Cisco: Ransomwaregroepen zetten vaak phishing in voor initiële toegang
De meest actieve ransomware-groepen richten zich op het verkrijgen van initiële toegang tot netwerken via geldige accounts. In veel gevallen maken zij daarbij gebruik van phishing-methoden.
Dit is één van de resultaten van een analyse van Cisco Talos naar het huidige ransomware-landschap. Cisco analyseerde veertien prominente ransomware-groepen, waaronder Lockbit, Alphv, Play, 8base, BlackBasta, Brian Lian, CLOP, Cactus, Medusa, Royal/Blacksuit, Rhysida, Hunters International, Akira, en Trigona. De analyse onthult zowel gemeenschappelijke als unieke tactieken, technieken en procedures (TTP's).
Kwetsbaarheden steeds vaker uitgebuit
Ransomware-groepen maken steeds vaker gebruik van kwetsbaarheden in publiek toegankelijke applicaties. Deze kwetsbaarheden zijn vaak al bekend of nog niet publiekelijk bekendgemaakt en gerepareerd, zoals zero-day kwetsbaarheden. Door hier gebruik van te maken, kunnen aanvallers toegang krijgen tot systemen en netwerken zonder dat zij eerst inloggegevens te hoeven stelen.
Verschillende kwetsbaarheden worden vaker misbruikt door ransomware-groepen. Een voorbeeld is CVE-2020-1472, ook wel bekend als Zerologon. Deze kwetsbaarheid in het Netlogon Remote Protocol van Microsoft stelt aanvallers in staat zich voor te doen als een domeincontroller en zo volledige controle over het netwerk te krijgen. Een andere veelgebruikte kwetsbaarheid is CVE-2018-13379, die voorkomt in de Fortinet FortiOS SSL VPN en aanvallers ongeautoriseerde toegang geeft tot gevoelige systeeminformatie. Daarnaast is er CVE-2023-0669, een kwetsbaarheid in GoAnywhere MFT (Managed File Transfer), die aanvallers kunnen misbruiken om toegang te krijgen tot bestanden en gegevens die via deze software worden overgedragen.
Werkwijzen variëren
De ransomware-groepen AlphV/Blackcat en Rhysida hanteren een breed scala aan tactieken en technieken om hun aanvallen uit te voeren. Groepen zoals BlackBasta, LockBit en Rhysida richten zich niet alleen op dataversleuteling, maar verstoren ook systemen om maximale schade aan te richten. De Clop-groep onderscheidt zich door zich voornamelijk te richten op afpersing via datadiefstal in plaats van traditionele versleuteling.
Vooral in de Verenigde Staten zijn de gevolgen van ransomware-aanvallen aanzienlijk. Talos Incident Response (Talos IR) heeft op talrijke aanvallen gereageerd, waarbij de productie- en informatiesectoren zwaar zijn getroffen. Deze aanvallen hebben geleid tot behoorlijke financiële verliezen en reputatieschade.
Nieuwe groepen opgekomen
In het afgelopen jaar zijn meerdere nieuwe ransomware-groepen opgekomen, zoals Hunters International, Cactus en Akira, die zich richten op specifieke niches en unieke operationele doelen en stijlen vertonen. Hunters International concentreert zich bijvoorbeeld op het aanvallen van internationale bedrijven met complexe supply chains, waardoor zij aanzienlijke schade kunnen toebrengen aan wereldwijde operaties.
Cactus richt zich daarentegen op gezondheidszorginstellingen, waarbij zij gebruik maken van kwetsbaarheden in medische apparatuur en software om gevoelige patiëntgegevens te gijzelen. Akira onderscheidt zich door financiële instellingen als doelwit te kiezen en gebruik te maken van geavanceerde technieken, zoals deepfake-technologie, om phishingaanvallen te versterken. Deze verschuiving naar meer gespecialiseerde cybercriminaliteit toont aan dat groepen zich richten op specifieke doelen en methoden om hun aanvallen effectiever te maken.
'Proactief en flexibel reageren'
“De voortdurende evolutie van ransomware-dreigingen vereist dat organisaties proactief en flexibel reageren. Bedrijven moeten verder kijken dan traditionele beveiligingsmaatregelen en investeren in moderne detectie- en respons oplossingen. Denk hierbij aan geavanceerde e-mail security oplossingen en op AI-gebaseerde phishing detectie om bedreigingen tijdig te kunnen identificeren en blokkeren. Eenvoudige maar essentiële stappen, zoals regelmatige updates en patches, het afdwingen van multi-factor authenticatie en een sterk wachtwoordbeleid, kunnen de security aanzienlijk verbeteren,” aldus Jan Heijdra, Field CTO Security bij Cisco Nederland. “Het uitschakelen van onnodige diensten, het isoleren van gevoelige data door netwerksegmentatie en -authenticatie is cruciaal. Daarnaast is het verhogen van het cyberbewustzijn onder medewerkers essentieel, omdat menselijke fouten vaak de oorzaak zijn van beveiligingsincidenten. Met deze maatregelen kunnen organisaties de impact van ransomware-aanvallen aanzienlijk beperken en veel ellende voorkomen.”