De FBI heeft een nieuw rapport uitgebracht waarin staat dat ransomware-groepen in toenemende mate “belangrijke financiële gebeurtenissen” gebruiken als hefboom voor hun aanvallen.
Volgens de FBI gebruiken ransomware-groepen evenementen zoals fusies en overnames om bedrijven te targeten en hen te dwingen losgeld te betalen.
“Voorafgaand aan een aanval onderzoeken ransomware-actoren openbaar beschikbare informatie, zoals de aandelenwaardering van een slachtoffer, evenals materiële niet-openbare informatie. Als slachtoffers niet snel een losgeld betalen, dreigen ransomware-actoren deze informatie publiekelijk bekend te maken, waardoor potentiële investeerders terughoudend zijn ', schreef de FBI.
“Ransomware-actoren richten zich op bedrijven die betrokken zijn bij belangrijke, tijdgevoelige financiële gebeurtenissen om het betalen van losgeld door deze slachtoffers aan te moedigen. Ransomware is vaak een proces in twee fasen dat begint met een eerste inbraak via een trojan-malware, waardoor een toegangsmakelaar verkenningen kan uitvoeren en bepalen hoe u het beste geld kunt verdienen met de toegang.”
De FBI merkte op dat ransomware-groepen zonder onderscheid malware verspreiden, maar dat ze hun slachtoffers vaak zorgvuldig selecteren op basis van de informatie die ze krijgen van de eerste inbraken.
De bendes zoeken naar niet-openbare informatie en bedreigen vervolgens bedrijven door te zeggen dat ze de documenten zullen vrijgeven voorafgaand aan belangrijke financiële gebeurtenissen, in de hoop dat de druk de slachtoffers ertoe zal aanzetten losgeld te betalen.
De groepen zoeken naar gegevens of informatie waarvan ze weten dat deze de aandelenkoers van een bedrijf zullen beïnvloeden en “hun tijdlijn aanpassen voor afpersing”, ontdekte de FBI.
De wetshandhavingsinstantie benadrukte meerdere gevallen waarin ransomware-actoren zelf anderen aanspoorden om de NASDAQ-beurs te gebruiken als een soort klok voor het afpersingsproces. De FBI zei dat het een bericht had gevonden van een bekende ransomware-acteur met de naam “Onbekend” in Exploit — een populair Russisch hackforum — waarin andere ransomware-groepen werden aangespoord om deze methode te volgen.
In het bericht deelde de FBI een direct citaat van een ransomware-groep die in maart 2020 onderhandelde met een slachtoffer.
“We hebben ook gemerkt dat u aandelen heeft. Als u ons niet inschakelt voor onderhandelingen, zullen we lekken uw gegevens naar de Nasdaq en we zullen zien wat er met uw aandelen gaat gebeuren”, zei de groep tegen het slachtoffer tijdens de onderhandeling.
De FBI merkte op dat van maart tot juli in 2020 ten minste drie beursgenoteerde Amerikaanse bedrijven werden aangevallen door ransomware-groepen terwijl ze een fusie- en overnameproces doormaakten.
Twee van de drie onderhandelden over de financiële deals privé, wat aangeeft dat de ransomware-groepen toegang hadden gekregen tot vertrouwelijke gegevens.
“Een technische analyse van november 2020 van Pyxie RAT, een trojan voor externe toegang die vaak voorafgaat aan Defray777/RansomEXX-ransomware-infecties, identificeerde verschillende zoekopdrachten op trefwoorden op het netwerk van een slachtoffer die op interesse in de huidige en nabije toekomstige aandelenkoers van het slachtoffer wijzen. Deze trefwoorden omvatten 10 q, 10-sb, n-csr, nasdaq, marketwired en newswire', legt de FBI uit.
De FBI deelde in april nog een bericht van Darkside ransomware-acteurs waarin stond: “Nu versleutelen ons team en onze partners veel bedrijven die handelen op NASDAQ en andere beurzen.”
