Utrecht, 12 mei 2021 - Ransomware ligt op het puntje van ieders tong wanneer bedrijven cyberbedreigingen bespreken waarmee ze in 2021 waarschijnlijk te maken zullen krijgen. Aanvallers hebben hun merken opgebouwd en zijn brutaal in hun opmars als nooit tevoren. Het nieuws over organisaties die worden getroffen door ransomware staat consequent op de voorpagina's van kranten. Maar door zichzelf in de schijnwerpers te plaatsen, verbergen dergelijke groepen de werkelijke complexiteit van het ransomware-ecosysteem. Om organisaties te helpen begrijpen hoe het ransomware-ecosysteem werkt en hoe het kan worden bestreden, hebben onderzoekers van Kaspersky in het nieuwste rapport gegraven in darknet-forums, een diepgaande blik geworpen op REvil- en Babuk-bendes en daarbuiten, en een aantal mythes over ransomware ontkracht. En als je in deze onderwereld graaft, moet je er rekening mee houden dat deze vele gezichten heeft.

Zoals elke industrie, bestaat het ransomware-ecosysteem uit vele spelers die verschillende rollen vervullen. In tegenstelling tot de overtuiging dat ransomware-bendes eigenlijk bendes zijn - hechte, samen doorleefde, Godfather-achtige groepen, lijkt de realiteit meer op de wereld van Guy Ritchie's 'The Gentlemen', met een aanzienlijk aantal verschillende actoren - ontwikkelaars, botmasters, toegangsverkopers, ransomware-exploitanten - die betrokken zijn bij de meeste aanvallen en elkaar diensten verlenen via dark web-marktplaatsen.

Deze actoren ontmoeten elkaar op specialized darknet forums waar regelmatig bijgewerkte advertenties te vinden zijn waarin diensten en partnerschappen worden aangeboden. Prominente grote spelers die op eigen houtje opereren, frequenteren dergelijke sites niet, maar bekende groepen zoals REvil, die zich in de afgelopen kwartalen steeds meer op organisaties hebben gericht, maken hun aanbiedingen en nieuws regelmatig bekend door gebruik te maken van partnerprogramma's. Dit soort betrokkenheid veronderstelt een partnerschap tussen de ransomware groep operator en de partner waarbij de ransomware operator een winstaandeel neemt variërend van 20-40%, terwijl de resterende 60-80% bij de partner blijft.

ransomware-operators-and-where-to-find-them-1.png

REvil kondigt een nieuwe mogelijkheid aan om oproepen te organiseren naar de media en partners van het doelwit om extra druk uit te oefenen op het betalen van het losgeld

ransomware-operators-and-where-to-find-them-2.png

Voorbeelden van aanbiedingen met betalingsvoorwaarden in de partnerprogramma's

De selectie van dergelijke partners is een nauwkeurig afgestemd proces met basisregels die vanaf het begin door de ransomware-exploitanten worden vastgesteld - inclusief geografische beperkingen en zelfs politieke standpunten. Tegelijkertijd worden ransomware-slachtoffers opportunistisch geselecteerd.

Aangezien de mensen die organisaties infecteren en degenen die ransomware daadwerkelijk exploiteren verschillende groepen zijn, enkel gevormd door de wens om winst te maken, zijn de organisaties die het meest geïnfecteerd zijn vaak laaghangend fruit - in wezen degenen waartoe de aanvallers gemakkelijker toegang konden krijgen. Het kunnen zowel actoren zijn die werken binnen de partnerprogramma's als onafhankelijke operatoren die later de toegang verkopen - in de vorm van een veiling of als een oplossing, vanaf 50 USD. Deze aanvallers zijn meestal botnet-eigenaars die werken aan massale en wijdverspreide campagnes en toegang tot de machines van de slachtoffers in bulk verkopen, en toegangsverkopers die op zoek zijn naar openbaar gemaakte kwetsbaarheden in op het internet gerichte software, zoals VPN-toestellen of e-mailgateways, die ze kunnen gebruiken om organisaties te infiltreren.

ransomware-operators-and-where-to-find-them-3.png

Een voorbeeld van een aanbod om toegang tot de RDP van een organisatie te verkopen

Ransomware forums zijn ook de thuisbasis van andere soorten aanbiedingen. Sommige ransomware operators verkopen malware samples en ransomware bouwers voor tussen de 300 en 4.000 USD. Anderen bieden Ransomware-as-a-Service aan - de verkoop van ransomware met voortdurende ondersteuning van zijn ontwikkelaars, wat kan variëren van 120 USD per maand tot 1.900 USD per jaar pakketten.

