cybercriminelen hun hulpprogramma's voor ransomware voor een deel van de winst, in plaats van de aanvallen zelf uit te voeren.
Met Ransomware as a Service kunnen cybercriminelen toegang kopen tot ransomware-payloads en gegevenslekken, evenals de betalingsinfrastructuur. 'Ransomware-bendes' zijn in werkelijkheid RaaS-programma's zoals Conti of REvil, die worden gebruikt door veel verschillende actoren die wisselen tussen RaaS-programma's en -payloads.
RaaS verlaagt de drempel voor toegang en versluiert de identiteit van de aanvallers achter de aanval. Sommige programma's hebben meer dan vijftig 'gelieerde ondernemingen', zoals ze de gebruikers van hun service noemen, met verschillende hulpprogramma's, technieken en doelstellingen. Net zoals iedereen met een auto een rideshare-service kan aanbieden, kan iedereen met een laptop en creditcard die bereid is om op het dark web te zoeken naar hulpprogramma's voor penetratietesten of gebruiksklare malware, een rol spelen in deze economie.
Deze industrialisatie van cybercriminaliteit heeft gespecialiseerde rollen gecreëerd, zoals toegangsbemiddelaars die toegang tot netwerken verkopen. Bij één inbreuk zijn vaak meerdere cybercriminelen betrokken in verschillende fasen van de inbraak.
RaaS-kits zijn gemakkelijk te vinden op het dark web en worden op dezelfde manier geadverteerd als goederen op het internet.
Een RaaS-kit kan ondersteuning van de klantenservice, gebundelde aanbiedingen, gebruikersbeoordelingen, fora en andere functies bevatten. Cybercriminelen kunnen een vaste prijs betalen voor een RaaS-kit, terwijl andere groepen die RaaS verkopen onder het model met gelieerde ondernemingen een percentage van de winst ontvangen.
Bij ransomware-aanvallen worden beslissingen genomen op basis van netwerkconfiguraties en deze verschillen per slachtoffer, zelfs als de ransomware-payload hetzelfde is. Ransomware is het eindpunt van een aanval die de exfiltratie van gegevens en andere gevolgen kan hebben. Omdat de cybereconomie onderling is verbonden, kunnen ogenschijnlijk ongerelateerde inbraken op elkaar voortbouwen. Infostealer-malware die wachtwoorden en cookies steelt, wordt als minder indringend gezien, maar cybercriminelen verkopen deze wachtwoorden om andere aanvallen mogelijk te maken.
Deze aanvallen volgen een sjabloon die begint met initiële toegang via besmetting met malware of uitbuiting van een beveiligingsprobleem en vervolgens referentiediefstal om bevoegdheden te verkrijgen en zich lateraal te verplaatsen. Industrialisatie maakt het mogelijk dat veelvuldige en impactvolle ransomware-aanvallen kunnen worden uitgevoerd door aanvallers zonder verfijning of geavanceerde vaardigheden. Sinds de afsluiting van Conti zien we verschuivingen in het ransomware-landschap. Sommige gelieerde ondernemingen die Conti gebruikten, zijn overgestapt op payloads van gevestigde RaaS-ecosystemen zoals LockBit en Hive, terwijl anderen tegelijkertijd payloads van meerdere RaaS-ecosystemen inzetten.
Nieuwe RaaS, zoals QuantumLocker en Black Basta, springen in het gat dat is ontstaan door de afsluiting van Conti. Omdat de meeste berichtgeving over ransomware zich richt op payloads in plaats van op actoren, zal deze omschakeling van payloads overheden, wetshandhaving, media, beveiligingsonderzoekers en verdedigers waarschijnlijk in verwarring brengen over wie er achter de aanvallen zit.
Rapporteren over ransomware lijkt misschien een schalingsprobleem zonder eind, maar in werkelijkheid is er een beperkt aantal actoren die de verzameling technieken gebruiken.
Aanbevelingen:
- Hygiëne van aanmeldingsgegevens opbouwen: ontwikkel een logische netwerksegmentatie op basis van bevoegdheden die naast netwerksegmentatie kan worden geïmplementeerd om laterale verplaatsingen te beperken.
- Blootstelling aan aanmeldingsgegevens van audit: het controleren van de blootstelling aan aanmeldingsgegevens is cruciaal bij het voorkomen van ransomware-aanvallen en cybercriminaliteit in het algemeen. IT-beveiligingsteams en SOC's kunnen samenwerken om beheerdersbevoegdheden te beperken en inzicht te krijgen in welke mate hun aanmeldingsgegevens zijn blootgesteld.
- Het aanvalsoppervlak verkleinen: Stel regels op om de kwetsbaarheid voor aanvallen te verminderen om veelgebruikte aanvalstechnieken bij ransomware-aanvallen te voorkomen. Bij het observeren van aanvallen van verschillende ransomware-gerelateerde activiteitengroepen, konden organisaties met duidelijk gedefinieerde regels aanvallen in hun beginstadia beperken en tegelijkertijd hands-on-keyboard activiteiten voorkomen.
