Waarom ransomware een groot cyberbeveiligingsprobleem is en wat er moet gebeuren om het te stoppen Bekijk nu
De plotselinge verdwijning van een van de meest productieve ransomware-services heeft criminelen gedwongen om over te schakelen naar andere vormen van ransomware, en met name één heeft een grote groei in populariteit gezien.
De REvil – ook bekend als Sodinokibi – ransomware-bende werd in juli donker, kort nadat ze merkten dat ze de aandacht van het Witte Huis hadden getrokken na de massale ransomware-aanval, die 1500 organisaties over de hele wereld trof.
Het is nog steeds onzeker of REvil voorgoed is gestopt of dat ze onder een andere merknaam zullen terugkeren – maar gelieerde ondernemingen van het ransomware-schema wachten niet om erachter te komen; ze schakelen over op het gebruik van andere merken ransomware en, volgens analyse door cybersecurity-onderzoekers van Symantec, is LockBit ransomware het favoriete wapen geworden.
ZIE: Een winnende strategie voor cyberbeveiliging (ZDNet speciaal rapport)
LockBit verscheen voor het eerst in september 2019 en degenen erachter voegden in januari 2020 een ransomware-as-a-service-schema toe, waardoor cybercriminelen LockBit kunnen verhuren om ransomware-aanvallen uit te voeren – in ruil voor een verlaging van de winst.
< p>LockBit is niet zo bekend als sommige andere vormen van ransomware, maar degenen die het gebruiken verdienen geld voor zichzelf met losgeld dat is betaald in Bitcoin.
Nu heeft de schijnbare verdwijning van REvil geleid tot een toename van cybercriminelen die zich tot LockBit wenden om ransomware-aanvallen uit te voeren – geholpen door de auteurs van LockBit die moeite hebben gedaan om een bijgewerkte versie aan te bieden.
“LockBit heeft de afgelopen weken agressief geadverteerd voor nieuwe filialen. Ten tweede beweren ze een nieuwe versie van hun payload te hebben met veel hogere coderingssnelheden. Voor een aanvaller geldt: hoe sneller je computers kunt coderen voordat je aanval wordt ontdekt, hoe meer schade jij zal veroorzaken,” vertelde Dick O'Brien, senior research editor bij Symantec, aan ZDNet.
Onderzoekers merken op dat veel van degenen die nu LockBit gebruiken dezelfde tactieken, tools en procedures gebruiken die ze eerder gebruikten bij pogingen om REvil aan slachtoffers te leveren – ze hebben zojuist de payload veranderd.
Deze methoden omvatten het misbruiken van niet-gepatchte firewall- en VPN-kwetsbaarheden of brute force-aanvallen op Remote Desktop Protocol (RPD)-services die blootgesteld zijn aan internet, evenals het gebruik van tools zoals Mimikatz en Netscan om de toegang tot stand te brengen. naar het netwerk dat nodig is om ransomware te installeren.
En net als andere ransomware-groepen gebruiken LockBit-aanvallers ook dubbele afpersingsaanvallen, waarbij ze gegevens van het slachtoffer stelen en dreigen deze te publiceren als er geen losgeld wordt betaald.
Hoewel het tot nu toe enigszins onder de radar is gevlogen, hebben aanvallers die LockBit gebruikten het ingezet in een poging tot ransomware-aanval op Accenture.
LockBit heeft ook de aandacht getrokken van de nationale veiligheidsdiensten; het Australian Cyber Security Center (ACSC) heeft deze week een waarschuwing uitgebracht over LockBit 2.0, waarin wordt gewaarschuwd voor een toename van aanvallen.
ZIE: Deze nieuwe phishing-aanval is 'sneaker dan normaal', waarschuwt Microsoft
Ransomware vormt een bedreiging voor organisaties, ongeacht het merk dat wordt gebruikt. Alleen omdat een spraakmakende groep schijnbaar is verdwenen – voorlopig – betekent dit niet dat ransomware een minder grote bedreiging vormt.
“We beschouwen LockBit als een vergelijkbare bedreiging. Het is niet alleen de ransomware zelf, het is de vaardigheid van de aanvallers die het inzetten. In beide gevallen zijn de aanvallers achter de bedreigingen behoorlijk bedreven”, zegt O'Brien.
“Op korte termijn verwachten we dat Lockbit een van de meest gebruikte ransomware-families blijft bij gerichte aanvallen. De vooruitzichten voor de langere termijn hangen af van de vraag of enkele van de recent vertrokken ransomware-ontwikkelaars – zoals als REvil en Darkside terugkeren”, voegde hij eraan toe.
Om te voorkomen dat ze het slachtoffer worden van ransomware-aanvallen, moeten organisaties ervoor zorgen dat software en services up-to-date zijn met de nieuwste patches, zodat cybercriminelen bekende kwetsbaarheden niet kunnen misbruiken om toegang te krijgen tot netwerken. Het wordt ook aanbevolen om multi-factor authenticatie toe te passen op alle gebruikersaccounts, om te voorkomen dat aanvallers gemakkelijk gelekte of gestolen wachtwoorden kunnen gebruiken.
Organisaties moeten ook regelmatig een back-up van het netwerk maken, zodat in het geval dat ze het slachtoffer worden van een ransomware-aanval, het netwerk kan worden hersteld zonder losgeld te betalen.
MEER OVER CYBERVEILIGHEID
Deze grote ransomware-aanval werd op het laatste moment verijdeld. Dit is hoe ze het ontdektenRansomware: dit zijn de twee meest voorkomende manieren waarop hackers uw netwerk binnendringenNu ransomware-aanvallen toenemen, lanceert de VS een nieuwe site om de dreiging te bestrijden strong>Hebben we de piek van ransomware bereikt? Hoe het grootste beveiligingsprobleem van het internet is gegroeid en wat er daarna gebeurtDit bedrijf werd getroffen door ransomware. Dit is wat ze vervolgens deden en waarom ze niet betaalden
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 
< p class="meta"> Door Danny Palmer | 13 augustus 2021 — 09:00 GMT (10:00 BST) | Onderwerp: Beveiliging