De Amerikaanse Federal Bureau of Investigation (FBI) maakte maandag bekend dat de online infrastructuur van een opkomende ransomwaregroep genaamd Dispossessor (ook bekend als Radar) is verstoord.
De inspanning zag de ontmanteling van drie Amerikaanse servers, drie Britse servers, 18 Duitse servers, acht Amerikaanse criminele domeinen en één Duits crimineel domein. Dispossessor zou worden geleid door individu(en) die online bekend staan onder de naam “Brain.”
“Sinds de oprichting in augustus 2023 heeft Radar/Dispossessor zich snel ontwikkeld tot een internationaal impactvolle ransomwaregroep die zich richt op en aanvallen uitvoert op kleine tot middelgrote bedrijven en organisaties uit de sectoren productie, ontwikkeling, onderwijs, gezondheidszorg, financiële dienstverlening en transport”, aldus de FBI in een verklaring.
Er zijn maar liefst 43 bedrijven geïdentificeerd als slachtoffer van Dispossessor-aanvallen, waaronder bedrijven in Argentinië, Australië, België, Brazilië, Canada, Kroatië, Duitsland, Honduras, India, Peru, Polen, de VAE, het Verenigd Koninkrijk en de VS.
Dispossessor dook voor het eerst op in augustus 2023 als een ransomware-as-a-service (RaaS) groep die hetzelfde dual-extortion model volgde dat door andere e-crime bendes werd gepionierd. Zulke aanvallen werken door het exfiltreren van slachtoffergegevens om losgeld te eisen, naast het versleutelen van hun systemen. Gebruikers die weigeren te schikken, worden bedreigd met blootstelling van gegevens.
Er is waargenomen dat de aanvalsketens die door de cybercriminelen worden opgezet, systemen met beveiligingslekken of zwakke wachtwoorden gebruiken als toegangspunt om doelwitten binnen te dringen en zo hogere toegangsrechten te verkrijgen om hun gegevens achter encryptiebarrières te vergrendelen.
“Als het bedrijf eenmaal was aangevallen, namen ze geen contact op met de criminele partij. De groep nam vervolgens proactief contact op met anderen binnen het bedrijf, via e-mail of telefoon”, aldus de FBI.
“De e-mails bevatten ook links naar videoplatforms waarop de eerder gestolen bestanden waren gepresenteerd. Dit was altijd met als doel de chantagedruk te verhogen en de bereidheid om te betalen te vergroten.”
Uit eerdere berichten van cybersecuritybedrijf SentinelOne bleek dat de Dispossessor-groep reeds gelekte gegevens te koop aanbood. Het bedrijf voegde daaraan toe dat het “blijkbaar gegevens opnieuw publiceert die eerder aan andere activiteiten waren gekoppeld, zoals Cl0p, Hunters International en 8Base.”
De frequentie waarmee dergelijke verwijderingen plaatsvinden, is opnieuw een indicatie dat rechtshandhavingsinstanties over de hele wereld hun inspanningen opvoeren om de aanhoudende ransomware-dreiging te bestrijden. Tegelijkertijd zoeken de kwaadwillenden naar manieren om te innoveren en te floreren in het voortdurend veranderende landschap.
Dit omvat een toename van aanvallen die worden uitgevoerd via contractanten en dienstverleners. Dit onderstreept hoe cybercriminelen vertrouwde relaties als wapen gebruiken om hun voordeel mee te doen. “Deze aanpak maakt grootschalige aanvallen mogelijk met minder moeite, en blijft vaak onopgemerkt totdat er datalekken of versleutelde gegevens worden ontdekt.”
Uit gegevens van Palo Alto Networks Unit 42 van leksites blijkt dat de sectoren die in de eerste helft van 2024 het zwaarst door ransomware werden getroffen, de productiesector (16,4%), de gezondheidszorg (9,6%) en de bouwsector (9,4%) waren.
Tot de landen die in deze periode het vaakst het doelwit waren, behoorden de VS, Canada, het VK, Duitsland, Italië, Frankrijk, Spanje, Brazilië, Australië en België.
“Nieuw onthulde kwetsbaarheden zorgden voornamelijk voor ransomware-activiteit, omdat aanvallers deze kansen snel wilden benutten”, aldus het bedrijf. “Dreigende actoren richten zich regelmatig op kwetsbaarheden om toegang te krijgen tot de netwerken van slachtoffers, privileges te verhogen en zich lateraal te verplaatsen in omgevingen waar inbreuk is gepleegd.”
Een opvallende trend is de opkomst van nieuwe (of vernieuwde) ransomwaregroepen, die goed waren voor 21 van de in totaal 68 unieke groepen die afpersingspogingen postten, en de toenemende aandacht voor kleinere organisaties, aldus Rapid7.
“Hiervoor kunnen meerdere redenen zijn, waarvan de belangrijkste is dat deze kleinere organisaties veel van dezelfde gegevens bevatten waar dreigingsactoren op uit zijn, maar dat ze vaak minder geavanceerde beveiligingsmaatregelen hebben getroffen”, aldus het rapport.
Een ander belangrijk aspect is de professionalisering van de RaaS-bedrijfsmodellen. Ransomwaregroepen zijn niet alleen geavanceerder, ze schalen hun activiteiten ook steeds meer op, zodat ze lijken op legitieme zakelijke ondernemingen.
“Ze hebben hun eigen marktplaatsen, verkopen hun eigen producten en in sommige gevallen hebben ze 24/7 support”, benadrukte Rapid7. “Ze lijken ook een ecosysteem van samenwerking en consolidatie te creëren in de soorten ransomware die ze inzetten.”