Trace Id is missing

Ransomware as a service: het nieuwe gezicht van geïndustrialiseerde cybercriminaliteit

Delen
Twee pijlen boven elkaar op een lijn die naar elkaar wijzen in een verschillend pad

 Het nieuwste bedrijfsmodel van cybercriminaliteit, door mensen uitgevoerde aanvallen, moedigt criminelen met uiteenlopende vaardigheden aan.

Ransomware, een van de meest hardnekkige en wijdverbreide cyberbedreigingen, blijft zich ontwikkelen en de meest recente vorm is een nieuwe bedreiging voor organisaties overal ter wereld. Bij de evolutie van ransomware gaat het niet om nieuwe technologische ontwikkelingen. Maar wel is er een nieuw bedrijfsmodel: ransomware as a service (RaaS).

Ransomware as a service (RaaS) is een overeenkomst tussen een operator, die de tools voor afpersingsactiviteiten ontwikkelt en onderhoudt, en een partner, die de ransomware-payload implementeert. Terwijl de partner een succesvolle ransomware- en afpersingsaanval uitvoert, profiteren beide partijen.

Dankzij het RaaS-model kunnen aanvallers die niet over voldoende vaardigheden of technische kennis bezitten om hun eigen tools te bouwen gemakkelijker instappen. Ze kunnen kant-en-klare penetratietests en sysadmin-tools gebruiken om aanvallen uit te voeren. Deze criminelen van een lager niveau kunnen ook gewoon netwerktoegang kopen van een meer geavanceerde groep criminelen waarmee al een inbreuk is gepleegd.

Hoewel RaaS-partners ransomware-payloads gebruiken die worden geleverd door meer geavanceerde operators, maken ze geen deel uit van dezelfde groep ransomware-criminelen. Dit zijn in plaats daarvan afzonderlijke bedrijven die opereren in de algemene economie van cybercriminelen.

De mogelijkheden van cybercriminelen ontwikkelen zich steeds verder en de algehele economie van cybercriminelen groeit

Het Ransomware as a Service-model heeft een snelle verfijning en industrialisatie mogelijk gemaakt van wat minder handige criminelen kunnen bereiken. In het verleden hebben deze minder handige criminelen misschien zelf ontwikkelde of gekochte standaardmalware gebruikt om beperkte aanvallen uit te voeren, maar nu kunnen ze alles krijgen wat ze nodig hebben, van toegang tot netwerken tot ransomware-payloads, alles van hun RaaS-operators (voor een prijs natuurlijk). Veel RaaS-programma's bevatten een pakket aan aanbiedingen voor afpersingsondersteuning, waaronder leksitehosting en integratie in ransom-tekst, evenals ontsleutelingsonderhandeling, betalingsdruk en services voor cryptovaluta-transacties.

Dit betekent dat de impact van een succesvolle ransomware- en afpersingsaanval hetzelfde blijft ongeacht welke vaardigheden de aanvaller heeft.

Kwetsbaarheden in het netwerk ontdekken en gebruiken…voor een prijs

Eén manier waarop RaaS-operators waarde aan hun partners leveren is door toegang tot gecompromitteerde netwerken te bieden. Toegangsbemiddelaars scannen het internet op kwetsbare systemen waarop ze inbreuk kunnen plegen en die ze voor latere winsten kunnen reserveren.

Aanvallers hebben aanmeldingsgegevens nodig om succesvol te zijn. Gecompromitteerde aanmeldingsgegevens zijn zo belangrijk bij deze aanvallen dat bij de verkoop van netwerktoegang in veel gevallen de prijs een gegarandeerd beheerdersaccount omvat.

Wat de criminelen met hun toegang doen, kan variëren afhankelijk van de groepen en hun workloads of motivaties. De tijd tussen initiële toegang tot een hands-on keyboard implementatie kan daarom variëren van enkele minuten tot dagen of langer, maar wanneer de omstandigheden het toestaan kan er heel snel schade worden berokkend. Er is waargenomen dat de tijd van initiële toegang tot volledige afpersing (inclusief overdracht van een toegangsbemiddelaar aan een RaaS-partner) in feite minder dan een uur in beslag hoeft te nemen.

De economie laten groeien: persistente en slimme toegangsmethoden

Als aanvallers eenmaal toegang tot een netwerk hebben, gaan ze niet graag weg, zelfs niet nadat ze het geld hebben gekregen. Het kan zelfs zo zijn dat het betalen van losgeld het risico op een gecompromitteerd netwerk niet vermindert. Cybercriminelen kunnen met het geld aanvallen met andere malware of ransomware-payloads financieren totdat ze uit het systeem zijn verwijderd.

De overdracht die plaatsvindt tussen verschillende aanvallers als transities in de cybercriminele economie betekent dat meerdere activiteitengroepen zich in een omgeving kunnen bevinden die verschillende methoden apart van de in een ransomware-aanval gebruikte tools gebruiken. Zo leidt bijvoorbeeld een eerste toegang van een Trojaans paard voor bankieren tot een Cobalt Strike-implementatie, maar de RaaS-partner die de toegang heeft gekocht kan ervoor kiezen een tool voor externe toegang zoals TeamViewer te gebruiken om zijn werk uit te voeren.

