De ransomware-industrie groeide in 2023 met een alarmerende stijging van 55,5% in het aantal slachtoffers wereldwijd, tot een duizelingwekkend aantal van 4.368 gevallen.
De achtbaanrit van explosieve groei in 2021 naar een tijdelijke dip in 2022 was slechts een voorproefje: 2023 brulde terug met dezelfde hartstocht als 2021, stuwde bestaande groepen voort en luidde een golf van formidabele nieuwkomers in.
LockBit 3.0 behield zijn nummer één plek met 1047 slachtoffers door de Boeing-aanval, de Royal Mail Attack en meer. Alphv en Cl0p boekten veel minder succes: in 2023 werden respectievelijk 445 en 384 slachtoffers aan hen toegeschreven.
Deze drie groepen leverden een grote bijdrage aan de hausse aan ransomware-aanvallen in 2023, maar waren niet de enige groepen die verantwoordelijk waren. Veel aanvallen kwamen van opkomende ransomwarebendes zoals 8Base, Rhysida, 3AM, Malaslocker, BianLian, Play, Akira en anderen.
Nieuwkomers in de ransomware-industrie
Bij Cyberint doet het onderzoeksteam voortdurend onderzoek naar de nieuwste ransomwaregroepen en analyseert deze op potentiële impact. Deze blog gaat in op drie nieuwe spelers in de branche, onderzoekt hun impact in 2023 en duikt in hun TTP’s.
Download hier het Ransomwarerapport 2023 voor meer informatie over andere nieuwe spelers.
3AM-ransomware
Er is een nieuw ontdekte ransomwaresoort met de naam 3AM opgedoken, maar het gebruik ervan is tot nu toe beperkt. In 2023 zijn ze er slechts in geslaagd een impact te hebben op 20+ organisaties (voornamelijk in de VS). Ze krijgen echter bekendheid doordat een ransomware-filiaal die LockBit probeerde te implementeren op het netwerk van een doelwit, overschakelde naar 3 uur ’s ochtends toen LockBit werd geblokkeerd.
Er verschijnen regelmatig nieuwe ransomware-families, en de meeste verdwijnen net zo snel of slagen er nooit in om aanzienlijke grip te krijgen. Het feit dat 3AM als fallback werd gebruikt door een aan LockBit gelieerde onderneming suggereert echter dat het interessant kan zijn voor aanvallers en in de toekomst opnieuw kan worden gezien.
Interessant is dat 3AM is gecodeerd in Rust en een geheel nieuwe malwarefamilie lijkt te zijn. Het volgt een specifieke volgorde: het probeert meerdere services op de aangetaste computer te stoppen voordat het bestandscoderingsproces wordt gestart. Nadat de codering is voltooid, probeert het Volume Shadow-kopieën (VSS) te wissen. Eventuele mogelijke banden tussen de auteurs en bekende cybercriminaliteitsorganisaties blijven onduidelijk.
De verdachte activiteiten van de bedreigingsacteur begonnen met het gebruik van de opdracht gpresult om beleidsinstellingen te extraheren die op de computer voor een specifieke gebruiker waren afgedwongen. Vervolgens voerden ze verschillende componenten van Cobalt Strike uit en deden ze pogingen om de privileges op de computer te verhogen met behulp van PsExec.
Hierna voerden de aanvallers verkenningen uit via opdrachten als whoami, netstat, quser en net share. Ze probeerden ook andere servers te identificeren voor laterale verplaatsing met behulp van de opdrachten quser en net view. Bovendien maakten ze een nieuw gebruikersaccount aan om de persistentie te behouden en gebruikten ze de Wput-tool om de bestanden van de slachtoffers naar hun FTP-server over te brengen.
Het gebruik van het Yugeon Web Clicks-script uit 2004 kan op het eerste gezicht verwarrend lijken. Het roept vragen op over waarom een opkomende ransomwaregroep voor dergelijke verouderde technologie zou kiezen. Er zijn echter verschillende mogelijke redenen voor deze keuze, waaronder:
- onduidelijkheid: Oudere scripts en technologieën worden mogelijk niet zo algemeen herkend door moderne beveiligingstools, waardoor de kans op detectie kleiner wordt.
- Eenvoud: Oudere scripts bieden mogelijk eenvoudige functionaliteit zonder de complexiteit die vaak gepaard gaat met moderne tegenhangers, waardoor implementatie en beheer eenvoudiger worden.
- Overmoed: De groep heeft mogelijk een hoog niveau van vertrouwen in hun capaciteiten en ziet misschien niet de noodzaak in om te investeren in meer geavanceerde technologie, met name voor hun website.