"In de afgelopen twee jaar hebben we gezien hoe cybercriminelen brutaler zijn geworden in het gebruik van ransomware. Organisaties die het doelwit zijn van dergelijke aanvallen zijn niet beperkt tot bedrijven en overheidsorganisaties - ransomware-exploitanten zijn bereid om in wezen elk bedrijf te treffen, ongeacht de omvang. Het is duidelijk dat de ransomware-industrie op zich een complexe sector is waarbij veel verschillende actoren met allerlei rollen betrokken zijn. Om ze te bestrijden, moeten we ons informeren over hoe ze werken en ze als één geheel bestrijden. Anti-Ransomware Day is een goede gelegenheid om deze noodzaak onder de aandacht te brengen en het publiek eraan te herinneren hoe belangrijk het is om doeltreffende beveiligingspraktijken toe te passen. Het wereldwijde cybercriminaliteitsprogramma van INTERPOL is, samen met onze partners, vastbesloten om de wereldwijde impact van ransomware te verminderen en gemeenschappen te beschermen tegen schade veroorzaakt door deze groeiende dreiging," aldus Craig Jones, Director van Cybercrime, INTERPOL.

"Het ecosysteem van ransomware is complex en er staan veel belangen op het spel. Het is een fluïde markt met veel spelers, sommige heel opportunistisch, andere heel professioneel en geavanceerd. Ze kiezen geen specifieke doelwitten, ze kunnen achter elke organisatie aangaan - een onderneming of een klein bedrijf, zolang ze maar toegang tot hen kunnen krijgen. Bovendien floreert hun business, het zal niet snel verdwijnen," zegt Dmitry Galov, beveiligingsonderzoeker bij Kaspersky's Global Research and Analysis Team. "Het goede nieuws is dat zelfs vrij eenvoudige beveiligingsmaatregelen de aanvallers kunnen verjagen van organisaties, dus standaardpraktijken zoals regelmatige software-updates en geïsoleerde back-ups helpen wel degelijk en er is nog veel meer dat organisaties kunnen doen om zichzelf te beveiligen".

"Effectieve maatregelen tegen het ransomware-ecosysteem kunnen pas worden genomen als de onderliggende oorzaken ervan echt worden begrepen. Met dit rapport hopen we meer inzicht te geven in de manier waarop ransomware-aanvallen echt georganiseerd zijn, zodat de gemeenschap adequate tegenmaatregelen kan nemen," voegt Ivan Kwiatkowski, senior beveiligingsonderzoeker bij Kaspersky's Global Research and Analysis Team, toe.

Leer meer over het ransomware-ecosysteem in het volledige rapport op Securelist.

Op 12 mei, de Anti-Ransomware Day, moedigt Kaspersky organisaties aan om deze best practices te volgen waarmee u uw organisatie kunt beschermen tegen ransomware:

  • Zorg ervoor dat de software op alle apparaten die u gebruikt, altijd is bijgewerkt, zodat aanvallers uw netwerk niet kunnen infiltreren door kwetsbaarheden uit te buiten.
  • Concentreer uw verdedigingsstrategie op het detecteren van zijwaartse bewegingen en exfiltratie van gegevens naar het internet. Let vooral op het uitgaande verkeer om verbindingen van cybercriminelen op te sporen. Maak offline back-ups waarmee indringers niet kunnen knoeien. Zorg ervoor dat u er in noodgevallen snel bij kunt als dat nodig is.
  • Schakel ransomwarebescherming in voor alle eindpunten. Er is een gratis Kaspersky Anti-Ransomware Tool for Business dat computers en servers beschermt tegen ransomware en andere soorten malware, exploits voorkomt en geschikt is voor reeds geïnstalleerde beveiligingsoplossingen.
  • Installeer anti-APT- en EDR-oplossingen die mogelijkheden bieden voor de ontdekking en opsporing van geavanceerde bedreigingen, onderzoek en tijdige oplossingen. Bied uw SOC-team toegang tot de nieuwste informatie over bedreigingen en school hen regelmatig bij met professionele training. Al het bovenstaande is beschikbaar binnen Kaspersky Expert Security framework.

Kaspersky werpt licht op het ransomware-ecosysteem

12 mei is Anti Ransomday
Kaspersky Logo