De populariteit van Ransomware-as-a-Service (RaaS) op het darkweb

Gepubliceerd op 17 september 2022 om 07:00

Endpoints blijven een belangrijk doelwit van cybercriminelen vanwege de aanhoudende trend van ‘work from anywhere’. Steeds meer ransomware-varianten steken de kop op als gevolg van de populariteit van Ransomware-as-a-Service (RaaS) op het darkweb. Zoals bijvoorbeeld wiper-malware. Het woord zegt het al, je bent in één keer al je data kwijt. Een serieuze dreiging waar je liever niet mee te maken krijgt. Dit blijkt uit het FortiGuard Labs Global Threat Landscape Report.

Met vasthoudendheid blijven cybercriminelen hun pijlen richten op de endpoints van mobiele en thuiswerkers om toegang tot bedrijfsnetwerken te krijgen. Omgevingen met operationele technologie (OT) en informatietechnologie (IT) zijn aantrekkelijk voor misbruik van het groeiende aanvalsoppervlak en de convergentie tussen IT en OT. Zij worden steeds beter in het verkennen en omzeilen van beveiligingsmechanismen en kunnen zo steeds meer schade aanrichten.

Criminele ecosystemen

Ransomware blijft een van de belangrijkste bedreigingen. Cybercriminelen investeren hier volop tijd en geld in. FortiGuard Labs zag de afgelopen zes maanden in totaal 10.666 ransomware-varianten. In het vorige halfjaar was dat nog maar 5.400. RaaS blijft vanwege zijn populariteit op het darkweb een groeimotor achter een cybercriminele industrie die organisaties dwingt tot het betalen van losgeld.

Als bedrijven zich hiertegen willen beschermen moeten ze proactief te werk gaan. Dit vraagt om raal-time overzicht, bescherming en herstel in combinatie met zero trust network access (ZTNA) en geavanceerde endpoint detection & response (EDR)-functionaliteit.

OT en endpoints

De convergentie van IT en OT en de endpoints die voor work from anywhere worden ingezet bieden cybercriminelen volop kansen om het groeiende aanvalsoppervlak te bestoken. Vaak maken ze gebruik van kwetsbaarheden op endpoints om bedrijfsnetwerken binnen te dringen. Populaire technieken waren misbruik van een spoofing-kwetsbaarheid (CVE 2022-26925) en een kwetsbaarheid die het mogelijk maakte om op afstand kwaadaardige code uit te voeren (CVE 2022-26937).

Criminelen maken optimaal gebruik van oude en nieuwe kwetsbaarheden om toegang te krijgen tot netwerken. Dit blijkt uit een analyse van het aantal kwetsbaarheden op endpoints en het aantal malware-detecties. Ze maken ook grif misbruik van kwetsbaarheden binnen OT-systemen. Dit is te wijten aan de convergentie van IT- en OT-omgevingen en het feit dat cybercriminelen zoals staatshackers met OT-aanvallen grote schade kunnen aanrichten. Geavanceerde oplossingen kunnen het aantal cyberaanvallen terugdringen en bijdragen aan een effectiever herstel van besmette apparaten in een vroegtijdig aanvalsstadium.

Wiper malware

Trends op het gebied van wiper-malware wijzen op de zorgwekkende opkomst van nog verwoestender en geavanceerdere aanvalstechnieken. Hierbij wordt de data van het slachtoffer gewist. De oorlog in Oekraïne gaf de aanzet tot een forse toename van disk wiping-malware. Aanvallen hiermee waren vooral gericht op vitale infrastructuren. FortiGuard Labs identificeerde in de eerste maanden van 2022 zeven belangrijke nieuwe wiper-varianten. Deze werden ingezet voor diverse aanvallen tegen overheidsinstellingen, militaire organisaties en bedrijven. Aanvallen met wiper-malware beperkten zich niet tot één geografische regio. Ze werden naast Oekraïne in 24 andere landen gedetecteerd. Het minimaliseren van de impact van dit soort aanvallen vraagt om het opvoeren van de detectiecapaciteit door het combineren van network detection & response (NDR)-functionaliteit met zelflerende artificial intelligence. Daarnaast is het van groot belang om back-ups op een externe offline locatie op te slaan.

Omzeilen beveiligingsmechanismen

Een analyse van de verschillende strategieën van cybercriminelen werpt licht op de ontwikkeling van aanvalstechnieken. FortiGuard Labs analyseerde de werking van gedetecteerde malware om na te gaan welke technieken de afgelopen zes maanden het vaakst werden gebruikt. Het omzeilen van beveiligingsmechanismen staat bovenaan de lijst van meest gebruikte tactieken van ontwikkelaars van malware. Zij proberen om beveiligingsmechanismen te omzeilen door hun aanvalstechnieken te verhullen. Ze maken bijvoorbeeld gebruik van een bonafide certificaat om misbruik te maken van vertrouwde processen. De op een na populairste techniek was procesinjectie. Hierbij injecteren cybercriminelen code in de adresruimte van een proces om beveiligingsmechanismen te omzeilen en ongezien hun gang te kunnen gaan.

AI ondersteunde beveiliging

Organisaties kunnen zich beter beschermen als ze over praktisch inzetbare bedreigingsinformatie beschikken. Geïntegreerde, door AI en machine learning aangestuurde security-platforms met geavanceerde functionaliteit voor detectie en incidentrespons. Met real-time bedreigingsinformatie zijn deze platforms onmisbaar bij bescherming van hybride netwerken.

