Toenemende populariteit van Ransomware-as-a-Service (RaaS) op het darkweb

Gepubliceerd op 25 februari 2023 om 07:00

Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

Cybersecurity is een voortdurende zorg voor bedrijven van elke omvang en in elke sector. Het is van cruciaal belang om op de hoogte te blijven van de laatste bedreigingen en aanvalsoppervlakken, evenals de nieuwste technieken die cybercriminelen gebruiken om hun slachtoffers aan te vallen.

Daarom presenteert Fortinet zijn tweejaarlijkse Global Threat Report, dat bedrijven helpt om de actuele situatie van de cyberdreigingen te begrijpen. Het rapport biedt inzicht in de nieuwste bedreigingen en kwetsbaarheden, evenals aanbevelingen voor bedrijven om zichzelf te beschermen tegen deze risico's.

Belangrijke onderzoeksbevindingen voor de tweede helft van 2022 zijn

  • De grootschalige verspreiding van wiper-malware wijst erop dat cyberaanvallen een steeds verwoestender karakter krijgen.
  • De bedreiging van ransomware blijft wereldwijd op piekniveau. Er zijn geen tekenen die op een afzwakking van deze trend wijzen. Er komen voortdurend nieuwe varianten bij die met Ransomware-as-a-Service (RaaS) zijn ontwikkeld.
  • De vaakst geobserveerde malware was meer dan een jaar oud, maar bleek ingrijpende aanpassingen te hebben ondergaan. Dit wijst op de doeltreffendheid en kostenefficiëntie die het hergebruik van code cybercriminelen te bieden heeft.
  • Organisaties in alle sectoren en regio’s blijven kampen met de kwetsbaarheid Log4j, die grif door cybercriminelen wordt misbruikt. Dat geldt in het bijzonder voor de IT-wereld, de overheidssector en het onderwijs.

Opkomst van verwoestende wiper-malware

Een analyse van onderzoeksdata over wiper-malware wijst op een nieuwe trend: cybercriminelen blijken keer op keer verwoestende aanvalstechnieken tegen hun doelwitten in te zetten. Cybercriminelen kunnen dit soort aanvallen eenvoudig opschalen. Vaak doen ze daarvoor een beroep op het Cybercrime-as-a-Service (CaaS)-model.
FortiGuard Labs wees in het begin van 2022 op de komst van diverse nieuwe wipers. Dit viel samen met de oorlog tussen Rusland en Oekraïne. Later dat jaar breidde de wiper-malware zich naar andere landen uit. Dit zorgde alleen al van het derde op het vierde kwartaal voor een toename van wiper-activiteit met 53%. Een deel van deze malware is mogelijk door staatshackers ontwikkeld in verband met de oorlog. Deze malware is echter opgepikt door cybercriminele groeperingen die de wipers nu ook buiten Europa inzetten. Afgaande op de detecties in het vierde kwartaal van 2022 vertoont de trend van verwoestende wiper-malware helaas geen teken van afzwakking. Elke organisatie is een doelwit, ook als die zich buiten Oekraïne of de omliggende landen bevindt.

De ontwikkeling van het aantal aanvallen met wiper-malware in 2022

Ransomware blijft wereldwijde bedreiging

Uit de werkzaamheden die het Incident Response (IR)-team van FortiGuard Labs namens klanten uitvoerde bleek dat financieel gemotiveerde cybercriminaliteit goed was voor het grootste percentage beveiligingsincidenten (73,9%), op grote afstand gevolgd door cyberspionage (13%). In heel 2022 maakte 82% van alle financieel gemotiveerde cyberaanvallen gebruik van ransomware of kwaadaardige scripts. Hieruit blijkt dat de wereldwijde bedreiging van ransomware onverminderd van kracht blijft. Dit is het gevolg van de toenemende populariteit van Ransomware-as-a-Service (RaaS) op het darkwebHet ransomware-volume steeg vanaf de eerste helft van 2022 met maar liefst 16%. Van de in totaal 99 gedetecteerde ransomware-families was de top vijf goed voor zo’n 37% van alle activiteit in de tweede helft van het jaar. De RaaS-malware GandCrab, die in 2018 op het toneel verscheen, prijkte bovenaan de lijst. Hoewel de makers van GandCrab na het buitmaken van ruim 2 miljard dollar aankondigden met pensioen te gaan, zagen diverse nieuwe versies van GandCrab het licht. Mogelijk is dit een nasleep is van hun activiteiten of is de code door andere cybercriminelen gewijzigd en in een nieuwe vorm de wereld ingestuurd. Deze ontwikkeling wijst op het belang om permanent een halt toe te roepen aan de activiteiten van cybercriminelen. Een effectieve ontmanteling van hun toevoerketens vraagt om een collectieve wereldwijde inspanning, hechte en betrouwbare relaties en sectoroverstijgende samenwerking.

