De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? Nu kijken
Er werd voorkomen dat een grote ransomware-operatie miljoenen dollars verdiende nadat cyberbeveiligingsonderzoekers een fout ontdekten in de ransomware waardoor versleutelde bestanden konden worden hersteld zonder losgeld te betalen aan cybercriminelen.
Cybersecurity-onderzoekers bij Emsisoft hebben gedetailleerd beschreven hoe ze in het geheim de cybercriminelen achter de BlackMatter-ransomware konden verijdelen, waardoor verschillende slachtoffers het losgeld niet hoefden te betalen.
Nadat ze geheim hadden gehouden wat ze aan het doen waren om de cybercriminelen te ontwijken erachter komend, hebben onderzoekers nu onthuld hoe ze BlackMatter ondermijnden door decryptiesleutels te verstrekken aan slachtoffers van hun aanvallen.
BlackMatter is sinds juli dit jaar in zijn huidige vorm actief, maar bestaat eigenlijk al veel langer, omdat de consensus onder informatiebeveiligingsanalisten is dat BlackMatter een rebranded-versie van DarkSide ransomware is.
DarkSide werd eerder dit jaar berucht als de boosdoeners achter de Colonial Pipeline ransomware-aanval. Het incident leidde tot tekorten aan gas en brandstof aan de noordoostkust van de VS, terwijl de criminelen wegliepen met miljoenen dollars toen Colonial het losgeld betaalde.
Maar de impact van de aanval bleef niet onopgemerkt en kort nadat het Witte Huis actie beloofde tegen de verantwoordelijken, verloor DarkSide de controle over een deel van hun kritieke infrastructuur en werd een deel van hun Bitcoin-portefeuilles in beslag genomen. Daarna leek de groep donker te worden.
DarkSide dook echter al snel weer op als BlackMatter en de cybercriminelen die erachter zitten lijken zich niet te laten afschrikken door in het vizier van de Amerikaanse regering te komen. Ze zijn begonnen met het lanceren van een reeks ransomware-aanvallen op bedrijven in Noord-Amerika.
Berichten van BlackMatter op ondergrondse fora die aanbieden om toegang te kopen tot gecompromitteerde netwerken in de VS, Canada, het VK en Australië beweerden dat BlackMatter niet achter ziekenhuizen of staatsinstellingen aan zou gaan. Maar dit was niet waar, en naast kritieke infrastructuur in de vorm van verschillende landbouwbedrijven, heeft de groep ook bloedtestfaciliteiten getroffen.
ZIE: Een winnende strategie voor cyberbeveiliging (speciaal rapport ZDNet)
“De bewering van de bende dat aanvallen op de kritieke infrastructuur en bepaalde andere sectoren was leeg: het viel de organisaties aan waarvan het zei dat het niet zou doen”, vertelde Brett Callow, dreigingsanalist bij Emsisoft aan ZDNet.
“Dus waarom hebben ze deze claim in de eerste plaats gedaan? Het kan een poging zijn geweest om de onmiddellijke aandacht van wetshandhavingsinstanties te vermijden in de nasleep van het incident met de koloniale pijpleiding, of misschien geloofden ze dat bedrijven zouden eerder geneigd zijn te onderhandelen als het geen misdadigers bleken te zijn die ziekenhuizen aanvielen”.
In december vorig jaar merkten onderzoekers van Emsisoft een fout op van de DarkSide-operators, waardoor gegevens die door de Windows-versie van de ransomware waren versleuteld konden worden ontsleuteld zonder dat er losgeld moest worden betaald, hoewel de criminelen dit in januari hebben opgelost.
Het bleek echter dat de ransomware-groep opnieuw een soortgelijke fout maakte toen ze hun merknaam veranderden, en onderzoekers ontdekten een fout in de BlackMatter ransomware-payload waardoor slachtoffers bestanden konden herstellen zonder het losgeld te betalen.
Na het ontdekken van de tweede kwetsbaarheid, werkte Emsisoft samen met anderen om zoveel mogelijk BlackMatter-slachtoffers te voorzien van de decoderingssleutel voordat ze het losgeld betaalden, een actie die heeft voorkomen dat cybercriminelen tientallen miljoenen dollars op zak hebben.
Helaas kwam BlackMatter er uiteindelijk achter dat er iets mis was en sloot de maas in de wet.
“BlackMatter zal waarschijnlijk hebben vermoed dat er iets mis was toen hun inkomsten begonnen te dalen, en zal verdachter zijn geworden naarmate het langer duurde. Helaas is het onvermijdelijk dat bendes zich realiseren dat ze een probleem hebben in deze situaties. Het enige wat we kunnen doen is werken snel en stil om zoveel mogelijk slachtoffers te helpen terwijl de kansen er zijn”, aldus Callow.
“Deze inspanning toont het belang aan van samenwerking tussen de publiek-private sector. Door samen te werken kunnen we een grote deuk in de winstgevendheid van cybercriminaliteit zetten, en dat is een sleutelelement in de bestrijding van het ransomware-probleem”, voegde hij eraan toe.
Ransomware blijft een belangrijk informatiebeveiligingsprobleem en de beste manier om te voorkomen dat u op een aanval moet reageren, is door in de eerste plaats geen slachtoffer te worden. Cyberbeveiligingsstrategieën zoals het tijdig toepassen van beveiligingspatches, ervoor zorgen dat multi-factor authenticatie wordt toegepast in het hele netwerk en gebruikers alleen de toegang bieden die ze nodig hebben, bijvoorbeeld door geen beheerdersrechten te geven aan mensen die ze niet nodig hebben. – kunnen allemaal helpen ransomware-aanvallen te voorkomen.
Wat BlackMatter betreft, het is waarschijnlijk dat ze door zullen gaan, maar hun fouten kunnen hun reputatie in cybercriminelen kringen hebben geschaad.
“Het zou me niets verbazen als de operators de naam BlackMatter zouden opgeven en hun merknaam zouden veranderen. Hun reputatie zal naar de wc gaan. Hun herhaalde fouten hebben filialen geld gekost. Veel geld,” zei Callow.
MEER OVER CYBERVEILIGHEID
Ransomware: een bedrijf betaalde miljoenen om hun gegevens terug te krijgen, maar vergat één ding te doen. Dus de hackers kwamen weer terugRansomware: op zoek gaan naar zwakke punten in uw eigen netwerk is de sleutel tot het stoppen van aanvallenHebben we het hoogtepunt van ransomware bereikt? Hoe het grootste beveiligingsprobleem van het internet is gegroeid en wat er daarna gebeurtRansomware: zelfs als de hackers zich in uw netwerk bevinden, is het misschien nog niet te laat Ransomware-bendes klagen dat andere criminelen hun losgeld stelen
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 