Gezocht: Insiders die malware installeren voor ransomware aanval

Gepubliceerd op 10 september 2021 om 07:00

Wanneer ransomware een bedrijfsnetwerk binnendringt, gebeurt dat meestal via e-mail, kwetsbaarheden in de software of onbeveiligde verbindingen op afstand. Het lijkt onwaarschijnlijk dat een insider opzettelijk malware zou verspreiden. Uit de praktijk blijkt echter dat sommige aanvallers denken dat deze methode om ransomware te verspreiden doeltreffend is, en sommige aanvallers rekruteren daarom actief werknemers van bedrijven door hen een percentage van het losgeld aan te bieden.

Implementeren op belangrijkste Windows-server

Hoe absurd het ook moge klinken, sommige boosdoeners gaan via spam op zoek naar medeplichtigen. In een zo’n bericht wordt bijvoorbeeld rechtstreeks “40%, 1 million in bitcoin” aangeboden aan iedereen die bereid is DemonWare-ransomware te installeren en te implementeren op de belangrijkste Windows-server van hun organisatie.

Onderzoekers die zich voordeden als geïnteresseerde medeplichtigen ontvingen een link naar een bestand, samen met instructies om de malware op te starten. De persoon achter de mailing was echter blijkbaar een onervaren cybercrimineel, en de onderzoekers hadden dan ook geen moeite om hem aan het praten te krijgen. De boosdoener in kwestie was een jonge Nigeriaan die LinkedIn had afgestruind, op zoek naar hooggeplaatste personen om contact mee te leggen. Hij liet zijn oorspronkelijke plan (malware e-mailen) varen toen hij zich realiseerde hoe sterk de cyberbeveiligingssystemen van bedrijven zijn.

BlackMatter-netwerktoegang gezocht advertentie

Uitvoerbare bestand verwijderen

Om zijn doelwitten ervan te overtuigen dat hun deelname veilig zou zijn, beweerde de bedreiger dat de ransomware alle bewijs van het misdrijf zou wissen, inclusief eventuele beveiligingsbeelden, en hij raadde aan het uitvoerbare bestand te verwijderen om te voorkomen dat er sporen zouden worden achtergelaten. Men zou kunnen denken dat de cybercrimineel van plan was zijn medeplichtigen voor de gek te houden — het zou hem immers niet kunnen schelen wat er met de dader gebeurt als de server eenmaal is versleuteld — maar hij lijkt niet helemaal te hebben begrepen hoe digitaal forensisch onderzoek in zijn werk gaat.

De keuze om DemonWare te gebruiken duidde ook al op zijn gebrek aan ervaring. Hoewel aanvallers DemonWare nog steeds gebruiken, is het eigenlijk vrij ongenuanceerde malware waarvan de broncode beschikbaar is op GitHub. De maker van de malware zou deze hebben gemaakt om aan te tonen hoe eenvoudig het is om ransomware te schrijven.

Realistisch senario

Hoewel dit slechts één specifiek voorbeeld is, zijn insiders die deelnemen aan een ransomware-aanval volkomen realistisch. Veel waarschijnlijker dan iemand die malware op een netwerk opstart, is echter een scenario waarin iemand toegang tot het informatiesysteem van een organisatie verkoopt.

De markt voor toegang tot bedrijfsnetwerken bestaat al lange tijd op het darkweb, en ransomeware-criminelen kopen regelmatig toegang van andere cybercriminelen, zogenaamde 'Initial Access Brokers'. Ze kunnen specifiek geïnteresseerd zijn in het kopen van gegevens voor toegang op afstand tot het netwerk of de cloud-servers van de organisatie. Advertenties voor zulke aankopen die gericht zijn op ontevreden of ontslagen werknemers doen de ronde op het darkweb.

Tips

Om ervoor te zorgen dat niemand de veiligheid van uw bedrijf in gevaar brengt door ransomers in de netwerken toe te laten, raden wij u aan:

  • Om de “least privilege”-strategie toe te passen
  • Om zorgvuldig bij te houden welke pogingen om toegang te krijgen tot het netwerk en de servers van de organisatie er worden ondernomen, deze rechten in te trekken en om de wachtwoorden te wijzigen wanneer werknemers worden ontslagen
  • Om op elke server beveiligingsoplossingen te installeren die hedendaagse malware kunnen tegengaan
  • Om gebruik te maken van Managed Detection and Response -oplossingen, die helpen bij het identificeren van verdachte activiteiten binnen uw infrastructuur voordat aanvallers de kans krijgen om echte schade aan te richten
Nigerian Ransomware
PDF – 2,1 MB 228 downloads

Bron: abnormalsecurity.com, threatpost.com, kaspersky.nl

Meer info over ransomware 》

Bekijk alle vormen en begrippen 》

Actuele aanvallen overzicht per dag 》

Tips of verdachte activiteiten gezien? Meld het hier.

Ransomware gerelateerde berichten

Belgie: Nu ook bedrijf in Tielt getroffen door ransomware

Opnieuw is een bedrijf getroffen door zogenoemde gijzelsoftware. Computers van Mitsubishi Chemical Advanced Materials in Tielt werden vorige week geïnfecteerd met ransomware. Volgens de directie komt de productie echter niet in het gedrang. Zo’n 15 à 20 werknemers van de administratieve dienst zijn momenteel wel technisch werkloos. 

Lees meer »

Belgie: 1.700 computers Atlas College Genk geblokkeerd

Het Atlas College in Genk is vanochtend het slachtoffer geworden van computerhackers die opereren vanuit Zwitserland. “De 1.700 computers in het netwerk van onze school zijn onbruikbaar gemaakt, versleuteld. De hackers hebben in een mail om losgeld gevraagd. De Federal Computer Crime Unit en het parket onderzoeken de zaak”, zegt algemeen directeur Christel Schepers van het Atlas College.

Lees meer »

Kamer vragen over losgeld na ransomware aanvallen

D66 heeft minister Grapperhaus van Justitie en Veiligheid om duidelijkheid gevraagd over het betalen van losgeld door publieke instanties bij ransomware aanvallen. De aanleiding voor de Kamervragen is een artikel op Security.NL over cyberverzekeringen die voor een toename van ransomware-aanvallen zouden zorgen. Maar ook het nieuws dat de Universiteit Maastricht losgeld betaalde om door ransomware versleutelde bestanden terug te krijgen. Deze ontwikkelingen zijn mogelijk stimulerend voor cybercriminelen omdat de kans op betaling voor ransomware lijkt toe te nemen.

Lees meer »

Cybercriminelen beproeven hun geluk met Ransomware

Talloze cybercriminelen kiezen ervoor hun geluk te beproeven met het creëren en verspreiden van ransomware-bedreigingen. De toegangsbarrière als het gaat om het creëren van een ransomware-bedreiging is vrij laag. Dit komt omdat er verschillende bouwpakketten voor ransomware zijn, evenals gevestigde Trojans voor gegevensvergrendeling waarvan de code gemakkelijk online beschikbaar is (darkweb). Dit verklaart waarom de meeste nieuw gespotte ransomware-bedreigingen slechts kopieën zijn van reeds bestaande Trojaanse paarden die bestanden coderen. Sommige cybercriminelen bouwen hun bedreigingen echter helemaal opnieuw op. Dit lijkt te zijn wat er gebeurt met de 'Zeoticus' Ransomware.

Lees meer »