Cybercriminelen recyclen code voor winstgevende aanvallen

Cybercriminelen zijn ondernemend ingesteld. Ze zijn voortdurend op zoek naar manieren om optimaal gebruik te maken van hun bestaande investeringen en kennis en hun aanvallen effectiever en winstgevender te maken. Het hergebruik van code biedt hen een efficiënte en lucratieve manier om verder te bouwen op eerdere successen. Met elke nieuwe versie verfijnen zij hun cyberaanvallen, zodat ze beveiligingsmechanismen steeds beter kunnen omzeilen.
Uit een analyse van FortiGuard Labs bleek de meest actieve malware in de tweede helft van 2022 meer dan een jaar oud te zijn. Ze vinden hun oorsprong meer dan tien jaar geleden. FortiGuard Labs analyseerde daarnaast diverse varianten van Emotet op het lenen en hergebruik van code. Hieruit bleek dat deze malware ingrijpende aanpassingen heeft ondergaan. De nieuwe varianten kunnen grofweg worden onderverdeeld in zes verschillende malware-categorieën. Cybercriminelen leggen zich niet alleen toe op het automatiseren van cyberbedreigingen, maar moderniseren ook actief de broncode om hun effectiviteit te vergroten.

Oude botnets nog steeds effectief

Cybercriminelen maken ook gebruik van bestaande infrastructuren en oudere cyberbedreigingen om hun slagingskansen te vergroten. Een analyse van botnet-bedreigingen op activiteit door FortiGuard Labs wijst uit dat de meest voorkomende botnets allesbehalve nieuw zijn. Zo maakte het botnet Morto, dat in 2011 voor het eerst werd geobserveerd, een spectaculaire comeback aan het einde van 2022. En ondertussen blijven botnets zoals Mirai en Gh0st.Rat in alle regio’s bijzonder actief. Verrassend genoeg is RotaJakiro het enige van de vijf meest actieve botnets dat dit decennium het licht zag.
Hoewel het verleidelijk is om oudere cyberbedreigingen af te schrijven, is het belangrijk voor organisaties in elke sector om waakzaam te blijven. Er is namelijk een reden waarom deze ‘vintage’ botnets nog altijd op grote schaal actief zijn: ze blijven bijzonder effectief. Vindingrijke cybercriminelen zullen steeds veerkrachtiger versies van bestaande botnet-infrastructuren ontwikkelen met behulp van uiterst specialistische technieken. Dat doen ze omdat ze weten dat ze een rendement op hun investering kunnen boeken. In de tweede helft van 2022 waren managed security service providers (MSSP’s), spelers in de telecomsector en industriële bedrijven de belangrijkste doelwitten van Mirai. Deze botnet staat bekend om zijn focus op operationele technologie (OT). Cybercriminelen bestookten deze organisaties gericht met beproefde aanvalstechnieken.

Log4j-kwetsbaarheid nog steeds aanwezig

Ondanks alle media-aandacht die in 2021 en het begin van 2022 uitging naar de kwetsbaarheid Log4j heeft een significant aantal organisaties daar nog altijd geen patches voor geïnstalleerd of passende beveiligingsmechanismen voor ingericht.
In de tweede helft van 2022 bleef er in alle regio’s sprake van een bijzonder groot aantal Log4j-exploits. FortiGuard labs merkt op dat 41% van alle organisaties de Log4j-activiteit detecteerde. Daarmee blijkt hoe wijdverspreid deze kwetsbaarheid blijft. Dat geldt voor de IT-wereld, de overheidssector en het onderwijs. En dat zou geen verbazing moeten wekken gezien de populariteit van de open source-software Apache Log4j in deze sectoren.

