Ransomwaregroepen schakelen bij hun aanvallen steeds vaker over op encryptie op afstand, wat een nieuwe escalatie markeert in de tactieken die door financieel gemotiveerde actoren worden toegepast om het succes van hun campagnes te garanderen.
“Bedrijven kunnen duizenden computers op hun netwerk hebben aangesloten, en met ransomware op afstand is er maar één onderbeveiligd apparaat nodig om het hele netwerk in gevaar te brengen”, zegt Mark Loman, vice-president van bedreigingsonderzoek bij Sophos.
“Aanvallers weten dit, dus gaan ze op zoek naar die ene ‘zwakke plek’ – en de meeste bedrijven hebben er minstens één. Encryptie op afstand zal een eeuwig probleem blijven voor verdedigers.”
Versleuteling op afstand (ook wel externe ransomware genoemd), zoals de naam al aangeeft, vindt plaats wanneer een gecompromitteerd eindpunt wordt gebruikt om gegevens op andere apparaten in hetzelfde netwerk te versleutelen.
In oktober 2023 onthulde Microsoft dat bij ongeveer 60% van de ransomware-aanvallen nu sprake is van kwaadwillige encryptie op afstand in een poging de footprint ervan te minimaliseren, waarbij meer dan 80% van alle aanvallen afkomstig is van onbeheerde apparaten.
“Ransomwarefamilies waarvan bekend is dat ze versleuteling op afstand ondersteunen, zijn onder meer Akira, ALPHV/BlackCat, BlackMatter, LockBit en Royal, en het is een techniek die al een tijdje bestaat – al in 2013 richtte CryptoLocker zich op netwerkshares”, aldus Sophos.
Een belangrijk voordeel van deze aanpak is dat procesgebaseerde herstelmaatregelen niet effectief zijn en dat de beheerde machines de kwaadaardige activiteit niet kunnen detecteren, omdat deze alleen aanwezig is op een onbeheerd apparaat.
De ontwikkeling vindt plaats te midden van bredere verschuivingen in het ransomware-landschap, waarbij de bedreigingsactoren atypische programmeertalen adopteren, zich buiten Windows-systemen richten, gestolen gegevens veilen en aanvallen lanceren buiten kantooruren en in het weekend om detectie- en incidentresponsinspanningen te dwarsbomen.
Sophos benadrukte in een vorige week gepubliceerd rapport de ‘symbiotische – maar vaak ongemakkelijke – relatie’ tussen ransomwarebendes en de media, als een manier om niet alleen de aandacht te trekken, maar ook om het verhaal onder controle te houden en te betwisten wat zij beschouwen als onnauwkeurige berichtgeving. .
Dit strekt zich ook uit tot het publiceren van veelgestelde vragen en persberichten op hun dataleksites, inclusief directe citaten van de operators, en het corrigeren van fouten gemaakt door journalisten. Een andere tactiek is het gebruik van pakkende namen en gelikte graphics, wat wijst op een evolutie in de professionalisering van cybercriminaliteit.
“De RansomHouse-groep heeft bijvoorbeeld een bericht op haar leksite specifiek gericht op journalisten, waarin zij aanbiedt informatie te delen op een ‘PR Telegram-kanaal’ voordat deze officieel wordt gepubliceerd”, aldus Sophos.
Hoewel ransomwaregroepen als Conti en Pysa erom bekend staan een organisatorische hiërarchie aan te nemen die bestaat uit senior executives, systeembeheerders, ontwikkelaars, recruiters, HR en juridische teams, zijn er aanwijzingen dat sommigen op criminele fora reclame hebben gemaakt voor mogelijkheden voor Engelse schrijvers en sprekers.
“Media-engagement biedt ransomware-bendes zowel tactische als strategische voordelen; het stelt hen in staat druk uit te oefenen op hun slachtoffers, terwijl ze tegelijkertijd het verhaal vorm kunnen geven, hun eigen bekendheid en ego kunnen opblazen en zichzelf verder kunnen ‘mythologiseren’”, aldus het bedrijf. .
