De cybercriminelen achter een onlangs waargenomen Qilin-ransomwareaanval hebben inloggegevens gestolen die zijn opgeslagen in Google Chrome-browsers op een kleine groep gecompromitteerde eindpunten.
Het gebruik van inloggegevensverzameling in verband met een ransomware-infectie is een ongebruikelijke ontwikkeling die verstrekkende gevolgen kan hebben, zo meldde cybersecuritybedrijf Sophos donderdag in een rapport.
De aanval, die in juli 2024 werd gedetecteerd, bestond uit het infiltreren van het doelnetwerk via gecompromitteerde inloggegevens voor een VPN-portal zonder multi-factor-authenticatie (MFA). De kwaadwillende actoren voerden 18 dagen na de eerste toegang post-exploitatieacties uit.
“Zodra de aanvaller de betreffende domeincontroller had bereikt, bewerkten ze het standaarddomeinbeleid om een op aanmelding gebaseerd Group Policy Object (GPO) te introduceren dat twee items bevatte”, aldus onderzoekers Lee Kirkpatrick, Paul Jacobs, Harshal Gosalia en Robert Weiland.
De eerste is een PowerShell-script met de naam “IPScanner.ps1” dat is ontworpen om inloggegevens te verzamelen die zijn opgeslagen in de Chrome-browser. Het tweede item is een batchscript (“logon.bat”) dat contactopdrachten verwerkt om het eerste script uit te voeren.
“De aanvaller heeft deze GPO meer dan drie dagen actief laten zijn op het netwerk”, voegen de onderzoekers toe.
“Dit bood gebruikers ruimschoots de gelegenheid om in te loggen op hun apparaten en, zonder dat ze het wisten, het credential-harvesting-script op hun systemen te activeren. Nogmaals, aangezien dit allemaal werd gedaan met behulp van een logon GPO, zou elke gebruiker deze credential-scarfing ervaren elke keer dat ze inlogden.”
Vervolgens hebben de aanvallers de gestolen inloggegevens buitgemaakt en maatregelen genomen om het bewijs van de activiteit te wissen. Vervolgens hebben ze de bestanden versleuteld en de losgeldbrief in elke map in het systeem geplaatst.
Vanwege de diefstal van inloggegevens die zijn opgeslagen in de Chrome-browser, moeten getroffen gebruikers nu hun gebruikersnaam-wachtwoordcombinatie voor elke site van derden wijzigen.
“Het is te verwachten dat ransomware-groepen hun tactieken blijven veranderen en hun repertoire aan technieken blijven uitbreiden”, aldus de onderzoekers.
“Als zij, of andere aanvallers, ook hebben besloten om te minen naar op eindpunten opgeslagen inloggegevens – wat een voet tussen de deur zou kunnen betekenen bij een volgend doelwit, of een schat aan informatie over waardevolle doelen die op andere manieren kunnen worden uitgebuit – dan zou er een nieuw, duister hoofdstuk kunnen zijn aangebroken in de voortdurende geschiedenis van cybercriminaliteit.”
Steeds veranderende trends in ransomware
De ontwikkeling vindt plaats nu is gebleken dat ransomwaregroepen als Mad Liberator en Mimic respectievelijk ongevraagde AnyDesk-verzoeken gebruiken voor data-exfiltratie en voor initiële toegang gebruikmaken van Microsoft SQL-servers die kwetsbaar zijn voor internet.
Een ander kenmerk van de Mad Liberator-aanvallen is dat de kwaadwillenden misbruik maken van de toegang om een binair bestand genaamd ‘Microsoft Windows Update’ over te dragen en te lanceren. Dit bestand toont een vals Windows Update-welkomstscherm aan het slachtoffer om de indruk te wekken dat er software-updates worden geïnstalleerd, terwijl er tegelijkertijd gegevens worden gestolen.
Het misbruiken van legitieme tools voor externe bureaubladen, in tegenstelling tot op maat gemaakte malware, biedt aanvallers de perfecte vermomming om hun kwaadaardige activiteiten zichtbaar te camoufleren. Zo kunnen ze opgaan in het normale netwerkverkeer en detectie omzeilen.
Ransomware blijft een winstgevende onderneming voor cybercriminelen, ondanks een reeks wetshandhavingsacties, waarbij 2024 het meest winstgevende jaar tot nu toe zal zijn. Het jaar zag ook de grootste ransomware-betaling ooit geregistreerd, ongeveer $ 75 miljoen aan de Dark Angels-ransomwaregroep.
