Wanneer ransomware een bedrijfsnetwerk binnendringt, gebeurt dat meestal via e-mail, kwetsbaarheden in de software of onbeveiligde verbindingen op afstand. Het lijkt onwaarschijnlijk dat een insider opzettelijk malware zou verspreiden. Uit de praktijk blijkt echter dat sommige aanvallers denken dat deze methode om ransomware te verspreiden doeltreffend is, en sommige aanvallers rekruteren daarom actief werknemers van bedrijven door hen een percentage van het losgeld aan te bieden.
Implementeren op belangrijkste Windows-server
Hoe absurd het ook moge klinken, sommige boosdoeners gaan via spam op zoek naar medeplichtigen. In een zo’n bericht wordt bijvoorbeeld rechtstreeks “40%, 1 million in bitcoin” aangeboden aan iedereen die bereid is DemonWare-ransomware te installeren en te implementeren op de belangrijkste Windows-server van hun organisatie.
Onderzoekers die zich voordeden als geïnteresseerde medeplichtigen ontvingen een link naar een bestand, samen met instructies om de malware op te starten. De persoon achter de mailing was echter blijkbaar een onervaren cybercrimineel, en de onderzoekers hadden dan ook geen moeite om hem aan het praten te krijgen. De boosdoener in kwestie was een jonge Nigeriaan die LinkedIn had afgestruind, op zoek naar hooggeplaatste personen om contact mee te leggen. Hij liet zijn oorspronkelijke plan (malware e-mailen) varen toen hij zich realiseerde hoe sterk de cyberbeveiligingssystemen van bedrijven zijn.
BlackMatter-netwerktoegang gezocht advertentie
Uitvoerbare bestand verwijderen
Om zijn doelwitten ervan te overtuigen dat hun deelname veilig zou zijn, beweerde de bedreiger dat de ransomware alle bewijs van het misdrijf zou wissen, inclusief eventuele beveiligingsbeelden, en hij raadde aan het uitvoerbare bestand te verwijderen om te voorkomen dat er sporen zouden worden achtergelaten. Men zou kunnen denken dat de cybercrimineel van plan was zijn medeplichtigen voor de gek te houden — het zou hem immers niet kunnen schelen wat er met de dader gebeurt als de server eenmaal is versleuteld — maar hij lijkt niet helemaal te hebben begrepen hoe digitaal forensisch onderzoek in zijn werk gaat.
De keuze om DemonWare te gebruiken duidde ook al op zijn gebrek aan ervaring. Hoewel aanvallers DemonWare nog steeds gebruiken, is het eigenlijk vrij ongenuanceerde malware waarvan de broncode beschikbaar is op GitHub. De maker van de malware zou deze hebben gemaakt om aan te tonen hoe eenvoudig het is om ransomware te schrijven.
Realistisch senario
Hoewel dit slechts één specifiek voorbeeld is, zijn insiders die deelnemen aan een ransomware-aanval volkomen realistisch. Veel waarschijnlijker dan iemand die malware op een netwerk opstart, is echter een scenario waarin iemand toegang tot het informatiesysteem van een organisatie verkoopt.
De markt voor toegang tot bedrijfsnetwerken bestaat al lange tijd op het darkweb, en ransomeware-criminelen kopen regelmatig toegang van andere cybercriminelen, zogenaamde 'Initial Access Brokers'. Ze kunnen specifiek geïnteresseerd zijn in het kopen van gegevens voor toegang op afstand tot het netwerk of de cloud-servers van de organisatie. Advertenties voor zulke aankopen die gericht zijn op ontevreden of ontslagen werknemers doen de ronde op het darkweb.
Tips
Om ervoor te zorgen dat niemand de veiligheid van uw bedrijf in gevaar brengt door ransomers in de netwerken toe te laten, raden wij u aan:
- Om de “least privilege”-strategie toe te passen
- Om zorgvuldig bij te houden welke pogingen om toegang te krijgen tot het netwerk en de servers van de organisatie er worden ondernomen, deze rechten in te trekken en om de wachtwoorden te wijzigen wanneer werknemers worden ontslagen
- Om op elke server beveiligingsoplossingen te installeren die hedendaagse malware kunnen tegengaan
- Om gebruik te maken van Managed Detection and Response -oplossingen, die helpen bij het identificeren van verdachte activiteiten binnen uw infrastructuur voordat aanvallers de kans krijgen om echte schade aan te richten
Bron: abnormalsecurity.com, threatpost.com, kaspersky.nl
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware gerelateerde berichten
Ransomware 'WannaCry' infecteert 2 jaar na dato nog steeds miljoenen pc's
Sinds de wereldwijde uitbraak van de WannaCry-ransomware in mei 2017 vinden er maandelijks nog steeds miljoenen detecties plaats. In augustus 2019 detecteerde beveiligingsbedrijf Sophos 4,3 miljoen WannaCry-exemplaren.
Toename van ransomware in 2019
Cybercriminelen verspreiden 'Ransomware' het meest via 'Brute Force Aanval' en 'Remote Desktop Aanvallen' voor het uitvoeren van Crypto 'Malware' campagnes. Lange tijd waren 'Phishing' emails en spam het meest populair onder aanvallers.
Cyber Attack Texas: "Ongekende golf van Ransomware aanvallen"
Amerikaanse staat Texas vecht momenteel tegen een ongekende golf van ransomware aanvallen die gericht zijn op lokale overheidsinstanties in de staat, waarvan minstens 23 getroffen zijn door de cyber aanvallen.
Cybersecurity onderzoekers demonstreren Ransomware op Foto/Film Camera
Beveiligingsbedrijf Check Point Research heeft malware gedemonstreerd voor een Canon EOS 80D-dslr. De ransomware versleutelt de foto's op de sd-kaart en gebruikt wifi om kwetsbaarheden in picture transfer protocol te misbruiken.
Nieuwe Android Ransomware verspreidt zich via sms'jes
Cybercrime experts hebben een nieuwe Ransomware voor het Android platform ontdekt die zich via sms'jes en links op Reddit en Android ontwikkelaars forum XDA verspreidt. De links en QR-codes die de aanvallers op Reddit en XDA plaatsen lijken naar een pornografische app te wijzen.
'NO MORE RANSOM' houdt miljoenen uit handen van Cybercriminelen
De site 'No More Ransom' bestaat drie jaar en heeft in die tijd al 200.000 slachtoffers van ransomware uit de brand geholpen. Cybercriminelen liepen daardoor zo'n 108 miljoen euro aan losgeld mis. Dat laat Europol, naast de Nederlandse politie en McAffee een van de initiatiefnemers, weten bij het driejarig bestaan van het project.