Organisaties die bedreigingsinformatie analyseren kunnen hun beveiligingsmechanismen beter aanpassen en snel en proactief reageren op nieuwe aanvalstechnieken. Kennis van de laatste cyberbedreigingen is belangrijk om het patchen van kwetsbaarheden op prioriteit in te delen en IT- en OT-omgevingen effectiever te beschermen. Security awareness-training is eveneens van belang voor werknemers en security-team. Organisaties hebben daarnaast beveiligingsprocessen nodig om de cyberbedreigingen met de snelheid van het netwerk in de kiem kunnen smoren. Een door AI en ML ondersteunde beveiligingsstrategie die voorziet in detectie, preventie en incidentrespons. Deze is gebaseerd op een mesh-architectuur met de mogelijkheid van een veel hechtere integratie, intensievere automatisering en een effectievere reactie op cyberbedreigingen.

Cybercriminelen hanteren slimmere manieren

“Cybercriminelen hanteren steeds slimmere manieren om beveiligingsmechanismen te omzeilen en breiden hun netwerk van criminele partners verder uit. Ze gaan uiterst agressief te werken en deinzen niet terug voor afpersing of het wissen van data van hun slachtoffers. In aanloop naar hun aanvallen voeren ze uitgebreide verkenningen van het netwerk van hun doelwit om maximaal resultaat te boeken. Om geavanceerde aanvallen tegen te gaan hebben organisaties geïntegreerde security-oplossingen nodig die met real-time bedreigingsinformatie worden gevoed. Deze oplossingen moeten in staat zijn om bedreigingspatronen te detecteren en enorme hoeveelheden gegevens tegen elkaar af te zetten om afwijkende activiteiten te identificeren en automatisch gecoördineerde tegenmaatregelen in werking te zetten binnen hybride netwerken.” aldus Vincent Zeebregts, Regional Director Nederland.

De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Report 2022 H 1 Threat Landscape
PDF – 776,8 KB 115 downloads

Bron: fortinet.com

Bekijk alle vormen en begrippen

Meer info over darkweb 

Meer darkweb nieuws 

Het Darkweb is 20 jaar

Het Darkweb is 20 jaar en is de ideale schuilplaats voor wapen- en drugshandel, kinderporno, bitcoin loterijen en levenslange Netflix-abonnementen, maar ook een vrijhaven voor klokkenluiders, journalisten en revolutionaire bewegingen die de censuur willen ontlopen. Het Darkweb bestaat op de kop af twintig jaar. Nu vooral nog een digitaal rovershol, maar ook de BBC, The Guardian en Facebook zien er het nut van in.

Lees meer »

Het darkweb "De verborgen kant van het internet"

Het internet heeft alles veranderd, van de manier hoe we werken en de manier hoe we gamen tot de manier hoe we leven. Het lijkt erop dat er een plekje is op internet voor iedereen ondanks welke interesses je hebt, ondanks wat je overtuigingen zijn, is er iemand of iets daarbuiten dat op dezelfde manier denkt als jij. Het internet heeft ons verbonden op manieren die we nooit eerder hadden gedacht, het is een plek waar iedereen van waar dan ook ter wereld kan samenkomen, er zijn zoveel dingen op internet waarvan de meeste niet eens weten dat ze bestaan. Er is van alles of het nu een dienst of product is, legaal of illegaal immoreel of onethisch het internet heeft het. U kunt kiezen of u het gebruikt voor voor goede dingen of in slechte dingen, net zoals het internet dat we allemaal gebruiken  elke dag.

Lees meer »

OM eist 6 jaar tegen drugskoerier én vendor op het Darkweb

Een ‘drugsdealer 2.0’. Zo bestempelde de officier van justitie van het Landelijk Parket vandaag in de rechtbank Rotterdam een 23-jarige verdachte uit Bodegraven tegen wie zij 6 jaar gevangenisstraf eiste met aftrek van het voorarrest. ‘Hij bood niet alleen het grootste deel van onderschepte met drugs gevulde postpakketten aan bij inleverpunten van een post- en pakketbedrijf, meneer handelde ook als vendor 611 bestellingen van verdovende middelen af via het darkweb. Bovendien is een flinke bedrijfsvoorraad in zijn woning aangetroffen’, zo motiveerde de officier haar strafeis. 

Lees meer »

Drugsonderzoek darkweb leidt tot nieuwe aanhoudingen

In vervolg op een onderzoek naar drugshandel via het darkweb zijn opnieuw verdachten aangehouden. Een 33-jarige man uit Rotterdam werd op 22 april aangehouden, evenals een vader en zoon (59 en 30 jaar) uit Spijkenisse. Hun voorarrest is inmiddels door de rechtbank met 90 dagen verlengd. Meer aanhoudingen worden niet uitgesloten.

Lees meer »

Bitcoin belangrijkste cryptomunt op het darkweb

De Amerikaanse denktank genaamd 'Rand Coproration' heeft een nieuw onderzoek gepubliceerd over het gebruik van bitcoin (BTC) op het darkweb. Niet geheel verrassend, maar ook op de afgesloten plek van het internet is BTC de belangrijkste cryptomunt.

Lees meer »