De aanvalstactieken van ransomware zijn het afgelopen jaar behoorlijk veranderd: om detectie door steeds effectievere endpointsecurityoplossingen te omzeilen, bevatten bijna alle ransomware-aanvallen nu realtime interactie door hackers. Zij bekijken eerst de beveiligingssystemen van het slachtoffer om deze vervolgens te inventariseren en daarna verschillende beschermingsniveaus te blokkeren of uit te schakelen.
Bovendien zijn de gevraagde losgeldsommen toegenomen en wordt gevoelige informatie van het doelwit (onderdeel van de aanvalsmethodiek) reeds in de beginfase van de aanval gestolen. Dit vergroot de kans dat gedupeerden tot het betalen van losgeld overgaan, ook al zijn er back-ups aanwezig. Slachtoffers willen te allen tijde voorkomen dat hun gestolen data openbaar wordt gemaakt.
De eerste maanden
Hoewel ik ervaar dat nieuwe ransomware doorlopend de kop opsteekt, zie ik ook dat de meeste auteurs van nieuwe ransomwarefamilies vergelijkbare groeifasen doorlopen in hun eerste zes tot negen maanden. Hierbij breiden ze de beschikbare functies langzaam uit.
In het afgelopen jaar heb ik verschillende nieuwe aanvalstechnieken aan de oppervlakte zien bovenkomen (denk aan Snatch) waarbij computers in de Safe-modus worden opgestart om zo harde schijven te versleutelen. Een minimale set stuurprogramma’s en programma’s wordt in deze modus geladen en dit kan endpointbescherming verhinderen die normaal niet in de Safe-modus operationeel is.
Robbinhood, Netwalker (en WastedLocker)
Zo zijn er analyses gemaakt van onder meer ransomwarevariant Robbinhood. Hierbij wordt een legitiem programma van een third party geïnstalleerd dat over bekende kwetsbaarheden beschikt en zodoende als ‘springplank’ fungeert om de rest van de aanval uit te voeren.
De ontdekking van de resource epository (gebruikt door Netwalker-ransomware) levert mijn bedrijfsbranche een schat aan informatie op, met name over de planning en technieken die nodig zijn om een aanval uit te voeren. Een interessant gegeven betreft het grote aantal gratis of open source tools die cybercriminelen tijdens verschillende aanvalsfasen nodig hebben. Daarbij kan ik WastedLocker natuurlijk niet onbesproken laten die een andere aanpak koos en met name in het systeemgeheugen toesloeg. Hierbij wordt het aantal detecteerbare lees- en schrijfbewerkingen aanzienlijk verminderd.
Een veranderende rol
De rol van IT-beveiligingsmanagers wordt daarom steeds strategischer: bedrijven dienen namelijk te kunnen vertrouwen op professionals die de ontwikkeling van dit soort aanvallen kunnen begrijpen én gaten en achterdeurtjes dichtmaken die het netwerk aan risico’s kunnen blootstellen.
John Veldhuis
Senior Sales Engineer Sophos Benelux
