De opkomst van ransomware

De ransomware industry is sterk geprofessionaliseerd in de afgelopen tien jaar. Vandaag de dag verschuift het naar een nog agressiever bedrijfsmodel.

Zoals te lezen was is het eerste blog in de serie over ransomware, zagen we een enorme toename van ransomware aanvallen met de opkomt van Bitcoin alsmede een verandering in focus van de aanvallers. Door betalingen in cryptocurrencies te eisen, kregen aanvallers veel meer mogelijkheden om anoniem te blijven, aangezien de betalingen moeilijker te traceren waren in vergelijking met normale valuta.

Doordat cryptocurrency het gemakkelijker maakte om geld te verdienen met ransomware, was er rond 2016 een toename van het aantal aanvallen, met groepen zoals Locky en Cerber die vooropliepen. Locky werd meestal verspreid door een Word-document als e-mailbijlage te sturen die bij het openen onduidelijke taal bevatte, en het verzoek om macro's in te schakelen om het document te bekijken. Het inschakelen van macro's leidt er in feite toe dat de encryptie Trojan wordt gedownload en uitgevoerd. Deze social engineering-truc werd ook door Cerber gebruikt, waarbij ze ook de implementatiemethode toepasten om Word-documenten met zulke macro's te e-mailen.

In 2016 was er de eerste versie van ransomware-as-a-service (RaaS), waarbij de auteurs achter Cerber effectief toegang verhuurd aan gelieerde ondernemingen in ruil voor een percentage van de ransom. Door het uitzoeken van targets en het infecteren van systemen aan partners over te dragen, kunnen er meer aanvallen worden uitgevoerd met minder werk voor de ransomware-ontwikkelaars.

Ransomware kreeg echte naamsbekendheid bij het publiek in 2017. De WannaCry ransomware aanval in mei 2017 had een wereldwijde impact die zich snel verspreidde via niet-gepatchte of verouderde Microsoft Windows-computers. WannaCry verspreidde zich met behulp van de EternalBlue SMB-exploit. Deze was ontwikkeld door de Amerikaanse National Security Agency en vervolgens gestolen en vrijgegeven door de hackgroep "Shadow Brokers". Ondanks dat Microsoft een maand eerder een kritieke patch had uitgebracht, bleven veel systemen ongepatcht en daardoor kwetsbaar, wat resulteerde in de snelle verspreiding van WannaCry. Zelfs als uit sommige rapporten blijkt dat de slachtoffers het gevraagde Bitcoin-losgeld hadden betaald, is er geen bewijs dat hun bestanden zijn gedecodeerd. Er werd algemeen aangenomen dat er geen mogelijkheid was om bestanden die in de malware waren ingebouwd, effectief te decoderen, wat betekent dat dit bedoeld was als een destructieve uitwisser.

In totaal waren in 150 landen computersystemen geïnfecteerd en de veroorzaakte verliezen wereldwijd waren geschat op 4 miljard.

Na WannaCry volgde in juni 2017 NotPetya waarvan algemeen werd aangenomen dat het een daad van cyberoorlog was door Rusland gericht op Oekraïne. NotPetya spreidde zich uiteindelijk breder uit en vergrendelde de master boot records.

Ondanks dat er een ransom briefje werd weergegeven, was elke poging om het losgeld te betalen zinloos, aangezien het doel van NotPetya puur was om te vernietigen en er geen decodering beschikbaar was. Verschillende vooraanstaande organisaties leden aanzienlijke verliezen, goed voor miljoenen dollars, zoals de Deense rederij Maersk, bezorgbedrijf FedEx, farmaceutisch bedrijf Merck en, wellicht ironisch, het Russische staatsoliebedrijf Rosneft.

Deze veel besproken aanvallen brachten ransomwaregroepen tot het besef dat in plaats van zich alleen op individuele systemen te richten, ze in plaats daarvan ongepatchte kwetsbaarheden konden benutten en lateraal naar andere systemen konden gaan, die wellicht weer gegevens met een hogere waarde bevatten. Dit alles om meer schade te kunnen aanrichtten aan slachtoffers en als gevolg een hogere waarschijnlijkheid van een betaling van losgeld te verzekeren.

Spoel vooruit naar 2020 en ransomware is een gevestigd en zeer lucratief deel van het cybercrime ecosysteem. Er wordt gebruik gemaakt van verbeterde code en encryptie schema’s worden beter geïmplementeerd waardoor pogingen van beveiligingsbedrijven om te proberen de getroffen gegevens te decoderen worden tegengewerkt.

Hoewel er specifieke en bekende ransomwaregroepen zijn die de markt lijken te domineren, betekent het algemeen aanvaarde ransomware-as-a-service-model dat het bijna onmogelijk is om te weten wie de echte actoren achter een aanval zijn.

Er hebben ook aanzienlijke veranderingen plaatsgevonden in de tactieken die door ransomwaregroepen worden gebruikt. Een belangrijk onderdeel hiervan is de verschuiving van de ‘scattergun’ benadering waarbij individuele systemen aan werden vallen, naar een zeer gerichte benadering waarbij organisaties worden uitgekozen op basis van de potentieel hoge waarde die hun gegevens zouden hebben, de zogenaamde "Big Game Hunting".

Misschien wel de grootste evolutie in ransomware-tactieken werd oorspronkelijk ontwikkeld door de Maze-groep tegen het einde van 2019 en is vervolgens op grote schaal. De tactiek ontstond toen de Maze-groep zich realiseerde dat ze in plaats van alleen gegevens en systemen te versleutelen, ook door een netwerk konden bewegen en eventuele waardevolle gegevens konden verzamelen voordat ze op de knop drukten om te versleutelen.

Deze diefstal van gegevens voorzag aanvallers met nog een middel van afpersing, door te dreigen om de gegevens te verkopen of openbaar te maken als het slachtoffer weigerde te betalen. Deze zogenaamde “double extortion” aanval geeft de aanvaller nog meer garantie op betaling, dan wel door de oorspronkelijke ransom-eis, als door de eventueel verkoop van data op het dark web.

Voor een organisatie dat slachtoffer is van ransomware geeft deze tactiek meerdere niveaus van twijfel. Om te beginnen betekent het dat de aanvallers gedurende een langere periode in het netwerk zijn geweest om de vaak gigabytes aan gestolen gegevens te onttrekken. Niemand kan met zekerheid zeggen of de aanvallers geen backdoor hebben geïnstalleerd of inloggegevens hebben gestolen waardoor ze kunnen terugkeren, noch weten ze precies welke gegevens zijn gestolen.

De Maze ransomwaregroep heeft inmiddels aangekondigd dat ze hun activiteiten stopzetten, hoewel algemeen wordt aangenomen dat ze simpelweg zijn vervangen door de nieuwe groep Egregor. Het gebruik van double extortion is inmiddels gebruikelijk bij de meerderheid van ransomware aanvallen.

Veel van de spraakmakende groepen, zoals Egregor, REvil (Sodinokibi) en DoppelPaymer, onderhouden leksites op het dark web of het openbare internet. Deze sites worden gebruikt om aanvallen op organisaties die weigeren het losgeld te betalen openbaar te maken en bevatten vaak een teaser over de gegevens die ze hebben gestolen.

Dit zet organisaties niet alleen onder druk om te betalen, het fungeert ook als een openbaarmaking. Hierdoor is het minder makkelijk voor organisatie om een aanval onder de mat te vegen, maar moet dit in plaats daarvan behandelen als een datalek en voldoen aan regelgeving zoals GDPR met eventuele bijbehorende boetes.