Door Charlie Osborne voor Zero Day | 5 augustus 2021 — 20:40 GMT (21:40 BST) | Onderwerp: Beveiliging
BLACK HAT VS: Het gebruik van dubbele afpersingsaanvallen tegen bedrijven in ransomware-campagnes is een stijgende trend in de ruimte, waarschuwen onderzoekers.
Ransomware-varianten zijn meestal programma's die tot doel hebben te voorkomen dat gebruikers toegang krijgen tot systemen en gegevens die zijn opgeslagen op geïnfecteerde apparaten of netwerken. Nadat slachtoffers zijn buitengesloten, worden bestanden en schijven vaak versleuteld – en in sommige gevallen ook back-ups – om een betaling van de gebruiker af te dwingen.
Tegenwoordig zijn bekende ransomware-families WannaCry, Cryptolocker, NotPetya, Gandcrab en Locky.
Ransomware lijkt nu maandelijks de krantenkoppen te halen. Onlangs hebben de zaken van Colonial Pipeline en Kaseya duidelijk gemaakt hoe ontwrichtend een succesvolle aanval kan zijn voor zowel een bedrijf als zijn klanten – en volgens Cisco Talos zal het in de toekomst waarschijnlijk alleen maar erger worden.
In 1989 werd de aids-trojan — misschien wel een van de vroegste vormen van ransomware — via diskettes verspreid. Nu worden geautomatiseerde tools gebruikt om op internet gerichte systemen brute-forcen te forceren en ransomware te laden; ransomware wordt ingezet bij aanvallen in de toeleveringsketen, en cryptocurrencies stellen criminelen in staat om gemakkelijker chantagebetalingen te beveiligen zonder een betrouwbaar papieren spoor.
Als een wereldwijd probleem en een probleem waar wetshandhavers mee worstelen, is de kans kleiner dat ransomware-operators worden opgepakt dan bij meer traditionele vormen van misdaad – en als big business gaan deze cybercriminelen nu achter grote bedrijven aan in de zoektocht naar hoogst mogelijke financiële winst.
Bij Black Hat USA zei Edmund Brumaghin, onderzoeksingenieur bij Cisco Secure, dat de zogenaamde trend van “big game hunting” de tactieken die worden gebruikt door ransomware-operators verder heeft ontwikkeld.
Nu de jacht op groot wild “mainstream” is geworden, zegt Brumaghin dat cyberaanvallers ransomware niet onmiddellijk op een doelsysteem inzetten. In plaats daarvan, zoals in het voorbeeld van typische SamSam-aanvallen, zullen dreigingsactoren nu vaker een eerste toegangspunt verkrijgen via een eindpunt en vervolgens zijwaarts over een netwerk bewegen, draaiend om toegang te krijgen tot zoveel mogelijk systemen.