Wouter Hoeffnagel - 18 november 2022

Ransomware blijft een van de belangrijkste dreigingen

Ransomware blijft een van de belangrijkste dreigingen image

Het cyberdreigingslandschap heeft een nieuw niveau van commercialisering en gemak bereikt voor potentiële aanvallers door de uitbreiding van cybercrime-as-a-service, waardoor nu bijna iedereen toegang heeft tot het plegen van cybercriminaliteit. Ransomware blijft voor organisaties een van de grootste cyberdreigingen met zwendelaars die hun afpersingstactieken innoveren. Ook blijft de vraag naar gestolen inloggegevens groeien.

Dit blijkt uit het Threat Report 2023 van Sophos. Criminele ondergrondse marktplaatsen zoals Genesis hebben het lang mogelijk gemaakt om malware en diensten om zelf malware te maken (‘malware-as-a-service’) te kopen, of om gestolen inlog- en andere gegevens in bulk te verkopen. In de afgelopen tien jaar, met de toenemende populariteit van ransomware, ontstond er een heuse ‘ransomware-as-a-service’-economie. Nu, in 2022, is dit ‘as-a-service’-model uitgebreid en is bijna elk aspect van de cybercrime toolkit – van de eerste besmetting tot manieren om detectie te voorkomen – te koop.

“Er worden niet alleen de gebruikelijke malware-, zwendel- en phishing-kits te koop aangeboden", zegt Sean Gallagher, hoofdonderzoeker bedreigingen bij Sophos. “Cybercriminelen van een hoger niveau verkopen nu ook tools en mogelijkheden die ooit enkel in handen waren van de meest geavanceerde aanvallers als service aan andere actoren. Vorig jaar zagen we bijvoorbeeld advertenties voor OPSEC-as-a-service, waarbij de verkopers aanboden om aanvallers te helpen bij het verbergen van Cobalt Strike-besmettingen. Ook zagen we scanning-as-a-service, waarmee kopers toegang krijgen tot legitieme commerciële tools als Metasploit om zwakke plekken op te sporen en die vervolgens uit te buiten. De commoditisering van bijna elk onderdeel van cybercriminaliteit heeft een invloed op het dreigingslandschap en biedt interessante kansen voor elk type aanvaller met elk type vaardigheidsniveau.”

Steeds verder gecommercialiseerd

Met de uitbreiding van de ‘as-a-service’-economie worden ondergrondse marktplaatsen voor cybercriminaliteit steeds meer gecommercialiseerd en werken ze als reguliere bedrijven. Verkopers van cybercriminaliteit maken niet alleen reclame voor hun diensten, maar bieden ook vacatures aan om aanvallers met specifieke vaardigheden aan te werven. Sommige marktplaatsen hebben speciale pagina’s voor het zoeken naar hulp en het aanwerven van personeel, terwijl werkzoekenden er samenvattingen van hun vaardigheden en kwalificaties posten.

“De eerste leveranciers van ransomware waren eerder beperkt in wat ze konden doen omdat hun activiteiten gecentraliseerd waren; de groepsleden voerden elk aspect van een aanval uit. Maar naarmate ransomware steeds winstgevender werd, zochten ze naar manieren om hun producties op te schalen. Ze begonnen daarom delen van hun activiteiten uit te besteden, waardoor ze een volledige infrastructuur creëerden om ransomware te ondersteunen. Nu laten andere cybercriminelen zich inspireren door het succes van die infrastructuur en volgen ze dit voorbeeld", aldus Gallagher.

Ransomware blijft populair en winstgevend

Naarmate de infrastructuur voor cybercriminaliteit zich uitbreidde, blijft ransomware zeer populair – en zeer winstgevend. Het afgelopen jaar hebben ransomware-zwendelaars hun potentiële aanvalsservice verder uitgebreid door zich te richten op andere platformen dan Windows, en door nieuwe programmeertalen te gebruiken zoals Rust en Go om detectie te voorkomen. Sommige groepen, vooral Lockbit 3.0, hebben hun activiteiten gediversifieerd en ‘innovatievere’ manieren gecreëerd om slachtoffers af te persen.

“Als we het hebben over de toenemende complexiteit van de criminele onderwereld, strekt dit zich uit tot de wereld van ransomware. Lockbit 3.0 biedt nu bijvoorbeeld ‘bug bounty’-programma's voor zijn malware, en 'crowd-sourcing'-ideeën om zijn activiteiten van de criminele gemeenschap te verbeteren. Andere groepen zijn overgestapt op een 'abonnementsmodel' voor toegang tot hun informatie over lekken en nog weer anderen veilen het. Ransomware is in de eerste plaats een business geworden”, zegt Gallagher.

De evoluerende economie van de onderwereld heeft niet alleen de groei van ransomware en de ‘as-a-service’-industrie bevorderd, maar ook de vraag naar diefstal van inloggegevens doen toenemen. Met de uitbreiding van webdiensten kunnen verschillende soorten inloggegevens, vooral cookies, op tal van manieren worden gebruikt om een voet aan de grond te krijgen in netwerken, zelfs met omzeilen van MFA. Diefstal van inloggegevens blijft ook een van de gemakkelijkste manieren voor beginnende criminelen om toegang te krijgen tot ondergrondse marktplaatsen en hun 'loopbaan' te beginnen.

Andere trends

Sophos identificeert verder de volgende trends:

  • De oorlog in Oekraïne heeft wereldwijde gevolgen voor het cyberdreigingslandschap. Direct na de invasie was er een explosie van financieel gemotiveerde zwendelpraktijken, terwijl nationalisme een reorganisatie van criminele samenwerkingsverbanden tussen Oekraïners en Russen met zich meebracht, vooral onder ransomware-partners.
  • Criminelen blijven legitieme executables benutten en ‘living off the land binaries’ (LOLBins) gebruiken om verschillende soorten aanvallen uit te voeren, inclusief ransomware. In sommige gevallen maken aanvallers gebruik van legitieme maar kwetsbare stuurprogramma’s bij ‘bring your own driver’-aanvallen om eindpuntdetectie en responsproducten uit te schakelen en zo detectie te ontwijken.
  • Mobiele apparaten zijn nu het middelpunt van nieuwe soorten cybercriminaliteit. Niet alleen gebruiken aanvallers nog steeds nep-applicaties om malware-injectoren, spyware en bankgerelateerde malware te leveren, maar nieuwere vormen van cyberfraude, zoals ‘pig butchering’, worden steeds populairder. En naast Android-gebruikers worden nu ook iOS-gebruikers getroffen.
  • De devaluatie van Monero, een van de populairste cryptomunten voor cryptominers, leidde tot een daling van een van de oudste en populairste vormen van cryptocriminaliteit, nl. cryptomining. Maar mining-malware blijft zich verspreiden via geautomatiseerde ‘bots’, zowel op Windows- als Linux-systemen.

Meer informatie over het veranderende dreigingslandschap in 2022 en wat dit betekent voor beveiligingsteams in 2023 is beschikbaar in het volledige Threat Report 2023 van Sophos.

Axians 12/11/2024 t/m 26/11/2024 BN+BW