Ransomware is een bijzonder efficiënte manier om geld te verdienen. Dat wisten we al, maar de verdere professionalisering van het milieu maakt het ook een pak ingewikkelder, schrijft WithSecure.
Dat cybercrime steeds sterker op de legitieme zakenwereld gaat lijken, is al even geen geheim. Van ‘script kiddies’ zijn we geëvolueerd richting een markt van dienstenleveranciers, franchises en meer. Wel blijkt nu dat die scope van die professionalisering misschien nog verder gaat dan eerst vermoed. En het is allemaal de schuld van ransomware.
‘Je krijgt een professionalisering van cybermisdaad die zijn oorsprong vind in de miljarden dollars die men daarmee binnenhaalt’, zegt Stephen Robinson, senior threat intelligence analyst bij WithSecure op de Sphere 2023 conferentie waar ook Data News bij was. ‘Je ziet dat ze evolueren om zich te spiegelen aan legitieme bedrijven. Ze nemen dus ook maatregelen zoals het inzetten van outsourcing, freelancers enzovoort. Dat betekent dat je een groep criminele organisaties hebt met veel geld om criminele dienstverlening af te nemen. Het biedt een markt voor criminele service providers.’
Het doel? Meer efficiëntie, en meer winst. In de praktijk gaan groepen zich specialiseren in specifieke diensten. Waar een bende enkele jaren geleden nog een hele aanval zelf zou regelen, zijn er nu bendes gespecialiseerd in ‘initial acces’ (het zoeken van kwetsbare servers of login-credentials die dan als pasklare sleutel worden doorverkocht), naast SaaS-leveranciers voor ransomware en groepen die het geleverde losgeld gaan witwassen.
Het is het soort ‘boom’ van nieuwe bedrijvigheid die we in een legitieme sector alleen zouden toejuichen, maar die aan de andere kant van de wet vooral tot kopzorgen leidt. De kiemen van die hele business liggen bij ransomware, zegt Robinson, en de bedrijven en mensen die daar losgeld voor betalen. ‘Ransomware is een gigantisch probleem, met duizenden aanvallen per jaar’, zegt hij. ‘De statistieken die we hebben zijn gebaseerd op de cijfers van de groepen zelf, specifiek op degenen die lekwebsites hebben. Dat maakt dat je die wel met een korrel zout moet nemen. Wat we wel weten, is dat de winst is gedaald, maar nog altijd heel groot is.’
‘Iedereen heeft back-ups’
Die daling is deels te verklaren door een betere verdediging van de slachtoffers zelf. Bedrijven hebben ondertussen wat betere bescherming, of ze hebben minstens een back-upsysteem. Spijtig genoeg leidt dat dan tot nieuwe vormen van afpersing door de bendes zelf. Niet langer worden je gegevens gegijzeld, maar nu is het je reputatie, de privacy van je klanten of je intellectuele eigendom. Bij zogeheten ‘multi-point extortion’ zit de dreiging in het lekken van de buitgemaakte gegevens als het slachtoffer niet betaalt.
‘Dat zie je bijvoorbeeld in de verdere evolutie richting pure wipers,’ legt Robinson uit. ‘In plaats van data te versleutelen, gaat men een deel ervan stelen en de rest wissen. Data deleten is veel sneller dan het encrypteren, en omdat de stok die je gebruikt het datalek is en het openbaar maken van gegevens. Je hoeft die gegevens dus niet langer bij te houden, bedrijven hebben toch back-ups.’
Overvolle markt
Een en ander betekent overigens ook dat verschillende organisaties elkaar voor de voeten kunnen lopen. WithSecure rapporteert in zijn onderzoek een incident bij een bedrijf dat door vijf verschillende groepen werd aangevallen, elk met andere objectieven en specialisaties. Daarbij zat een ransomwaregroep, een malware-as-a-service, een cryptojacking bende (die dus vooral computerkracht wilde stelen om cryptomunten te delven), een initial-access broker en een onderdeel van de Noord-Koreaanse Lazarus Group.
Een ander gevolg is dat het veel moeilijker wordt om exacte daders af te leiden, omdat methodes en software worden doorverkocht. De zogeheten ‘tactieken, technieken en procedures’ (TTP) zijn bij de belangrijkste manieren om bendes te identificeren. De manier waarop zo’n bende bij een bedrijf binnenkomt, en hoe die tewerk gaat eens ze binnen is, maar ook de code en kwetsbaarheden die ze gebruikt, is een belangrijke indicatie over welke bende aan de slag is. Dat verandert wanneer een aanval ingezet wordt door één dienstenleverancier en afgehandeld door een andere, met Malware-as-a-Service voor de eigenlijke versleuteling.
Op de vraag of dat het werk van security-onderzoekers niet moeilijker maakt, antwoordt Robinson gelaten. ‘Voor slachtoffers is dat niet belangrijk. Als je aangevallen wordt, doet het er meestal niet toe wie je aangevallen heeft. Als security vendor weten we dat graag, want we schrijven dan een leuke blogpost over deze of gene bende, maar voor slachtoffers is dat minder belangrijk.’
Wel roept hij op om de technieken ter verdediging aan te passen aan deze nieuwe realiteit. En vooral: meer te doen tegen ransomware, of toch minstens tegen het betalen van losgeld. ‘De beste manier om ransomware tegen te gaan is om te winsten te verminderen. Organisaties en overheden moeten het risico voor bendes vergroten, terwijl ze de mogelijke beloning van de praktijk verminderen.’
Fout opgemerkt of meer nieuws? Meld het hier