Hoe cybercriminelen malware verspreiden

Het analyseren van de strategieën van cybercriminelen levert waardevolle inzichten op in de manier waarop zij hun aanvalstechnieken doorontwikkelen. Deze informatie maakt het mogelijk om effectievere bescherming te bieden tegen toekomstige aanvalsscenario’s. FortiGuard Labs bestudeerde de functionaliteit van gedetecteerde malware aan de hand van sandbox-data om de meest voorkomende methoden voor het aanleveren van malware in kaart te brengen. Het is belangrijk om daarbij op te merken dat er alleen naar onschadelijk gemaakte malware-monsters werd gekeken.
Van de acht meest voorkomende tactieken en technieken die binnen de sandbox-omgeving werden geobserveerd bleek drive-by-compromise de populairste. Cybercriminelen gebruiken die om toegang te krijgen tot de systemen van organisaties in alle delen van de wereld. Ze rekenen op gebruikers die nietsvermoedend kwaadaardige code downloaden door een besmette website te bezoeken, een kwaadaardige e-mailbijlage te openen of op een link of misleidend pop-upvenster te klikken. Het probleem met deze drive by-technieken is vaak dat het na het downloaden van kwaadaardige code vaak te laat is voor organisaties om een beveiligingsincident te vermijden als ze geen holistische beveiligingsaanpak hanteren.

Identificatie van cybercriminele doelen

De trends op het gebied van misbruik van kwetsbaarheden (exploits) maken duidelijk welke doelwitten cybercriminelen aantrekkelijk vinden en hoe ze hun aanvallen daarop voorbereiden. FortiGuard Labs beschikt over een uitgebreid archief van kwetsbaarheden. Door het verrijken van zijn data was het in staat om actief misbruikte kwetsbaarheden in real time te identificeren en de zones binnen het aanvalsoppervlak met het hoogste risico (red zones) in kaart te brengen.

In de tweede helft van 2022 bevond minder dan 1% van alle gedetecteerde kwetsbaarheden binnen grote ondernemingen zich op endpoints. Dit kleine percentage kwetsbaarheden werd regelmatig aangevallen. Aan de hand van informatie over deze red zone kunnen CISO’s het overzicht verbeteren en taken rond het minimaliseren van risico’s en patchen van kwetsbaarheden trefzeker op prioriteit indelen.

Over het Global Threat Landscape Report

Deze nieuwe editie van het Global Threat Landscape Report weerspiegelt de collectieve kennis van FortiGuard Labs. Deze is gebaseerd op informatie over miljarden beveiligingsincidenten die in de tweede helft van 2022 werd verzameld via het wereldwijde sensornetwerk van Fortinet. Het MITRE ATT&CK-framework verdeelt de aanvalstechnieken van cybercriminelen onder in de drie categorieën: verkennen, het opbouwen van een aanwezigheid en de eerste toegang. Het FortiGuard Labs Global Threat Landscape Report gebruikt dit model als basis voor het beschrijven van de manier waarop cybercriminelen kwetsbaarheden vinden, een kwaadaardige infrastructuur opbouwen en misbruik maken van de kwetsbaarheden van hun slachtoffers. Het rapport biedt wereldwijde en regionale perspectieven en informatie over cyberbedreigingen die zich op zowel IT- als OT-omgevingen richten.
Derek Manky, chief security strategist en global vice president Threat Intelligence bij FortiGuard Labs: “Voor cybercriminelen is het allerminst eenvoudig om toegang tot bedrijfsnetwerken te blijven houden en detectie te voorkomen. Dat komt omdat de IT-beveiliging van organisaties steeds geavanceerder wordt. Als reactie hierop moderniseren cybercriminelen hun verkenningstechnieken en voeren ze verwoestende aanvallen uit met cyberbedreigingen die normaliter door staatshackers worden gebruikt. Dat doen zij bijvoorbeeld met wiper-malware. Organisaties die hun complete aanvalsoppervlak hiertegen willen beschermen moeten hun focus richten op de door machine learning aangestuurde aanlevering van real-time bedreigingsinformatie aan alle beveiligingscomponenten. Dit is nodig voor het detecteren van verdachte activiteit en het treffen van gecoördineerde tegenmaatregelen.”

2023 Global Threat Landscape Report
PDF – 5,8 MB 107 downloads

Bron: fortinet.com

Opsporing kinderpornonetwerken op darkweb succesvoller, maar

Minister Grapperhaus van Justitie en Veiligheid gaat gericht ICT-bedrijven aanschrijven waar kinderpornografisch materiaal op de servers is aangetroffen. Deze bedrijven zijn naar voren gekomen in een eerste monitoring die door de TU Delft is ontwikkeld om de publiek-private aanpak van online kinderporno te verbeteren. Minister Grapperhaus spreekt de bedrijven aan op hun maatschappelijke verantwoordelijkheid om het internet op te schonen van (beelden van) seksueel kindermisbruik.

Lees meer »