Bekijk de digitale briefing van Cyber Signals waarin Vasu Jakkal, CVP van Microsoft Security, ervaren experts op het gebied van bedreigingsinformatie spreekt over de ransomware-economie en hoe organisaties kunnen helpen zichzelf te beschermen.
Net zoals veel sectoren zijn overgestapt op flexwerkers voor efficiëntie, verhuren of verkopen cybercriminelen hun hulpprogramma's voor ransomware voor een deel van de winst, in plaats van de aanvallen zelf uit te voeren.
Met Ransomware as a Service kunnen cybercriminelen toegang kopen tot ransomware-payloads en gegevenslekken, evenals de betalingsinfrastructuur. 'Ransomware-bendes' zijn in werkelijkheid RaaS-programma's zoals Conti of REvil, die worden gebruikt door veel verschillende actoren die wisselen tussen RaaS-programma's en -payloads.
RaaS verlaagt de drempel voor toegang en versluiert de identiteit van de aanvallers achter de aanval. Sommige programma's hebben meer dan vijftig 'gelieerde ondernemingen', zoals ze de gebruikers van hun service noemen, met verschillende hulpprogramma's, technieken en doelstellingen. Net zoals iedereen met een auto een rideshare-service kan aanbieden, kan iedereen met een laptop en creditcard die bereid is om op het dark web te zoeken naar hulpprogramma's voor penetratietesten of gebruiksklare malware, een rol spelen in deze economie.
Deze industrialisatie van cybercriminaliteit heeft gespecialiseerde rollen gecreëerd, zoals toegangsbemiddelaars die toegang tot netwerken verkopen. Bij één inbreuk zijn vaak meerdere cybercriminelen betrokken in verschillende fasen van de inbraak.
RaaS-kits zijn gemakkelijk te vinden op het dark web en worden op dezelfde manier geadverteerd als goederen op het internet.
Een RaaS-kit kan ondersteuning van de klantenservice, gebundelde aanbiedingen, gebruikersbeoordelingen, fora en andere functies bevatten. Cybercriminelen kunnen een vaste prijs betalen voor een RaaS-kit, terwijl andere groepen die RaaS verkopen onder het model met gelieerde ondernemingen een percentage van de winst ontvangen.
Bij ransomware-aanvallen worden beslissingen genomen op basis van netwerkconfiguraties en deze verschillen per slachtoffer, zelfs als de ransomware-payload hetzelfde is. Ransomware is het eindpunt van een aanval die de exfiltratie van gegevens en andere gevolgen kan hebben. Omdat de cybereconomie onderling is verbonden, kunnen ogenschijnlijk ongerelateerde inbraken op elkaar voortbouwen. Infostealer-malware die wachtwoorden en cookies steelt, wordt als minder indringend gezien, maar cybercriminelen verkopen deze wachtwoorden om andere aanvallen mogelijk te maken.
Deze aanvallen volgen een sjabloon die begint met initiële toegang via besmetting met malware of uitbuiting van een beveiligingsprobleem en vervolgens referentiediefstal om bevoegdheden te verkrijgen en zich lateraal te verplaatsen. Industrialisatie maakt het mogelijk dat veelvuldige en impactvolle ransomware-aanvallen kunnen worden uitgevoerd door aanvallers zonder verfijning of geavanceerde vaardigheden. Sinds de afsluiting van Conti zien we verschuivingen in het ransomware-landschap. Sommige gelieerde ondernemingen die Conti gebruikten, zijn overgestapt op payloads van gevestigde RaaS-ecosystemen zoals LockBit en Hive, terwijl anderen tegelijkertijd payloads van meerdere RaaS-ecosystemen inzetten.
Nieuwe RaaS, zoals QuantumLocker en Black Basta, springen in het gat dat is ontstaan door de afsluiting van Conti. Omdat de meeste berichtgeving over ransomware zich richt op payloads in plaats van op actoren, zal deze omschakeling van payloads overheden, wetshandhaving, media, beveiligingsonderzoekers en verdedigers waarschijnlijk in verwarring brengen over wie er achter de aanvallen zit.
Rapporteren over ransomware lijkt misschien een schalingsprobleem zonder eind, maar in werkelijkheid is er een beperkt aantal actoren die de verzameling technieken gebruiken.
