Wanneer ransomware een bedrijfsnetwerk binnendringt, gebeurt dat meestal via e-mail, kwetsbaarheden in de software of onbeveiligde verbindingen op afstand. Het lijkt onwaarschijnlijk dat een insider opzettelijk malware zou verspreiden. Uit de praktijk blijkt echter dat sommige aanvallers denken dat deze methode om ransomware te verspreiden doeltreffend is, en sommige aanvallers rekruteren daarom actief werknemers van bedrijven door hen een percentage van het losgeld aan te bieden.
Implementeren op belangrijkste Windows-server
Hoe absurd het ook moge klinken, sommige boosdoeners gaan via spam op zoek naar medeplichtigen. In een zo’n bericht wordt bijvoorbeeld rechtstreeks “40%, 1 million in bitcoin” aangeboden aan iedereen die bereid is DemonWare-ransomware te installeren en te implementeren op de belangrijkste Windows-server van hun organisatie.
Onderzoekers die zich voordeden als geïnteresseerde medeplichtigen ontvingen een link naar een bestand, samen met instructies om de malware op te starten. De persoon achter de mailing was echter blijkbaar een onervaren cybercrimineel, en de onderzoekers hadden dan ook geen moeite om hem aan het praten te krijgen. De boosdoener in kwestie was een jonge Nigeriaan die LinkedIn had afgestruind, op zoek naar hooggeplaatste personen om contact mee te leggen. Hij liet zijn oorspronkelijke plan (malware e-mailen) varen toen hij zich realiseerde hoe sterk de cyberbeveiligingssystemen van bedrijven zijn.
BlackMatter-netwerktoegang gezocht advertentie
Uitvoerbare bestand verwijderen
Om zijn doelwitten ervan te overtuigen dat hun deelname veilig zou zijn, beweerde de bedreiger dat de ransomware alle bewijs van het misdrijf zou wissen, inclusief eventuele beveiligingsbeelden, en hij raadde aan het uitvoerbare bestand te verwijderen om te voorkomen dat er sporen zouden worden achtergelaten. Men zou kunnen denken dat de cybercrimineel van plan was zijn medeplichtigen voor de gek te houden — het zou hem immers niet kunnen schelen wat er met de dader gebeurt als de server eenmaal is versleuteld — maar hij lijkt niet helemaal te hebben begrepen hoe digitaal forensisch onderzoek in zijn werk gaat.
De keuze om DemonWare te gebruiken duidde ook al op zijn gebrek aan ervaring. Hoewel aanvallers DemonWare nog steeds gebruiken, is het eigenlijk vrij ongenuanceerde malware waarvan de broncode beschikbaar is op GitHub. De maker van de malware zou deze hebben gemaakt om aan te tonen hoe eenvoudig het is om ransomware te schrijven.
Realistisch senario
Hoewel dit slechts één specifiek voorbeeld is, zijn insiders die deelnemen aan een ransomware-aanval volkomen realistisch. Veel waarschijnlijker dan iemand die malware op een netwerk opstart, is echter een scenario waarin iemand toegang tot het informatiesysteem van een organisatie verkoopt.
De markt voor toegang tot bedrijfsnetwerken bestaat al lange tijd op het darkweb, en ransomeware-criminelen kopen regelmatig toegang van andere cybercriminelen, zogenaamde 'Initial Access Brokers'. Ze kunnen specifiek geïnteresseerd zijn in het kopen van gegevens voor toegang op afstand tot het netwerk of de cloud-servers van de organisatie. Advertenties voor zulke aankopen die gericht zijn op ontevreden of ontslagen werknemers doen de ronde op het darkweb.
Tips
Om ervoor te zorgen dat niemand de veiligheid van uw bedrijf in gevaar brengt door ransomers in de netwerken toe te laten, raden wij u aan:
- Om de “least privilege”-strategie toe te passen
- Om zorgvuldig bij te houden welke pogingen om toegang te krijgen tot het netwerk en de servers van de organisatie er worden ondernomen, deze rechten in te trekken en om de wachtwoorden te wijzigen wanneer werknemers worden ontslagen
- Om op elke server beveiligingsoplossingen te installeren die hedendaagse malware kunnen tegengaan
- Om gebruik te maken van Managed Detection and Response -oplossingen, die helpen bij het identificeren van verdachte activiteiten binnen uw infrastructuur voordat aanvallers de kans krijgen om echte schade aan te richten
Bron: abnormalsecurity.com, threatpost.com, kaspersky.nl
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware gerelateerde berichten
Ransomware aanval op Universiteit Maastricht
De Universiteit Maastricht is slachtoffer van een grote cyberaanval. Verschillende websites en ook het mailsysteem werken niet meer. Windows-computers zijn niet meer toegankelijk en sommige websites van de universiteit zijn uit de lucht.
Hakbit Ransomware
Hakbit Ransomware is een gevaarlijke ransomware infectie. Natuurlijk begrijpen de meeste gebruikers die besmet raken met dit programma niet hoe dat gebeurt, maar als we meer te weten zouden komen over de distributiepatronen van ransomware, zouden we kunnen voorkomen dat 'Hakbit Ransomware' onze systemen binnendringt.
Documenten advocatenkantoren VS versleuteld door ransomware
Belangrijke documenten van zo'n 125 Amerikaanse advocatenkantoren zijn halverwege oktober door ransomware versleuteld, wat invloed op lopende rechtszaken had. De advocatenkantoren maken gebruik van de software van TrialWorks. Het softwarebedrijf levert oplossingen waarmee advocatenkantoren hun documenten en zaken kunnen beheren. Hierbij worden documenten op servers van TrialWorks opgeslagen.
Ransomware – MKB
Gijzelsoftware, waarmee bestanden worden 'gekidnapt' totdat het slachtoffer betaalt, is een groeiend probleem voor Nederlandse bedrijven. Dat signaleren beveiligingsonderzoekers, verzekeraars en branche-organisatie MKB-Nederland.
Cybercrime schade in Belgie tussen de 3,7 tot 4,5 miljard euro per jaar
Cybersecurity onderzoekers en de politie in Belgie roepen het al een tijdje in koor, in sneltempo is de misdaad van de gewone naar de online wereld aan het verschuiven. Cybercriminelen gaan bovendien steeds gesofisticeerder te werk en zijn ongrijpbaarder dan ooit. En ze hebben het niet meer alleen op u en mij gemunt.
Ransomware grootste cyberdreiging voor het MKB
Leverancier van IT-oplossingen 'Dato', publiceert de bevindingen van zijn vierde jaarlijkse 'Global State of the Channel Ransomware Report'. Het onderzoek is uitgevoerd onder meer dan 1.400 Managed Service Providers (MSP’s) die de IT-systemen beheren voor het midden- en kleinbedrijf (mkb). Uit het rapport kwam naar voren dat ransomware nog steeds de meest voorkomende cyberdreiging is voor het mkb.