Het is essentieel op te merken dat deze keuze de groep blootstelt aan bepaalde risico’s. Het gebruik van verouderde technologie met bekende kwetsbaarheden kan hun activiteiten kwetsbaar maken voor externe aanvallen, tegenmaatregelen of mogelijke sabotage door andere bedreigingsactoren.
De keuze van de 3AM-ransomwaregroep om een verouderd PHP-script te gebruiken is een bewijs van de onvoorspelbare aard van cybercriminelen. Ondanks dat ze geavanceerde ransomware-varianten gebruiken om organisaties te targeten, kan hun selectie van backend-technologieën worden beïnvloed door een combinatie van strategische overwegingen, gemak en overmoed. Het onderstreept het belang voor organisaties om waakzaam te blijven en een holistische veiligheidsaanpak te hanteren, waarbij wordt erkend dat bedreigingen kunnen voortkomen uit zowel de modernste als verouderde technologieën.
Bekende TTP’s
| Hulpmiddelen | Tactiek |
| Ontwikkeling van hulpbronnen | T1650 – Toegang verkrijgen |
| Verzameling | T1560 – Verzamelde gegevens archiveren |
| Invloed | T1565.001 – Manipulatie van opgeslagen gegevens |
| Verzameling | T1532 – Verzamelde gegevens archiveren |
| Verzameling | T1005 – Gegevens van lokaal systeem |
Rhysida-ransomware
De Rhysida-ransomwaregroep kwam in mei/juni 2023 in de schijnwerpers toen ze een chatportaal voor slachtofferhulp lanceerden dat toegankelijk was via hun TOR-site (.onion). Ze beweren een ‘cyberbeveiligingsteam’ te zijn dat in het belang van hun slachtoffers handelt, hun systemen aanvalt en kwetsbaarheden benadrukt.
In juni trok Rhysida de aandacht nadat ze gestolen Chileense Arm-documenten publiekelijk openbaar had gemaakt vanaf hun dataleksite. De groep heeft sindsdien bekendheid verworven door hun aanvallen op zorginstellingen, waaronder Prospect Medical Holdings, waardoor overheidsinstanties en cyberbeveiligingsbedrijven hen op de voet volgen. Ze hebben zich gericht op verschillende spraakmakende entiteiten, waaronder de British Library, waar ze een grote technologiestoring veroorzaakten en gestolen PII online verkochten, en Insomniac Games, een ontwikkelaar van videogames die eigendom is van Sony. Ze hebben een groot bereik in diverse sectoren aangetoond.
Bekende TTP’s
| Hulpmiddelen | Tactiek |
| Privilege escalatie | T1055.003 – Hijacking van threaduitvoering |
| Privilege escalatie | T1547.001 – Registerrunsleutels / Opstartmap |
| Privilege escalatie | T1055 – Procesinjectie |
| Privilege escalatie | T1548.002 – Gebruikersaccountbeheer omzeilen |
| Ontduiking van defensie | T1036 – Maskerade |
| Ontduiking van defensie | T1027.005 – Indicator verwijderen uit gereedschap |
| Ontduiking van defensie | T1027 – Verduisterde bestanden of informatie |
| Ontduiking van defensie | T1620 – Reflecterende code laden |
| Ontduiking van defensie | T1564.004 – NTFS-bestandskenmerken |
| Ontduiking van defensie | T1497-Virtualisatie/Sandbox-ontduiking |
| Ontduiking van defensie | T1564 – Artefacten verbergen |
| Ontdekking | T1083 – Bestands- en directorydetectie |
| Ontdekking | T1010 – Ontdekking van toepassingsvenster |
| Ontdekking | T1082 – Ontdekking van systeeminformatie |
| Ontdekking | T1057 – Procesdetectie |
| Ontdekking | T1518.001 – Ontdekking van beveiligingssoftware |
| Initiële toegang | T1566-Phishing |
| Verzameling | T1005 – Gegevens van lokaal systeem |
| Verzameling | T1119 – Geautomatiseerde verzameling |
| Ontwikkeling van hulpbronnen | T1587 – Ontwikkelmogelijkheden |
| Ontwikkeling van hulpbronnen | T1583-Infrastructuur verwerven |
| Executie | T1129 – Gedeelde modules |
| Executie | T1059 – Commando- en scriptvertaler |
| Verkenning | T1595- Actief scannen |
| Verkenning | T1598-Phishing naar informatie |
De Akira-groep
De Akira Group werd in maart 2023 ontdekt en heeft tot nu toe 81 slachtoffers geëist. Voorlopig onderzoek suggereert een sterke band tussen de groep en de beruchte ransomwaregroep Conti. Het lekken van de broncode van Conti heeft ertoe geleid dat meerdere bedreigingsactoren de code van Conti hebben gebruikt om hun eigen code te construeren of aan te passen, waardoor het een uitdaging is om te bepalen welke groepen banden hebben met Conti en welke alleen maar gebruik maken van de gelekte code.