Cybercriminelen voegen dubbele afpersing (double extortion) toe aan aanvalsstrategie
Ransomware bestaat om een slachtoffer af te persen tot betaling. De meeste huidige RaaS-programma's lekken ook gestolen gegevens, wat bekend staat als double extortion. Storingen veroorzaken terugslag en de verstoring voor de overheid door ransomware-aanvallers neemt toe, waardoor sommige groepen afzien van ransomware en overgaan op het afpersen van gegevens.
Twee groepen die zich richten op afpersing zijn DEV-0537 (ook bekend als LAPSUS$) en DEV-0390 (een voormalige gelieerde onderneming van Conti). De inbraken van DEV-0390 zijn gebaseerd op malware, maar gebruiken legitieme hulpprogramma's om gegevens te exfiltreren en voor afpersing. Ze gebruiken hulpprogramma's voor penetratietesten zoals Cobalt Strike, Brute Ratel C4 en het legitieme Atera-hulpprogramma voor extern beheer om toegang tot een slachtoffer te houden. DEV-0390 escaleert bevoegdheden door aanmeldingsgegevens te stelen, gevoelige gegevens te lokaliseren (vaak op bedrijfsback-up- en bestandsservers) en de gegevens naar een site voor bestandsdeling in de cloud te sturen met behulp van een hulpprogramma voor bestandsback-up.
DEV-0537 gebruikt een heel andere strategie en techniek. Initiële toegang wordt verkregen door het kopen van aanmeldingsgegevens in het criminele circuit of van werknemers bij de beoogde organisaties.
Problemen
- Gestolen wachtwoorden en onbeschermde identiteiten
Meer dan malware hebben aanvallers aanmeldingsgegevens nodig om succesvol te zijn. In bijna alle geslaagde implementaties van ransomware krijgen aanvallers toegang tot accounts met bevoegdheden op beheerdersniveau die brede toegang geven tot het netwerk van een organisatie. - Ontbrekende of uitgeschakelde beveiligingsproducten
Bij bijna elk ransomware-incident dat werd vastgesteld, ontbraken er op minimaal één systeem beveiligingsproducten of waren deze verkeerd geconfigureerd, waardoor indringers bepaalde beveiligingen konden manipuleren of uitschakelen. - Verkeerd geconfigureerde of misbruikte toepassingen
Je kunt een populaire toepassing voor één doel gebruiken, maar dat betekent niet dat criminelen deze niet voor een ander doel kunnen gebruiken. 'Verouderde' configuraties betekenen maar al te vaak dat een toepassing zich in de standaard toestand bevindt, waardoor elke gebruiker brede toegang heeft tot hele organisaties. Zie dit risico niet over het hoofd en aarzel niet om de instellingen van de toepassing te wijzigen om verstoringen te voorkomen. - Langzaam patches toepassen
Het is een cliché, net als 'Eet je groenten!', maar het is een belangrijkkritiek feit: De beste manier om software te beveiligen is door het up-to-date te houden. Terwijl sommige toepassingen in de cloud zonder tussenkomst van de gebruiker worden bijgewerkt, moeten bedrijven patches van andere leveranciers onmiddellijk toepassen. In 2022 merkte Microsoft op dat oudere kwetsbaarheden nog steeds een primaire drijfveer zijn voor aanvallen. - Gestolen wachtwoorden en onbeschermde identiteiten
Meer dan malware hebben aanvallers aanmeldingsgegevens nodig om succesvol te zijn. In bijna alle geslaagde implementaties van ransomware krijgen aanvallers toegang tot accounts met bevoegdheden op beheerdersniveau die brede toegang geven tot het netwerk van een organisatie. - Ontbrekende of uitgeschakelde beveiligingsproducten
Bij bijna elk ransomware-incident dat werd vastgesteld, ontbraken er op minimaal één systeem beveiligingsproducten of waren deze verkeerd geconfigureerd, waardoor indringers bepaalde beveiligingen konden manipuleren of uitschakelen. - Verkeerd geconfigureerde of misbruikte toepassingen
Je kunt een populaire toepassing voor één doel gebruiken, maar dat betekent niet dat criminelen deze niet voor een ander doel kunnen gebruiken. 'Verouderde' configuraties betekenen maar al te vaak dat een toepassing zich in de standaard toestand bevindt, waardoor elke gebruiker brede toegang heeft tot hele organisaties. Zie dit risico niet over het hoofd en aarzel niet om de instellingen van de toepassing te wijzigen om verstoringen te voorkomen. - Langzaam patches toepassen
Het is een cliché, net als 'Eet je groenten!', maar het is een belangrijkkritiek feit: De beste manier om software te beveiligen is door het up-to-date te houden. Terwijl sommige toepassingen in de cloud zonder tussenkomst van de gebruiker worden bijgewerkt, moeten bedrijven patches van andere leveranciers onmiddellijk toepassen. In 2022 merkte Microsoft op dat oudere kwetsbaarheden nog steeds een primaire drijfveer zijn voor aanvallen.
