Ransomware-aanvallen zijn een belangrijke en alomtegenwoordige bedreiging geworden in het steeds evoluerende domein van cyberbeveiliging. Onder de verschillende varianten van ransomware is Ransomware-as-a-Service (RaaS) een trend die steeds meer bekendheid heeft gekregen. Deze alarmerende ontwikkeling heeft het landschap van cybercriminaliteit getransformeerd, waardoor individuen met beperkte technische expertise verwoestende aanvallen kunnen uitvoeren.
Traditionele ransomware-aanvallen met dubbele afpersing
Traditioneel verwijst ransomware naar een type malware dat de bestanden van het slachtoffer versleutelt, waardoor de toegang tot gegevens en applicaties effectief wordt geblokkeerd totdat er losgeld aan de aanvaller wordt betaald. Modernere aanvallers hanteren echter vaak een aanvullende strategie. De slechte actoren maken kopieën van de gecompromitteerde gegevens en maken gebruik van de dreiging om gevoelige informatie online te publiceren, tenzij aan hun eisen voor losgeld wordt voldaan. Deze dubbele aanpak voegt een extra laag van complexiteit en potentiële schade voor de slachtoffers toe.
Een nieuw model voor ransomware
RaaS is het nieuwste bedrijfsmodel in de wereld van ransomware. Net als bij andere ‘as-a-service’-aanbiedingen kunnen onervaren hackers nu profiteren van on-demand tools voor kwaadaardige activiteiten. In plaats van hun eigen ransomware te creëren en in te zetten, krijgen ze de mogelijkheid om een vergoeding te betalen, een doelwit te selecteren en een aanval uit te voeren met behulp van gespecialiseerde tools van een serviceprovider.
Dit model vermindert aanzienlijk de tijd en kosten die nodig zijn om een ransomware-aanval uit te voeren, vooral bij het identificeren van nieuwe doelen. Uit een recent onderzoek is zelfs gebleken dat het gemiddelde tijdsbestek tussen een ransomware-aanvaller die een netwerk binnendringt en bestanden versleutelt, voor het eerst onder de 24 uur is gedaald.
Het RaaS-model bevordert ook schaalvoordelen, omdat dienstverleners gemotiveerd zijn om nieuwe soorten te ontwikkelen die de veiligheidsverdediging kunnen omzeilen. Broja Rodriguez, teamleider Threat Hunting bij Outpost24, benadrukt dat het hebben van meerdere klanten ransomware-makers daadwerkelijk helpt bij het op de markt brengen van hun tools.
“[The customers] een specifiek genoemde ransomware verspreiden over talloze machines, waardoor een gevoel van urgentie ontstaat voor de slachtoffers om te betalen. Wanneer slachtoffers de ransomware onderzoeken en er meerdere rapporten over vinden, zijn ze eerder geneigd aan de losgeldeisen te voldoen. Het lijkt op een merkstrategie in de criminele wereld.”
Het klantenbestand betekent ook dat de makers van ransomware meer gedetailleerde feedback kunnen krijgen over welke technieken het beste werken in verschillende scenario’s. Ze krijgen realtime informatie over hoe goed cyberbeveiligingstools zich aanpassen aan nieuwe spanningen, en waar kwetsbaarheden nog niet zijn gedicht.
Het bedrijfsmodel van RaaS
Ondanks het illegale karakter ervan, werkt RaaS op dezelfde manier als legitieme bedrijven. Klanten, gewoonlijk ‘gelieerde ondernemingen’ genoemd, hebben verschillende betalingsopties, waaronder vaste kosten, abonnementen of een percentage van de omzet. In sommige gevallen bieden aanbieders zelfs aan om het proces voor het verzamelen van losgeld te beheren, waarbij doorgaans gebruik wordt gemaakt van niet-traceerbare cryptocurrencies, die effectief dienen als betalingsverwerkers.
Het is ook een zeer competitieve markt, met feedback van gebruikers op ‘dark web’-forums. Zoals Broja Rodriguez uitlegt, zijn klanten niet loyaal en verhoogt de concurrentie de kwaliteit (wat slecht nieuws is voor de slachtoffers). Als een service teleurstelt:
“[Customers] zal niet aarzelen om het eens te proberen bij een andere RaaS-groep. Het hebben van meerdere banden verruimt hun mogelijkheden en vergroot hun kansen om te profiteren van hun cybercriminele activiteiten. Omdat alle aangesloten bedrijven op zoek zijn naar de beste groep, kan de concurrentiepositie tussen RaaS-groepen toenemen. Als uw malware niet op een slachtoffer wordt uitgevoerd, kan dit ervoor zorgen dat u partners kwijtraakt, en zij zullen overstappen naar andere groepen met meer naamsbekendheid, of in ieder geval naar groepen waar hun malware wel wordt uitgevoerd.”
Verdedigen tegen RaaS
Er zijn talloze aanbevelingen voor de verdediging tegen ransomware die het belang van bedrijfscontinuïteit benadrukken. Deze omvatten het onderhouden van betrouwbare back-ups en het implementeren van effectieve noodherstelplannen om de impact van een succesvolle aanval te minimaliseren. Hoewel deze maatregelen ongetwijfeld waardevol zijn, is het van cruciaal belang op te merken dat ze niet direct het risico van gegevensblootstelling aanpakken.
Om ransomware-aanvallen effectief te beperken, is het van cruciaal belang om beveiligingskwetsbaarheden proactief te identificeren en aan te pakken. Door gebruik te maken van penetratietesten en red teaming-methodologieën kunt u uw verdediging aanzienlijk verbeteren. Voor een continue en alomvattende aanpak, vooral voor dynamische aanvalsoppervlakken zoals webapplicaties, wordt een samenwerking met een pentesting as a service (PTaaS)-provider ten zeerste aanbevolen. De PTaaS van Outpost24 biedt realtime inzichten, continue monitoring en deskundige validatie, waardoor de veiligheid van uw webapplicaties op schaal wordt gegarandeerd.
Informatie is van cruciaal belang in de strijd tegen ransomware, en Cyber Threat Intelligence speelt een cruciale rol. Het Threat Compass van Outpost24 biedt een modulaire aanpak, waardoor de detectie en analyse van bedreigingen op maat van de infrastructuur van uw organisatie mogelijk wordt. Met toegang tot actuele dreigingsinformatie en bruikbare context kan uw beveiligingsteam snel en effectief reageren, waardoor uw verdediging tegen ransomware-aanvallen wordt versterkt.
het komt neer op
Ransomware-aanvallen zijn steeds geavanceerder geworden, wat heeft geresulteerd in krachtigere, doelgerichtere en flexibelere bedreigingen. Om zich effectief te kunnen verdedigen tegen deze evoluerende dreiging, is het van cruciaal belang om gerichte hulpmiddelen te gebruiken die worden gevoed door de nieuwste inzichten. Neem contact op met Outpost24 om u te helpen bij het nemen van de nodige stappen om de veiligheid van uw organisatie te waarborgen.