Akira geeft echter wel bepaalde veelbetekenende aanwijzingen die wijzen op een verband met Conti, variërend van overeenkomsten in hun aanpak tot het negeren van dezelfde bestandstypen en mappen, evenals de integratie van vergelijkbare functies. Bovendien gebruikt Akira het ChaCha-algoritme voor bestandsversleuteling, geïmplementeerd op een manier die lijkt op de Conti-ransomware. Ten slotte stuurden de personen achter de Akira-ransomware volledige losgeldbetalingen naar adressen die verband hielden met de Conti-groep.
Akira biedt ransomware-as-a-service aan, die zowel Windows- als Linux-systemen treft. Ze gebruiken hun officiële DLS (dataleksite) om informatie over hun slachtoffers en updates over hun activiteiten te publiceren. De dreigingsactoren concentreren zich primair op de VS, hoewel ze zich ook richten op Groot-Brittannië, Australië en andere landen.
Ze exfiltreren en versleutelen gegevens om slachtoffers te dwingen een dubbel losgeld te betalen, zowel om weer toegang te krijgen als om hun bestanden te herstellen. In bijna alle gevallen van inbraak heeft Akira misbruik gemaakt van gecompromitteerde inloggegevens om voet aan de grond te krijgen in de omgeving van het slachtoffer. Interessant genoeg hadden de meeste beoogde organisaties nagelaten multi-factor authenticatie (MFA) voor hun VPN’s te implementeren. Hoewel de exacte oorsprong van deze gecompromitteerde inloggegevens onzeker blijft, bestaat de mogelijkheid dat de dreigingsactoren toegang of inloggegevens van het dark web hebben verkregen.
Bekende TTP’s
| Hulpmiddelen | Tactiek |
| Exfiltratie | T1567 – Exfiltratie via webservice |
| Initiële toegang | T1566.001 – Spearphishing-hulpstuk |
| Exfiltratie | T1041 – Exfiltratie via C2-kanaal |
| Exfiltratie | T1537 – Gegevens overbrengen naar cloudaccount |
| Verzameling | T1114.001 – Lokale e-mailverzameling |
| Invloed | T1486 – Gegevens gecodeerd voor impact |
| Initiële toegang | T1566.002 – Spearphishing-link |
| Executie | T1059.001 – PowerShell |
| Executie | T1569.002 – Uitvoering van service |
| Ontdekking | T1016.001 – Ontdekking van de internetverbinding |
| Initiële toegang | T1078 – Geldige accounts |
| Privilege escalatie | T1078 – Geldige accounts |
| Ontduiking van defensie | T1078 – Geldige accounts |
| Vasthoudendheid | T1078 – Geldige accounts |
| Privilege escalatie | T1547.009 – Wijziging snelkoppeling |
| Vasthoudendheid | T1547.009 – Wijziging snelkoppeling |
| Initiële toegang | T1190 – Publieke applicatie exploiteren |
| Ontduiking van defensie | T1027.001 – Binaire opvulling |
| Exfiltratie | T1029 – Geplande overdracht |
| Executie | T1059.003 – Windows-opdrachtshell |
| Initiële toegang | T1195 – Compromis van de toeleveringsketen |
| Ontduiking van defensie | T1036.005 – Match legitieme naam of locatie |
| Privilege escalatie | T1547.001 – Registerrunsleutels / Opstartmap |
| Vasthoudendheid | T1547.001 – Registerrunsleutels / Opstartmap |
| Exfiltratie | T1020 – Geautomatiseerde exfiltratie |
De ransomware-industrie groeit en trekt nieuwe en gedurfde groepen aan die naam willen maken door hoogwaardige ransomware-diensten en -tools te ontwikkelen. In 2024 verwacht Cyberint dat verschillende van deze nieuwere groepen hun capaciteiten zullen vergroten en zich zullen ontwikkelen tot dominante spelers in de industrie naast ervaren groepen als LockBit 3.0, Cl0p en AlphV.
Lees het 2023 Ransomware Report van Cyberint voor de belangrijkste doelgroepen en landen, een overzicht van de drie grootste ransomwaregroepen, opmerkelijke ransomwarefamilies, nieuwkomers in de sector, opvallende campagnes voor 2023 en voorspellingen voor 2024.