“Als het bedrijf weigert te betalen, zijn we bereid om vóór de publicatie informatie te verstrekken, zodat het mogelijk zou zijn om in de reductieprijs van aandelen te verdienen. Schrijf ons in 'Contact' en we zullen u gedetailleerde informatie verstrekken, ” schreef de ransomware-groep op haar blog.
Allan Liska van Recorded Future vertelde ZDNet dat wat de FBI beschrijft al een tijdje aan de gang is.
Hij merkte op dat REvil specifiek sprak over het gebruik van aandelenwaardering en fusieactiviteiten als afpersingstechnieken tijdens ransomware-aanvallen en dat de DarkSide ransomware-groep hetzelfde deed.
“Wat de FBI echter meldt, is een escalatie van deze tactieken. We weten dat ransomware-groepen nieuwsberichten nauwlettend in de gaten houden, het klinkt alsof ze nu informatie die uit het nieuws is verzameld gebruiken om zich in financieel gevoelige tijden (zoals een fusie) op specifieke bedrijven te richten. of openbare aanbieding),' zei Liska.
“Buiten een paar sectoren zijn we niet gewend om ransomware-aanvallen in traditionele zin als 'gericht' te beschouwen. Maar als het FBI-rapport klopt, gaan ransomware-groepen in deze periodes achter specifieke bedrijven aan. Als ik een bedrijf dat een beursgang of een fusie plant, zou ik ondergrondse fora nauwlettend in de gaten houden op gestolen inloggegevens en ervoor zorgen dat ik in die periode extra voorzichtig ben met beveiliging.”
Een recent onderzoek van Comparitech toonde aan dat ransomware-aanvallen dat wel doen tijdelijk effect hebben op de aandelenkoers en de financiële gezondheid van bedrijven.
Uit het onderzoek bleek dat direct na een ransomware-aanval de aandelenkoersen van een bedrijf gemiddeld met 22% daalden. Maar uit het rapport bleek dat de dip vaak ergens tussen de één dag en tien dagen aanhoudt. Uiteindelijk zei het rapport dat de meeste ransomware-aanvallen geen groot effect hadden op bedrijven die het slachtoffer waren.
“Ondanks gegevensverlies, downtime en mogelijk het betalen van losgeld of boete of beide, blijven de aandelenkoersen voor aangevallen bedrijven doorgaan om beter te presteren dan de markt na een zeer korte daling. Zelfs cyberbeveiligingsbedrijven lijken zelf geïsoleerd van een langdurige daling van de aandelenkoers wanneer hun eigen cyberbeveiliging faalt bij een ransomware-aanval”, aldus Paul Bischoff van Comparitech.
“De uitzondering is Ryuk-ransomware, die een grotere negatieve impact had op de aandelenkoers dan andere soorten ransomware. Datalekken hebben een grotere en langdurigere negatieve impact op de aandelenkoers dan ransomware, volgens onze andere studie, maar slechts marginaal. En houd er rekening mee dat deze twee aanvallen vaak worden gecombineerd.”
Brett Callow, expert op het gebied van ransomware en bedreigingsanalist van Emsisoft, vertelde ZDNet dat ransomware-actoren alle mogelijke hefboomwerking gebruiken – of dat nu het gebruik van bots is om hun aanvallen op Twitter te promoten, persvoorlichting te geven, contact op te nemen met klanten of, volgens deze waarschuwing, het gebruik van niet- openbare informatie verkregen tijdens de verkenningsfase van aanslagen om slachtoffers verder onder druk te zetten.
“We hebben ook incidenten gezien waarbij actoren het versleutelen van gecompromitteerde netwerken leken te hebben uitgesteld totdat het dichter bij de tijd van een belangrijke gebeurtenis was. Niets van dit alles is verrassend”, zei Callow.
“De tactieken van de bendes zijn de afgelopen jaren steeds extremer geworden en dat zal helaas niet snel veranderen.”