Wanneer ransomware een bedrijfsnetwerk binnendringt, gebeurt dat meestal via e-mail, kwetsbaarheden in de software of onbeveiligde verbindingen op afstand. Het lijkt onwaarschijnlijk dat een insider opzettelijk malware zou verspreiden. Uit de praktijk blijkt echter dat sommige aanvallers denken dat deze methode om ransomware te verspreiden doeltreffend is, en sommige aanvallers rekruteren daarom actief werknemers van bedrijven door hen een percentage van het losgeld aan te bieden.
Implementeren op belangrijkste Windows-server
Hoe absurd het ook moge klinken, sommige boosdoeners gaan via spam op zoek naar medeplichtigen. In een zo’n bericht wordt bijvoorbeeld rechtstreeks “40%, 1 million in bitcoin” aangeboden aan iedereen die bereid is DemonWare-ransomware te installeren en te implementeren op de belangrijkste Windows-server van hun organisatie.
Onderzoekers die zich voordeden als geïnteresseerde medeplichtigen ontvingen een link naar een bestand, samen met instructies om de malware op te starten. De persoon achter de mailing was echter blijkbaar een onervaren cybercrimineel, en de onderzoekers hadden dan ook geen moeite om hem aan het praten te krijgen. De boosdoener in kwestie was een jonge Nigeriaan die LinkedIn had afgestruind, op zoek naar hooggeplaatste personen om contact mee te leggen. Hij liet zijn oorspronkelijke plan (malware e-mailen) varen toen hij zich realiseerde hoe sterk de cyberbeveiligingssystemen van bedrijven zijn.
BlackMatter-netwerktoegang gezocht advertentie
Uitvoerbare bestand verwijderen
Om zijn doelwitten ervan te overtuigen dat hun deelname veilig zou zijn, beweerde de bedreiger dat de ransomware alle bewijs van het misdrijf zou wissen, inclusief eventuele beveiligingsbeelden, en hij raadde aan het uitvoerbare bestand te verwijderen om te voorkomen dat er sporen zouden worden achtergelaten. Men zou kunnen denken dat de cybercrimineel van plan was zijn medeplichtigen voor de gek te houden — het zou hem immers niet kunnen schelen wat er met de dader gebeurt als de server eenmaal is versleuteld — maar hij lijkt niet helemaal te hebben begrepen hoe digitaal forensisch onderzoek in zijn werk gaat.
De keuze om DemonWare te gebruiken duidde ook al op zijn gebrek aan ervaring. Hoewel aanvallers DemonWare nog steeds gebruiken, is het eigenlijk vrij ongenuanceerde malware waarvan de broncode beschikbaar is op GitHub. De maker van de malware zou deze hebben gemaakt om aan te tonen hoe eenvoudig het is om ransomware te schrijven.
Realistisch senario
Hoewel dit slechts één specifiek voorbeeld is, zijn insiders die deelnemen aan een ransomware-aanval volkomen realistisch. Veel waarschijnlijker dan iemand die malware op een netwerk opstart, is echter een scenario waarin iemand toegang tot het informatiesysteem van een organisatie verkoopt.
De markt voor toegang tot bedrijfsnetwerken bestaat al lange tijd op het darkweb, en ransomeware-criminelen kopen regelmatig toegang van andere cybercriminelen, zogenaamde 'Initial Access Brokers'. Ze kunnen specifiek geïnteresseerd zijn in het kopen van gegevens voor toegang op afstand tot het netwerk of de cloud-servers van de organisatie. Advertenties voor zulke aankopen die gericht zijn op ontevreden of ontslagen werknemers doen de ronde op het darkweb.
Tips
Om ervoor te zorgen dat niemand de veiligheid van uw bedrijf in gevaar brengt door ransomers in de netwerken toe te laten, raden wij u aan:
- Om de “least privilege”-strategie toe te passen
- Om zorgvuldig bij te houden welke pogingen om toegang te krijgen tot het netwerk en de servers van de organisatie er worden ondernomen, deze rechten in te trekken en om de wachtwoorden te wijzigen wanneer werknemers worden ontslagen
- Om op elke server beveiligingsoplossingen te installeren die hedendaagse malware kunnen tegengaan
- Om gebruik te maken van Managed Detection and Response -oplossingen, die helpen bij het identificeren van verdachte activiteiten binnen uw infrastructuur voordat aanvallers de kans krijgen om echte schade aan te richten
Bron: abnormalsecurity.com, threatpost.com, kaspersky.nl
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware gerelateerde berichten
"Bad guys sponsoren" Stelling: Ransomware moet uitgesloten worden van verzekeringsdekking
Nederlandse bedrijven sluiten wereldwijd de hoogste verzekeringen af tegen schade door ransomware-aanvallen. Gemiddeld zijn ze voor 5,77 miljoen euro gedekt voor gijzelsoftware. Dat is een hoger bedrag dan in de VS en Japan. Critici willen een verbod op de verzekeringen omdat ze naast de gevolgschade ook losgeld dekken. Daardoor houden ze het verdienmodel van cybercriminelen in stand, luidt de kritiek.
Verdwijning ransomware cybercriminelen 'REvil' een mysterie
De servers en websites van de aan Rusland gelieerde hackersgroep REvil gingen dinsdagavond Nederlandse tijd uit het niets op zwart. De beruchte hackersbende gebruikt diverse sites, voornamelijk op het darkweb, om met slachtoffers te onderhandelen over losgeld. Van het ene op het andere moment waren deze spontaan niet langer in de lucht.
Mandemakers groep: ‘ondanks adequate beveiliging’ toch slachtoffer
Keuken- en meubelverkoper De Mandemakers Groep (DMG) is het slachtoffer geworden van hackers. Zij slaagden erin om een groot deel van de IT-systemen te blokkeren. DMG heeft aangifte gedaan bij de politie en melding van het voorval gemaakt bij de Autoriteit Persoonsgegevens. Cybersecuritybedrijf Fox-IT helpt het bedrijf bij de afwikkeling van de aanval en het versterken van de beveiligingsmaatregelen.
Betaal je aan ransomware criminelen, dan komen ze bijna altijd terug
Ransomware-aanvallen blijven de krantenkoppen halen, en met goede reden: gemiddeld is er elke 11 seconden een nieuwe ransomware-aanval, en de verliezen voor organisaties door ransomware-aanvallen zullen naar verwachting oplopen tot $ 20 miljard in de loop van 2021, na een recordtoename van verliezen van meer dan 225% in 2020. Maar wat zijn de werkelijke kosten voor bedrijven die zijn getroffen door een ransomware-aanval?
11 miljoen, betalen aan cybercriminelen lijkt de norm!?
De Amerikaanse tak van vleesverwerker JBS bevestigt dat het 11 miljoen dollar heeft betaald aan hackers. Op deze manier wilde de grootste vleesproducent ter wereld het risico voor klanten verkleinen. Op het moment dat het bedrijf het losgeld aan de aanvallers betaalde, was het grootste deel van het productieproces al weer operationeel.
Cybercrime kartels flink in opmars
Een ransomware kartel wordt vaak gevormd om het bereik en de inkomsten te vergroten. De winst die wordt gemaakt met losgeld operaties wordt vaak gebruikt om zowel tactieken als malware te bevorderen om hun succes te vergroten.