De ransomwaregroepen Hive, LockBit en BlackCat hebben achtereenvolgens allen hetzelfde netwerk aangevallen. Tussen de twee eerste aanvallen zat een interval van twee uur; de derde aanval vond twee weken later plaats. Iedere groep eiste zijn eigen losgeldsom, en sommige bestanden werden drievoudig versleuteld.
Dit meldt Sophos in de whitepaper 'Active Adversary van Sophos X-Ops met de titel Multiple Attackers: A Clear and Present Danger'. “Eén losgeldeis is al lastig genoeg, laat staan drie na elkaar”, merkt John Shier op, senior veiligheidsadviseur bij Sophos. “Meerdere aanvallen maken het aanzienlijk ingewikkelder om de gegevens terug te krijgen, zeker wanneer de bestanden van het netwerk drie keer versleuteld zijn. Cyberbeveiliging die incidenten niet alleen voorkomt, maar ook detecteert en erop reageert is dus onmisbaar voor ieder bedrijf, ongeacht omvang of type, want niets of niemand is veilig.”
Gelijktijdige cyberaanvallen
Het whitepaper brengt ook andere gevallen van gelijktijdige cyberaanvallen aan het licht, waarbij gebruik werd gemaakt van cryptomining, RAT-virussen (Remote Access Trojans) en bots. In het verleden spreidden kwaadwillige groepen hun aanvallen over maanden of zelfs jaren uit wanneer ze hetzelfde systeem wilden aanvallen. De aanvallen die Sophos beschrijft vonden echter in de loop van enkele dagen of weken plaats – en in één geval zelfs gelijktijdig. De verschillende daders drongen het netwerk van het doelwit allemaal via hetzelfde kwetsbare toegangspunt binnen.
Normaal gezien concurreren cybercriminelen om middelen, wat gelijktijdige aanvallen moeilijker maakt. Cryptominers neutraliseren bijvoorbeeld concurrenten op hetzelfde systeem, terwijl RAT-virussen op gespecialiseerde fora pronken met hun bedrevenheid in het uitschakelen van bots. Bij de aanvallen van de drie ransomwaregroepen heeft BlackCat, de laatste die het systeem binnendrong, echter niet alleen zijn eigen sporen gewist, maar ook die van LockBit en Hive. Daarnaast infecteerde LockBit nog een ander systeem. Ongeveer drie maanden later gebruikten leden van Karakurt Team, een groep die banden zou hebben met Conti, de backdoor die LockBit had gecreëerd om gegevens te stelen en losgeld te eisen van de eigenaar.
Geen openlijke vijandigheid tussen verschillende ransomwaregroepen
Over het algemeen lijkt er geen openlijke vijandigheid te bestaan tussen de verschillende ransomwaregroepen. LockBit verbiedt zijn leden inderdaad niet expliciet om samen te werken met concurrenten, zoals ook in het whitepaper van Sophos staat", benadrukt John Shier. “We hebben geen bewijs van dergelijke samenwerkingen, maar het is mogelijk dat cyberaanvallers doorhebben dat er slechts een beperkt aantal ‘middelen’ bestaat op een markt waar de concurrentie steeds heviger wordt. Een andere mogelijkheid is dat ze ervan uitgaan dat slachtoffers meer geneigd zullen zijn om het losgeld te betalen naarmate ze meer onder druk gezet worden (met meervoudige aanvallen). Misschien overleggen ze op het hoogste niveau hoe ze de taken en buit zullen verdelen: de ene groep versleutelt de gegevens, terwijl de andere de terugtrekking verzorgt. Vroeg of laat zullen de groepen moeten beslissen of ze die samenwerking willen voortzetten of opnieuw concurrenten willen worden, maar op dit moment kunnen verschillende daders in alle vrijheid meervoudige aanvallen uitvoeren.”