Ransomware bestaat om een slachtoffer af te persen tot betaling. De meeste huidige RaaS-programma's lekken ook gestolen gegevens, wat bekend staat als double extortion. Storingen veroorzaken terugslag en de verstoring voor de overheid door ransomware-aanvallers neemt toe, waardoor sommige groepen afzien van ransomware en overgaan op het afpersen van gegevens.
Twee groepen die zich richten op afpersing zijn DEV-0537 (ook bekend als LAPSUS$) en DEV-0390 (een voormalige gelieerde onderneming van Conti). De inbraken van DEV-0390 zijn gebaseerd op malware, maar gebruiken legitieme hulpprogramma's om gegevens te exfiltreren en voor afpersing. Ze gebruiken hulpprogramma's voor penetratietesten zoals Cobalt Strike, Brute Ratel C4 en het legitieme Atera-hulpprogramma voor extern beheer om toegang tot een slachtoffer te houden. DEV-0390 escaleert bevoegdheden door aanmeldingsgegevens te stelen, gevoelige gegevens te lokaliseren (vaak op bedrijfsback-up- en bestandsservers) en de gegevens naar een site voor bestandsdeling in de cloud te sturen met behulp van een hulpprogramma voor bestandsback-up.
DEV-0537 gebruikt een heel andere strategie en techniek. Initiële toegang wordt verkregen door het kopen van aanmeldingsgegevens in het criminele circuit of van werknemers bij de beoogde organisaties.
Omdat ze begrijpen dat identiteiten en vertrouwensrelaties in moderne technologie-ecosystemen met elkaar zijn verbonden, richten ze zich op telecommunicatie-, technologie-, IT-services- en ondersteuningsbedrijven om toegang vanuit één organisatie te gebruiken om binnen te komen in partner- of leveranciersnetwerken. Aanvallen met alleen afpersing laten zien dat netwerkverdedigers verder moeten kijken dan alleen ransomware in het eindstadium, en exfiltratie en laterale verplaatsingen van gegevens nauwlettend in de gaten moeten houden.
Als een bedreigingsactor van plan is om een organisatie af te persen voor het openbaar maken van hun gegevens, dan is een ransomware-payload het minst belangrijke en minst waardevolle onderdeel van de aanvalsstrategie. Uiteindelijk is het aan de aanvallers om te kiezen wat ze inzetten, en ransomware is niet altijd het grote geld waar elke bedreigingsactor op uit is.
Hoewel ransomware of dubbele afpersing een onvermijdelijke uitkomst kan lijken van een aanval door geavanceerde aanvallers, is ransomware een ramp die kan worden vermeden. Als aanvallers vertrouwen op zwakke plekken in de beveiliging, betekent dit dat investeringen in cyberhygiëne van groot belang zijn.
De unieke zichtbaarheid van Microsoft geeft ons een idee van de activiteit van bedreigingsactoren. In plaats van te vertrouwen op forumberichten of chatlekken, bestudeert ons team van beveiligingsexperts nieuwe ransomwaretactieken en ontwikkelt het bedreigingsinformatie die onze beveiligingsoplossingen van informatie voorziet.
Geïntegreerde bescherming tegen bedreigingen voor apparaten, identiteiten, toepassingen, e-mail, gegevens en de cloud helpt ons aanvallen te identificeren die zouden zijn bestempeld als een aanval die bestaat uit verschillende actoren, terwijl het in feite gaat om een enkele groep cybercriminelen. Onze Digital Crimes Unit, bestaande uit technische, juridische en zakelijke experts, blijft samenwerken met wetshandhavers om cybercriminaliteit tegen te gaan
Microsoft heeft uitgebreide aanbevelingen over https://go.microsoft.com/fwlink/?linkid=2262350.
Luister naar analist van bedreigingsinformatie Emily Hacker over hoe haar team op de hoogte blijft van het veranderende landschap van Ransomware as a Service.
Methodologie: Voor momentopnamegegevens leverden Microsoft-platforms, waaronder Defender en Azure Active Directory, en onze Digital Crimes Unit, anoniem gemaakte gegevens over bedreigingsactiviteiten, zoals schadelijke e-mailaccounts, phishing e-mails en bewegingen van aanvallers binnen netwerken. Bijkomende inzichten zijn afkomstig uit de 43 biljoen beveiligingsgegevens die Microsoft dagelijks verzamelt, onder andere uit de cloud, eindpunten, de intelligente rand en onze Compromise Security Recovery Practice en Detection and Response Teams.
Volg Microsoft Beveiliging