Het gebruik van legitieme tools en instellingen om te persisteren versus malware-implementaties zoals Cobalt Strike is een populaire techniek onder ransomware-aanvallers om detectie te vermijden en voor langere tijd resident in het netwerk te blijven.

Een andere populaire aanvalstechniek is het maken van nieuwe backdoor-gebruikersaccounts, lokaal of in Active Directory, die vervolgens kunnen worden toegevoegd aan tools voor externe toegang zoals een VPN of Extern bureaublad. Ook is waargenomen dat ransomware-aanvallers de instellingen op systemen bewerken om Extern bureaublad in te schakelen, de beveiliging van het protocol te reduceren en nieuwe gebruikers toe te voegen aan de groep Gebruikers van Extern bureaublad.

Stroomdiagram waarin wordt uitgelegd hoe RaaS-aanvallen worden gepland en geïmplementeerd

Omgaan met de meest onaantastbare en sluwe aanvallers in de wereld

Een van de kwaliteiten van RaaS die de bedreiging zo zorgelijk maakt, is hoe deze wordt uitgevoerd door mensen die geïnformeerde en berekende beslissingen kunnen nemen en aanvalspatronen kunnen variëren op basis van wat ze vinden in de netwerken waarin ze terechtkomen, waardoor ze zeker weten dat ze hun doelen bereiken.

Microsoft gebruikt de term door mensen beheerde ransomware om deze categorie aanvallen te definiëren als een reeks activiteiten die uitmondt in een ransomware-payload, niet als een set malware-payloads die moeten worden geblokkeerd.

Terwijl de meeste campagnes voor eerste toegang werken met geautomatiseerde verkenning, gebruiken aanvallers wanneer ze overstappen op de hands-on-keyboard fase hun kennis en vaardigheden om de beveiligingsproducten in de omgeving te verslaan.

Ransomware-aanvallers worden gemotiveerd door gemakkelijke winsten, dus het opvoeren van hun kosten via beveiliging is de sleutel tot het verstoren van de cybercriminele economie. Deze menselijke besluitvorming betekent dat zelfs als beveiligingsproducten specifieke aanvalsfasen ontdekken, de aanvallers zelf niet volledig worden verwijderd. Ze zullen pogingen blijven ondernemen als ze niet door een beveiligingsmaatregel worden geblokkeerd. Als een tool of payload wordt gedetecteerd en geblokkeerd door een antivirusproduct, zullen aanvallers in de meeste gevallen gewoon een andere tool gebruiken of hun payload aanpassen.

Aanvallers zijn zich ook bewust van de reactietijden van het beveiligingscentrum en de mogelijkheden en beperkingen van detectietools. Slechts enkele minuten na de ransomware-implementatie kan de aanval al back-ups of schaduwkopieën verwijderen. De aanvaller heeft waarschijnlijk al schadelijke acties uitgevoerd, zoals de exfiltratie van gegevens. Deze kennis is belangrijk voor SOC's om op ransomware te reageren: detecties zoals Cobalt Strike onderzoeken vóór de implementatie van ransomware en snelle herstelacties en IR-procedures (incident response) uitvoeren is van cruciaal belang om menselijke aanvallen te beperken.

Beveiliging tegen bedreigingen versterken en alert blijven op waarschuwingen

Een duurzame beveiligingsstrategie tegen menselijke aanvallen moet detectie- en beperkingsdoelen omvatten. Het is niet voldoende om alleen op detectie te vertrouwen, omdat 1) sommige infiltratiegebeurtenissen praktisch niet kunnen worden gedetecteerd (ze zien eruit als meerdere onschuldige acties) en 2) het niet ongebruikelijk is dat ransomware-aanvallen over het hoofd worden gezien omdat er niet meer alert op waarschuwingen wordt gereageerd vanwege het grote aantal verschillende beveiligingswaarschuwingen voor producten.

Omdat aanvallers meerdere manieren kennen om beveiligingsproducten te omzeilen en uit te schakelen en omdat ze gewoon beheerdersgedrag kunnen nabootsen om niet op te vallen, moeten IT-beveiligingsteams en SOC's hun detectie-inspanningen ondersteunen met maatregelen die de beveiliging versterken.

Ransomware-aanvallers worden gemotiveerd door gemakkelijke winsten, dus het opvoeren van hun kosten via beveiliging is de sleutel tot het verstoren van de cybercriminele economie.