Kwetsbaarheden in techniek
De initiële infecties van de aanvallen beschreven in het whitepaper zijn in de meeste gevallen het gevolg van een kwetsbare plek die niet gepatcht werd, met name Log4Shell, ProxyLogon en ProxyShell, of van slecht geconfigureerde RDP-servers die niet beveiligd zijn. Bij de meeste aanvallen van meerdere daders hebben de slachtoffers niet overtuigend gereageerd op het eerste incident, en dat effent natuurlijk het pad voor andere cybercriminelen. In dit geval creëerden dezelfde fouten in de configuratie van RDP’s en toepassingen zoals RDWeb of AnyDesk een gemakkelijk te misbruiken toegangsweg voor latere aanvallen. Het is een feit dat malware gericht op blootgestelde RDP- en VPN-servers tot de bestverkochte tools op het darkweb behoren.
"Zoals de meest recente uitgave van de Active Adversary Playbook aangeeft, begon Sophos in 2021 te signaleren dat bedrijven slachtoffer werden van meerdere gelijktijdige aanvallen, wat suggereert dat we met een groeiende trend te maken hebben”, besluit John Shier. “Hoewel we enkel anekdotische aanwijzingen hebben over aanvallen door meerdere daders, hebben cybercriminelen dankzij kwetsbare systemen vrij spel om op deze voet verder te gaan.”
Raadpleeg het whitepaper Multiple Attackers: A Clear and Present Danger voor meer informatie over meervoudige aanvallen. Het biedt een dieper inzicht in de wereld van cybercriminelen en reikt praktische tips aan om systemen tegen aanvallen te beschermen.
Bron: sophos.com, executive-people.nl
Meer ransomware nieuws
"Om de zaken nog erger te maken werden de proof-of-concept geautomatiseerde aanvalsscripts openbaar gemaakt"
Ruim een week nadat Microsoft de 'mitigatietool met één muisklik' heeft uitgebracht om cyberaanvallen op lokale Exchange-servers te beperken maakte het bedrijf bekend dat de patches reeds zijn uitgevoerd op 92% van alle internet-gerichte servers die zijn getroffen door de 'ProxyLogon-kwetsbaarheden'.
Acer heeft tijd gekregen tot zondag om de 50 miljoen dollar te betalen anders wordt het bedrag verdubbeld
Het hackers collectief 'REvil' heeft naar verluidt een ransomware aanval uitgevoerd op Acer. De aanvallers eisen 50 miljoen dollar aan losgeld van het Taiwanese technologiebedrijf, het hoogste bedrag dat tot op heden ooit door hackers is gevraagd. Acer wil de cyberaanval niet bevestigen, maar stelt enkel dat er momenteel een ‘lopend onderzoek’ wordt uitgevoerd.
Losgeld: "Het besluit dat we hebben genomen gaat in tegen al onze principes, het voelt heel slecht"
Het 'Staring College' is deze week getroffen door een grote ransomware-aanval. De middelbare school, met vestigingen in Lochem en Borculo, heeft na wikken en wegen besloten om losgeld te betalen aan de aanvallers. Dat was enige manier om er zeker van te zijn dat het onderwijs geen gevaar liep.
Twee derde van organisatie kreeg te maken met ransomware in 2020
Uit onderzoek van Proofpoint blijkt dat ransomware-aanvallen een enorm groot probleem zijn. Zo geeft 66 procent van respondenten aan het slachtoffer te zijn geweest van ransomware.
Piek in cyberaanvallen op zorgsector in Europa
Het 'Computer Emergency Response Team' dat Nederlandse zorginstellingen adviseert over cybersecurity en informatiebeveiliging, waarschuwt ziekenhuizen en andere organisaties in de zorg voor ransomware-aanvallen. De afgelopen weken zagen medewerkers een piek in het aantal cyberaanvallen op de Europese zorgsector. Het is onduidelijk waarom het aantal aanvallen uitgerekend nu in de lift zit.
Zijn er nieuwelingen die gebruik maken van 'open ransomware-as-a-service diensten' die onbedoeld gegevens vernietigen?
Steeds meer slachtoffers van ransomware verzetten zich tegen de afpersers en weigeren te betalen wanneer ze hun systeem kunnen herstellen met behulp van back-ups, ondanks het dreigementen van de hackers om de gestolen gegevens te lekken.