Gezocht: Insiders die malware installeren voor ransomware aanval

Gepubliceerd op 10 september 2021 om 07:00

Wanneer ransomware een bedrijfsnetwerk binnendringt, gebeurt dat meestal via e-mail, kwetsbaarheden in de software of onbeveiligde verbindingen op afstand. Het lijkt onwaarschijnlijk dat een insider opzettelijk malware zou verspreiden. Uit de praktijk blijkt echter dat sommige aanvallers denken dat deze methode om ransomware te verspreiden doeltreffend is, en sommige aanvallers rekruteren daarom actief werknemers van bedrijven door hen een percentage van het losgeld aan te bieden.

Implementeren op belangrijkste Windows-server

Hoe absurd het ook moge klinken, sommige boosdoeners gaan via spam op zoek naar medeplichtigen. In een zo’n bericht wordt bijvoorbeeld rechtstreeks “40%, 1 million in bitcoin” aangeboden aan iedereen die bereid is DemonWare-ransomware te installeren en te implementeren op de belangrijkste Windows-server van hun organisatie.

Onderzoekers die zich voordeden als geïnteresseerde medeplichtigen ontvingen een link naar een bestand, samen met instructies om de malware op te starten. De persoon achter de mailing was echter blijkbaar een onervaren cybercrimineel, en de onderzoekers hadden dan ook geen moeite om hem aan het praten te krijgen. De boosdoener in kwestie was een jonge Nigeriaan die LinkedIn had afgestruind, op zoek naar hooggeplaatste personen om contact mee te leggen. Hij liet zijn oorspronkelijke plan (malware e-mailen) varen toen hij zich realiseerde hoe sterk de cyberbeveiligingssystemen van bedrijven zijn.

BlackMatter-netwerktoegang gezocht advertentie

Uitvoerbare bestand verwijderen

Om zijn doelwitten ervan te overtuigen dat hun deelname veilig zou zijn, beweerde de bedreiger dat de ransomware alle bewijs van het misdrijf zou wissen, inclusief eventuele beveiligingsbeelden, en hij raadde aan het uitvoerbare bestand te verwijderen om te voorkomen dat er sporen zouden worden achtergelaten. Men zou kunnen denken dat de cybercrimineel van plan was zijn medeplichtigen voor de gek te houden — het zou hem immers niet kunnen schelen wat er met de dader gebeurt als de server eenmaal is versleuteld — maar hij lijkt niet helemaal te hebben begrepen hoe digitaal forensisch onderzoek in zijn werk gaat.

De keuze om DemonWare te gebruiken duidde ook al op zijn gebrek aan ervaring. Hoewel aanvallers DemonWare nog steeds gebruiken, is het eigenlijk vrij ongenuanceerde malware waarvan de broncode beschikbaar is op GitHub. De maker van de malware zou deze hebben gemaakt om aan te tonen hoe eenvoudig het is om ransomware te schrijven.

Realistisch senario

Hoewel dit slechts één specifiek voorbeeld is, zijn insiders die deelnemen aan een ransomware-aanval volkomen realistisch. Veel waarschijnlijker dan iemand die malware op een netwerk opstart, is echter een scenario waarin iemand toegang tot het informatiesysteem van een organisatie verkoopt.

De markt voor toegang tot bedrijfsnetwerken bestaat al lange tijd op het darkweb, en ransomeware-criminelen kopen regelmatig toegang van andere cybercriminelen, zogenaamde 'Initial Access Brokers'. Ze kunnen specifiek geïnteresseerd zijn in het kopen van gegevens voor toegang op afstand tot het netwerk of de cloud-servers van de organisatie. Advertenties voor zulke aankopen die gericht zijn op ontevreden of ontslagen werknemers doen de ronde op het darkweb.

Tips

Om ervoor te zorgen dat niemand de veiligheid van uw bedrijf in gevaar brengt door ransomers in de netwerken toe te laten, raden wij u aan:

  • Om de “least privilege”-strategie toe te passen
  • Om zorgvuldig bij te houden welke pogingen om toegang te krijgen tot het netwerk en de servers van de organisatie er worden ondernomen, deze rechten in te trekken en om de wachtwoorden te wijzigen wanneer werknemers worden ontslagen
  • Om op elke server beveiligingsoplossingen te installeren die hedendaagse malware kunnen tegengaan
  • Om gebruik te maken van Managed Detection and Response -oplossingen, die helpen bij het identificeren van verdachte activiteiten binnen uw infrastructuur voordat aanvallers de kans krijgen om echte schade aan te richten
Nigerian Ransomware
PDF – 2,1 MB 228 downloads

Bron: abnormalsecurity.com, threatpost.com, kaspersky.nl

Meer info over ransomware 》

Bekijk alle vormen en begrippen 》

Actuele aanvallen overzicht per dag 》

Tips of verdachte activiteiten gezien? Meld het hier.

Ransomware gerelateerde berichten

Het Nederlands kenniscentrum watertechnologie en slachtoffer van Ransomware, heeft besloten niet te zeggen wat er betaald is aan cybercriminelen

Het Friese onderzoeksinstituut Wetsus heeft na overleg met de politie besloten om het bedrag dat aan een cybercrimineel werd betaald voor het ontsleutelen van bestanden niet bekend te maken. Begin februari raakte het netwerk van Wetsus via een "openstaande serverpoort" door niet nader genoemde ransomware besmet. Een dag na de infectie betaalde Wetsus het losgeld omdat dit goedkoper was dan het zelf herstellen van de systemen.

Lees meer »

Klik en versleuteld is terug

In de afgelopen maand hebben onderzoekers van Proofpoint een toename van e-mail-gebaseerde ransomware-aanvallen waargenomen waarbij ransomware al in de eerste fase werd gebruikt. Dit is opmerkelijk omdat de afgelopen jaren aanvallers de voorkeur gaven aan downloaders (doxware) in de eerste fase van een aanval.

Lees meer »

Betaal geen losgeld: "De kans is groot dat er bij de ontsleuteling tal van problemen opduiken"

Organisaties die door ransomware worden getroffen moeten het losgeld voor het ontsleutelen van hun bestanden niet betalen, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. Het NCSC heeft vandaag een factsheet gepubliceerd waarin advies wordt gegeven om infecties door ransomware te voorkomen en wat organisaties in het geval van een besmetting kunnen doen.

Lees meer »