Hier volgen enkele stappen die organisaties kunnen nemen om zichzelf te beschermen:

 

  • Hygiëne van aanmeldingsgegevens opbouwen: ontwikkel een logische netwerksegmentatie op basis van bevoegdheden die naast netwerksegmentatie kan worden geïmplementeerd om laterale verplaatsingen te beperken.
  • Blootstelling van aanmeldingsgegevens controleren: het controleren van de blootstelling van aanmeldingsgegevens is cruciaal bij het voorkomen van ransomware-aanvallen en cybercriminaliteit in het algemeen. IT-beveiligingsteams en SOC's kunnen samenwerken om beheerdersbevoegdheden te beperken en inzicht te krijgen in welke mate hun aanmeldingsgegevens zijn blootgesteld.
  • De cloud beveiligen: nu aanvallers zich steeds meer op resources in de cloud richten, is het belangrijk om cloudresources en identiteiten te beveiligen, net als on-premises accounts. Beveiligingsteams moeten zich richten op het versterken van de beveiligingsinfrastructuur voor identiteiten, het afdwingen van meervoudige verificatie (MFA) op alle accounts en het behandelen van cloud-/tenantbeheerders met dezelfde mate van beveiliging en hygiëne van aanmeldingsgegevens als domeinbeheerders.
  • Blinde vlekken in beveiliging aanpakken: organisaties moeten controleren of hun hulpprogramma's voor beveiliging optimaal zijn geconfigureerd en regelmatig netwerkscans uitvoeren om er zeker van te zijn dat een beveiligingsproduct alle systemen beschermt.
  • De kwetsbaarheid voor aanvallen verminderen: stel regels op om de kwetsbaarheid voor aanvallen te verminderen om veelgebruikte aanvalstechnieken bij ransomware-aanvallen te voorkomen. Bij geobserveerde aanvallen van verschillende ransomware-gerelateerde activiteitengroepen konden organisaties met duidelijk gedefinieerde regels aanvallen in hun beginstadia beperken en tegelijkertijd hands-on-keyboard activiteiten voorkomen.
  • De perimeter evalueren: organisaties moeten perimetersystemen identificeren en beveiligen die aanvallers kunnen gebruiken om toegang tot het netwerk te krijgen. Interfaces voor openbaar scannen kunnen worden gebruikt om gegevens uit te breiden.
  • Internetgerichte assets versterken: ransomware-aanvallers en toegangsbemiddelaars gebruiken niet-gepatchte kwetsbaarheden, al bekende of zero-day, met name in de initiële toegangsfase. Ook maken ze snel gebruik van nieuwe kwetsbaarheden. Om verdere blootstelling te verminderen kunnen organisaties de mogelijkheden voor het beheer van bedreigingen en kwetsbaarheid in eindpuntdetectie- en reactieproducten gebruiken om kwetsbaarheden en verkeerde configuraties te ontdekken, prioriteren en herstellen.
  • Voorbereiden voor herstel: de beste ransomware-verdediging moet plannen voor snel herstel bevatten voor het geval er een aanval plaatsvindt. Het is goedkoper van een aanval te herstellen dan losgeld te betalen, dus zorg ervoor dat je regelmatig back-ups maakt van belangrijke systemen en dat je de back-ups beveiligt tegen opzettelijk wissen en versleutelen. Sla indien mogelijk back-ups op in online onveranderbare opslag of volledig offline of off-site.
  • Verdere bescherming tegen ransomware-aanvallen: de veelzijdige bedreiging van de nieuwe ransomware-economie en ongrijpbare aard van door mensen uitgevoerde ransomware-aanvallen vereisen dat organisaties een uitgebreide benadering van beveiliging implementeren.

De stappen die we hierboven hebben beschreven helpen bij de verdediging tegen algemene aanvalspatronen en zijn belangrijk bij het voorkomen van ransomware-aanvallen. Gebruik voor een nog betere verdediging tegen traditionele en door mensen uitgevoerde ransomware- en andere bedreigingen beveiligingstools die diepgaand, domeinoverschrijdend inzicht en mogelijkheden voor verenigd onderzoek bieden.

Zie voor een aanvullend overzicht van ransomware met tips en best practices voor preventie, detectie en herstel Bescherm je organisatie tegen ransomware. En lees voor nog meer diepgaande informatie over door mensen uitgevoerde ransomware-aanvallen Senior Security Researcher Jessica Payne’s Ransomware-as-a-service: Understanding the cybercrime gig economy and how to protect yourself.

Verwante artikelen

Cyber Signals - Editie 2: Afpersingseconomie

Hoor van frontlijnexperts over de ontwikkeling van ransomware as a service. Ontdek meer over de hulpprogramma's, tactieken en doelen die cybercriminelen het liefst gebruiken, van programma's en payloads tot toegangsbemiddelaars en -geaffilieerden, en krijg richtlijnen voor het helpen beveiligen van je organisatie.
Meer informatie

Expertprofiel: Nick Carr

Nick Carr, Cybercrime Intelligence Team Lead bij het Microsoft Threat Intelligence Center, bespreekt trends in ransomware, legt uit wat Microsoft doet om klanten te beschermen tegen ransomware en beschrijft wat organisaties kunnen doen als ze erdoor zijn getroffen.
Meer informatie

Bescherm je organisatie tegen ransomware

Vang een glimp op van de criminele spelers die werken in de ondergrondse ransomware-economie. We helpen je te begrijpen wat de motivatie en praktijken achter ransomware-aanvallen zijn en bieden je best practices voor zowel bescherming als back-up en herstel.
Meer informatie