Acties
- Authenticeer identiteiten Dwing meervoudige verificatie (MFA) af op alle accounts, geef prioriteit aan beheerders en andere gevoelige rollen. Verplicht bij hybride medewerkers MFA op alle apparaten, op alle locaties, op elk moment. Schakel verificatie zonder wachtwoord, zoals FIDO-sleutels of Microsoft Authenticator, in voor toepassingen die dit ondersteunen.
- Pak blinde vlekken in beveiliging aan
Net als rookmelders moeten beveiligingsproducten op de juiste plek worden geïnstalleerd en regelmatig worden getest. Controleer of hulpprogramma's voor beveiliging in hun veiligste configuratie werken en of er geen enkel deel van het netwerk onbeschermd is. - Versterk internetgerichte assets
Overweeg om dubbele of ongebruikte toepassingen te verwijderen om riskante, ongebruikte services te elimineren. Let op waar je toepassingen voor externe helpdesks, zoals TeamViewer, toestaat. Deze zijn berucht als doelwit voor bedreigingsactoren om snel toegang te krijgen tot laptops. - Houd systemen up-to-date
Maak van software-inventarisatie een doorlopend proces. Houd bij wat je uitvoert en geef prioriteit aan ondersteuning voor deze producten. Gebruik je vermogen om snel en overtuigend patches toe te passen om te bepalen waar de overstap naar cloudgebaseerde services voordelig is.
Omdat ze begrijpen dat identiteiten en vertrouwensrelaties in moderne technologie-ecosystemen met elkaar zijn verbonden, richten ze zich op telecommunicatie-, technologie-, IT-services- en ondersteuningsbedrijven om toegang vanuit één organisatie te gebruiken om binnen te komen in partner- of leveranciersnetwerken. Aanvallen met alleen afpersing laten zien dat netwerkverdedigers verder moeten kijken dan alleen ransomware in het eindstadium, en exfiltratie en laterale verplaatsingen van gegevens nauwlettend in de gaten moeten houden.
Als een bedreigingsactor van plan is om een organisatie af te persen voor het openbaar maken van hun gegevens, dan is een ransomware-payload het minst belangrijke en minst waardevolle onderdeel van de aanvalsstrategie. Uiteindelijk is het aan de aanvallers om te kiezen wat ze inzetten, en ransomware is niet altijd het grote geld waar elke bedreigingsactor op uit is.
Hoewel ransomware of dubbele afpersing een onvermijdelijke uitkomst kan lijken van een aanval door geavanceerde aanvallers, is ransomware een ramp die kan worden vermeden. Als aanvallers vertrouwen op zwakke plekken in de beveiliging, betekent dit dat investeringen in cyberhygiëne van groot belang zijn.
De unieke zichtbaarheid van Microsoft geeft ons een idee van de activiteit van bedreigingsactoren. In plaats van te vertrouwen op forumberichten of chatlekken, bestudeert ons team van beveiligingsexperts nieuwe ransomwaretactieken en ontwikkelt het bedreigingsinformatie die onze beveiligingsoplossingen van informatie voorziet.
Geïntegreerde bescherming tegen bedreigingen voor apparaten, identiteiten, toepassingen, e-mail, gegevens en de cloud helpt ons aanvallen te identificeren die zouden zijn bestempeld als een aanval die bestaat uit verschillende actoren, terwijl het in feite gaat om een enkele groep cybercriminelen. Onze Digital Crimes Unit, bestaande uit technische, juridische en zakelijke experts, blijft samenwerken met wetshandhavers om cybercriminaliteit tegen te gaan
Aanbevelingen:
Microsoft heeft uitgebreide aanbevelingen over https://go.microsoft.com/fwlink/?linkid=2262350.
Luister naar analist van bedreigingsinformatie Emily Hacker over hoe haar team op de hoogte blijft van het veranderende landschap van Ransomware as a Service.
Richtte zich op de verwijdering van meer dan 531.000 unieke phishing-URL's en 5.400 phishing-kits tussen juli 2021 en juni 2022, wat leidde tot de identificatie en sluiting van meer dan 1.400 schadelijke e-mailaccounts die werden gebruikt om gestolen klantaanmeldingsgegevens te verzamelen.1
Een aanvaller heeft gemiddeld één uur en twaalf minuten nodig om toegang te krijgen tot je privégegevens als je slachtoffer wordt van een phishing-e-mail.1
Een aanvaller heeft gemiddeld één uur en 42 minuten nodig om zich lateraal te verplaatsen binnen je bedrijfsnetwerk als een apparaat is gecompromitteerd.1
- [1]
Methodologie: Voor momentopnamegegevens leverden Microsoft-platforms, waaronder Defender en Azure Active Directory, en onze Digital Crimes Unit, anoniem gemaakte gegevens over bedreigingsactiviteiten, zoals schadelijke e-mailaccounts, phishing e-mails en bewegingen van aanvallers binnen netwerken. Bijkomende inzichten zijn afkomstig uit de 43 biljoen beveiligingsgegevens die Microsoft dagelijks verzamelt, onder andere uit de cloud, eindpunten, de intelligente rand en onze Compromise Security Recovery Practice en Detection and Response Teams.
Volg Microsoft Beveiliging