Al die ogen op Artificial Intelligence, het drukt Ransomware haast in het vergetel hoekje. De cijfers liegen alleen niet: in de eerste 9 maanden van 2023 waren er al meer ransomware aanvallen dan in heel 2022.
Ransomware-as-a-Service (daarover later meer) zal vast een aandeel hebben in deze stijging. Maar MIT professor Stuart Madnick – waar bovengenoemde cijfers vandaan komen – benoemt ook dat ransomware bendes gewoon veel georganiseerder zijn geworden. Daar gaan we in 2024 zeker van alles van merken. Er is nog geen uitzicht op vermindering in ransomware aanvallen, helaas.
In het kort: wat is Ransomware?
Ransomware is malware die aanvallers inzetten voor chantage. Hoe? De schadelijke software versleutelt eerst – zo belangrijk mogelijke – bestanden van de doelwitorganisatie. Daarna vraagt de ransomwarebende om losgeld met de belofte de versleutelde bestanden te herstellen. Vaak zetten ze hierbij druk op het bedrijf dat slachtoffer is. En helaas geeft betaling lang niet altijd de garantie op een oplossing.
Wie zijn die doelwitten dan?
Het belangrijkste is dat een organisatie over de brug komt met het losgeld. Dat gebeurt sneller als die organisatie genoeg in paniek raakt. Dat is vaak wanneer erg belangrijke bestanden vergrendeld zijn. Bendes kiezen dus vooral (grotere) organisaties waarbij bestanden gevoelig en/of essentieel zijn voor de corebusiness.
Denk bij doelwitten dus vooral aan overheden, scholen, ziekenhuizen, banken, energiecentrales en grote ondernemingen. Maar: sommige ransomwarebendes kiezen misschien voor meerdere kleinere doelwitten. Daarnaast verandert het threatlandschap continu. De methodes van ransomware aanvallen dus ook.
Wat voor ontwikkelingen zijn er binnen de ransomware?
We noemden net al Ransomware-as-a-Service: gebruiksklare ransomware die eenvoudig te kopen is op het dark web. Het maakt ransomware aanvallen vanuit de zolderkamer een stuk toegankelijker voor tieners met een beetje techkennis. Maar ondertussen zijn er meer ontwikkelingen:
1. Ransomwarebendes verharden hun aanpak
Het doel van ransomwarebendes is en blijft zoveel mogelijk (los)geld verzamelen. Daarvoor veranderen en verbeteren ze constant hun tactieken. Want wat vergroot de kans dat organisaties sneller betalen? We zien dat bendes de druk op slachtoffers de laatste tijd enorm vergroten tijdens ransomware aanvallen. Hier een voorbeeld:
In Amerika nemen bendes direct na de aanval contact op met de U.S Securities and Exchange Commission (SEC). Een van de verantwoordelijkheden van de SEC is het beschermen van beleggers. Bij een beursgenoteerd slachtofferbedrijf maakt de SEC de ransomwareaanval vrijwel direct publiek. Beleggers krijgen dan bezorgdheid, wat natuurlijk een enorme impact kan hebben.
Een kat in het nauw maakt rare sprongen. Dus een bende die “We hebben de SEC al ingelicht van deze aanval” zegt tegen het slachtofferbedrijf, heeft meer kans op betaling van losgeld.
2. Ransomware aanvallen: hiding in plain sight
De ene bende doet aan grootschalige en opvallende ransomware aanvallen. De andere bende – die zich richt op grote bedrijven (die een SOC hebben die aanvallen op tijd detecteert) – gebruikt meer verfijnde methoden. Denk aan het vermommen van de aanval als legitiem netwerkverkeer of normale systeemactiviteit. “Hiding in plain sight”: het is een tactiek waar we meer en meer alert op mogen gaan zijn.
Bendes kunnen hun ransomware onopvallend verspreiden via schijnbaar normaal e-mailverkeer, filesharing of zelfs de software die al aanwezig is op de systemen inzetten. Alles om ervoor te zorgen dat de aanwezige beveiliging minder snel alarm slaat. Zodat de bende genoeg de tijd heeft om schade aan te richten. Betrouwbare software kan met deze techniek dus ineens een bedreiging vormen.
3. Meer focus op data diefstal (en het internationale aspect ervan)
Bij ransomwarebendes denkt men vooral aan de gijzeling van data. Maar de diefstal (exfiltratie) ervan is ook een onderdeel ervan. Ze dreigen de gegijzelde data publiek te maken of door te verkopen (weer een tactiek om het slachtoffer onder druk te zetten). Om data te stelen, is het belangrijk dat de aanvaller eerst ongezien binnenkomt.
Het stelen van data is overigens niet nieuw, al hebben wel steeds meer experts het erover dat ransomwarebendes zich meer op diefstal gaan focussen dan op encryptie.
Opvallend is dat op het moment meer dan 40% van de gestolen gegevens naar China en Rusland gaat. Er wordt steeds meer gespeculeerd over State-Sponsored data diefstal. Maar het is niet hard te bewijzen: het kan ook zo zijn dat de data exfiltratie naar deze landen niets met hun overheid te maken heeft.
Of het nu State-Sponsored is of niet: experts verwachten dat in 2024 landen zoals Noord-Korea een noggroter aandeel gaan hebben in dit percentage. En het interessante aan Noord-Korea is dat die in het verleden wel als staat aangekeken zijn op het hacken van banken.
Aanvallers
- 11 mei, 2020
Wat is datadiefstal? En hoe voorkomt u data theft door personeel?
Lees verder
4. Sommige bendes verleggen hun aandacht naar IoT in productieketens
Hoe belangrijker data is voor bedrijfsprocessen, hoe groter de kans dat een organisatie bezwijkt onder de druk en losgeld betaalt. Wie bij productiebedrijven een cyberaanval zo in kan zetten dat de volledige productie stil komt te liggen, krijgt vast bij een aantal van deze bedrijven losgeld.
Interessant is dat ransomwarebendes ook Internet of Things (IoT) apparaten vaker gebruiken om dit soort processen te ontwrichten. Dit zijn slimme apparaten die aangesloten zijn op het bedrijfsnetwerk. Een airco bijvoorbeeld. Dit soort endpoints zijn vaak minder goed beveiligd, vooral omdat ze over het hoofd worden gezien.
5. Dichtgetimmerde ransomware code
We benoemden aan het begin van dit artikel al dat bendes georganiseerder zijn geworden. De professionalisering van ransomware aanvallen is ook te zien in de soorten ransomware die ze ontwikkelen. Zo houden bendes zich meer bezig met secure coding tegenwoordig.
Bij secure coding houdt een ontwikkelaar van software bij het coderen al rekening met de veiligheid van de code. Zo maken ze het moeilijker om bij de broncode te komen, bijvoorbeeld.
Doordat bendes dit nu ook inzetten bij de ontwikkeling van hun ransomware, is reverse engineering moeilijker. En dit is juist iets wat cyber security experts doen om de aanvalmethode te analyseren, zodat ze kunnen blijven bouwen aan actuele beschermingstechnieken.
Groeiend bewustzijn
Ransomwarebendes blijven in een stijgende lijn meer en meer om zich heen slaan. Gelukkig groeit de bewustzijn daarvan ook bij organisaties. Dat is ook niet gek: grote ransomware aanvallen komen geregeld voorbij in het nieuws.
Dat bewustzijn is belangrijk. Want in een tijd waarin we zien dat de technieken van bendes in een razend tempo verbeteren, is het extra van belang netwerken meer te monitoren en te weten wat te doen bij een ransomware aanval.
