Wat maakt van een organisatie een ideaal doelwit voor cybermisdaad? Securitybedrijf KELA onderzocht de 'zoekertjes' die de bendes zelf posten om dat uit te vissen.

Cybercrime en dan vooral ransomware is al een tijdje groot genoeg om zijn eigen ecosysteem van dienstenleveranciers te hebben. Denk daarbij aan cryptoplatformen om geld wit te wassen bijvoorbeeld, maar ook aan 'initial access brokers' (IAB's). Dat zijn de leveranciers die het web scannen op zoek naar kwetsbaarheden, phishing mails uitsturen of via 'brute force' wachtwoorden van werknemers proberen te raden, om zo de toegang tot mogelijke slachtoffers te krijgen. Vaak gaan ze niet zelf inbreken op de netwerken van die bedrijven, maar verkopen ze de 'toegang' netjes verpakt door aan andere criminelen.

Securitybedrijf KELA onderzocht de 'zoekertjes' die ransomwarebendes posten met hun vragen aan deze IAB's, om te weten te komen wat ze zoal zoeken in een ideaal slachtoffer. Dat schrijft het bedrijf in een blog, die eerst werd opgemerkt door techsite Bleeping Computer. Gezien de materie was het onderzoeksdomein vrij klein: KELA analyseerde 48 forumberichten die actief waren in juli van dit jaar, waarin allerlei figuren aangaven dat ze toegang wilden kopen tot netwerken. Zo'n 40% hiervan zou gemaakt zijn door ransomwarebendes, of gebruikers die op een of andere manier voor zo'n ransomwarebende werken. In zo'n zoekertje staat onder meer in welk land of welke sector de bedrijven zich liefst bevinden, en hoeveel de bende wil betalen voor toegang tot zo'n netwerk.

Gemiddeld lijken ransomwarebendes het vaakst op zoek naar toegang tot Amerikaanse bedrijven met inkomsten van meer dan honderd miljoen dollar. Bij het type toegang wordt vooral gezocht naar producten van Citrix, Palo Alto Networks, VMware, Fortinet en Cisco, niet toevallig ook het soort netwerkproduct dat je al snel in een groter bedrijf vindt. De bendes hebben daarvoor tot 100.000 dollar over, maar meestal een pak minder.

Amerika boven

Een voorbeeld dat KELA in zijn blog geeft, is een post van de BlackMatter-ransomwarebende, waarin die op zoek is naar doelwitten in de VS, Canada, Australië en Groot-Brittannië, met inkomsten van minstens 100 miljoen dollar. Een andere post heeft een hele formule voor minimuminkomsten: bedrijven uit de VS moeten minstens 5 miljoen dollar aan inkomsten hebben, in Europa ligt het minimum op 20 miljoen, en in de derde wereld op 40 miljoen. Vermoedelijk heeft dat te maken met hoe moeilijk het is effectief losgeld vrij te krijgen van deze bedrijven.

In orde van populariteit werd de VS in 47% van de zoekertjes gevraagd, gevolgd door Canada (37%), Australië (37%) en Europa (31%). 'De bendes kiezen de rijkste bedrijven, waarvan verwacht wordt dat ze in de grootste en meest ontwikkelde landen zijn', aldus Victoria Kivilevich, analist bij KELA.

De onderzoekers keken ook naar wat ransomwarebendes specifiek uitsluiten. Nogal wat postjes melden bijvoorbeeld dat ze geen bedrijven in Afrikaanse of derdewereldlanden als doelwit willen, ook weer om het idee dat daar minder geld te rapen valt. Zo'n 47% van de postjes melden dat de bendes weigeren in te breken bij gezondheidsinstellingen en het onderwijs, zij het om gebrek aan geld in deze bedrijven, of een soort morele code bij de bendes zelf. 37% weigert overheidsinstellingen, vermoedelijk uit angst voor te veel aandacht van politiediensten, 26% weigert dan weer non-profit-organisaties. En nog opvallend: de meesten sluiten Rusland en het bredere Oostblok uit. Daarbij geldt het idee dat, als deze bendes vanuit Rusland opereren, ze niet vervolgd zullen worden zolang ze buiten deze regio hun slachtoffers zoeken.

Hoe groter, hoe beter

Bij het soort toegang valt tot slot nog op dat uiteraard het meeste wordt betaald voor administratorrechten op een netwerk, maar dat er gezocht wordt naar allerlei vormen van toegang. Dat kan dus ook tot de online winkel zijn, tot databases of Microsoft Exchange servers. De bedoeling is hierbij niet altijd om het volledige netwerk plat te leggen en losgeld te vragen, maar ook om bijvoorbeeld cryptominers te installeren, of informatie te stelen.

Het rapport geeft wat meer inzicht in hoe deze bendes werken, maar de belangrijkste regel lijkt vooral: hoe meer geld er te rapen valt, hoe beter. En dan nog liefst op een manier die zo weinig mogelijk risico met zich meebrengt. Voor alle duidelijkheid: bedrijven die niet 'het ideale slachtoffer' zijn, mogen natuurlijk niet op hun lauweren rusten. Zoals we onder meer bij de Kaseya-aanvallen hebben gezien, kunnen ook kleinere bedrijven, overal ter wereld, slachtoffer worden.