“De gemiddelde losgeldbetaling voor de ernstigste ransomwarevarianten is gestegen van net geen $ 200.000 begin 2023 tot $ 1,5 miljoen medio juni 2024. Dit suggereert dat deze varianten zich vooral richten op grotere bedrijven en aanbieders van kritieke infrastructuur. Deze zijn waarschijnlijk eerder geneigd om hoge losgelden te betalen vanwege hun diepe zakken en systemische belang”, aldus blockchain-analysebedrijf Chainalysis.
Ransomware-slachtoffers hebben naar schatting $ 459,8 miljoen betaald aan cybercriminelen in de eerste helft van het jaar, een stijging ten opzichte van $ 449,1 miljoen jaar op jaar. Het totale aantal ransomware-betalingsgebeurtenissen gemeten on-chain is echter YoY met 27,29% gedaald, wat duidt op een daling van de betalingspercentages.
Bovendien waren Russischtalige cybercriminelen het afgelopen jaar goed voor minstens 69% van alle cryptovaluta-opbrengsten die verband hielden met ransomware. Dit kwam neer op ruim 500 miljoen dollar.
Volgens gegevens die NCC Group deelde, steeg het aantal ransomware-aanvallen dat in juli 2024 werd waargenomen van 331 naar 395 in vergelijking met de maand ervoor, maar daalde het aantal van 502 dat vorig jaar werd geregistreerd. De meest actieve ransomware-families waren RansomHub, LockBit en Akira. De sectoren die het vaakst werden aangevallen, zijn onder meer de industrie, de cyclische consumentensector en hotels en entertainment.
Industriële organisaties zijn een lucratief doelwit voor ransomware-groepen vanwege het bedrijfskritische karakter van hun activiteiten en de grote impact van verstoringen. Hierdoor is de kans groter dat slachtoffers het door de aanvallers geëiste losgeld betalen.
“Criminelen richten zich op de plekken waar ze de meeste pijn en verstoring kunnen veroorzaken, dus het publiek eist snelle oplossingen en hoopt op losgeld om de dienstverlening sneller te kunnen herstellen”, aldus Chester Wisniewski, Global Field Chief Technology Officer bij Sophos.
“Dit maakt nutsbedrijven tot primaire doelwitten voor ransomware-aanvallen. Vanwege de essentiële functies die ze bieden, eist de moderne maatschappij dat ze snel en met minimale verstoring herstellen.”
Ransomware-aanvallen op de sector zijn in Q2 2024 bijna verdubbeld vergeleken met Q1, van 169 naar 312 incidenten, volgens Dragos. Een meerderheid van de aanvallen richtte zich op Noord-Amerika (187), gevolgd door Europa (82), Azië (29) en Zuid-Amerika (6).
“Ransomware-actoren plannen hun aanvallen strategisch, zodat ze samenvallen met drukke vakantieperiodes in bepaalde regio’s. Zo maximaliseren ze de verstoring en zetten ze organisaties onder druk om te betalen”, aldus NCC Group.
Malwarebytes benadrukte in zijn eigen State of Ransomware-rapport uit 2024 drie trends in ransomware-tactieken in het afgelopen jaar, waaronder een piek in aanvallen in het weekend en in de vroege ochtenduren tussen 01.00 en 05.00 uur, en een verkorting van de tijd tussen de eerste toegang en de encryptie.
Een andere opvallende verschuiving is de toegenomen exploitatie van edge-services en de toenemende targeting van kleine en middelgrote bedrijven, aldus WithSecure. De ontmanteling van LockBit en ALPHV (ook bekend als BlackCat) heeft geleid tot een afname van vertrouwen binnen de cybercriminele gemeenschap, waardoor affiliates zich afkeren van grote merken.
Coveware gaf aan dat meer dan 10% van de incidenten die het bedrijf in het tweede kwartaal van 2024 afhandelde, niet gerelateerd waren aan de aanvallers. Dat wil zeggen dat ze ‘werden toegeschreven aan aanvallers die doelbewust onafhankelijk van een specifiek merk opereerden en die we doorgaans ‘lone wolves’ noemen.’
“Doordat cybercriminele fora en marktplaatsen steeds vaker offline worden gehaald, wordt de levensduur van criminele sites verkort. De beheerders van de sites proberen hiermee de aandacht van de wetshandhaving te vermijden”, aldus Europol in een vorige maand gepubliceerde evaluatie.
“Deze onzekerheid, gecombineerd met een toename van exit scams, hebben bijgedragen aan de aanhoudende fragmentatie van criminele marktplaatsen. Recente LE-operaties en het lekken van ransomware-broncodes (bijv. Conti, LockBit en HelloKitty) hebben geleid tot een fragmentatie van actieve ransomware-groepen en beschikbare varianten.”