.png)
Ransomware-operators richten zich niet alleen op systemen en gegevens, ze richten zich ook op mensen in hun steeds toenemende inspanningen om het slachtoffer te laten betalen.
Naarmate organisaties bijvoorbeeld beter zijn geworden in het maken van back-ups van hun gegevens en het kunnen herstellen van gecodeerde bestanden van back-ups, zijn aanvallers begonnen hun aanpak van het eisen van losgeld in ruil voor decoderingssleutels aan te vullen met extra afpersingsmaatregelen die zijn ontworpen om de druk om te betalen op te voeren.
Sommige van de tactieken die aanvallers gebruiken om slachtoffers tot betaling te dwingen zijn meedogenloos en kunnen mogelijk schadelijker zijn voor een organisatie dan een periode van downtime. Aanvallers proberen doelbewust de relaties, het vertrouwen en de reputatie van hun doelwit te ondermijnen. Soms is hun aanpak zeer openbaar, maar soms ook directer en persoonlijker.
Zo zijn er bijvoorbeeld aanvallen gezien waarin aanvallers de werknemers van het slachtoffer e-mailen of bellen, hen bij hun naam noemen en persoonlijke gegevens delen die de aanvallers hebben gestolen, zoals details van eventuele disciplinaire maatregelen of financiële of paspoortinformatie, met als doel hen bang te maken en te eisen dat hun werkgever het losgeld betaalt.
Dit soort gedrag laat zien hoe ransomware is geëvolueerd van een puur technische aanval gericht op systemen en gegevens naar een aanval die ook gericht is op mensen.
Om organisaties te helpen hun ransomware-verdediging te verbeteren, is er een lijst samengesteld met de top 10 van afdwing strategieën die die cybercriminelen gebruiken om hun doel te bereiken:
1. Gegevens stelen en dreigen deze online te publiceren of te veilen
De lijst van ransomware-groepen die nu een openbare "lek"-website voor geëxfiltreerde gegevens gebruiken, hebben of hosten is lang. De aanpak is nu zo gewoon dat slachtoffers van een geavanceerde inbraak moeten aannemen dat een aanval met ransomware betekent dat zij ook een datalek hebben meegemaakt.
Aanvallers publiceren gestolen gegevens op leksites zodat concurrenten, klanten, partners, de media en anderen ze kunnen zien. Deze websites hebben vaak social media bots die automatisch nieuwe berichten publiceren, dus er is weinig kans om een aanval geheim te houden. Soms zetten de aanvallers de gegevens te koop op het dark web of onder cybercriminele netwerken.
De grootste zorg voor slachtoffers is echter het type gegevens dat de aanvallers stelen. Dit kunnen blauwdrukken van producten of geheime sausrecepten zijn, maar aanvallers graven meestal informatie op zoals zakelijke en persoonlijke bankgegevens, facturen, salarisinformatie, details van tuchtzaken, paspoorten, rijbewijzen, sofinummers en meer. Dit van zowel werknemers als klanten.
Bij een recente Conti ransomware-aanval op een logistieke dienstverlener, hadden de aanvallers bijvoorbeeld details geëxfiltreerd van lopende onderzoeken naar ongelukken, met de namen van de betrokken chauffeurs, dodelijke ongelukken en andere gerelateerde informatie. Het feit dat dergelijke informatie op het punt stond in het publieke domein terecht te komen, voegde aanzienlijke stress toe aan een toch al moeilijke situatie.
Door het verlies of de blootstelling van persoonsgegevens lopen slachtoffers ook het risico dat zij de wetgeving inzake gegevensbescherming overtreden.
2. Het e-mailen en bellen van werknemers, inclusief hogere leidinggevenden, om te dreigen hun persoonlijke informatie bekend te maken
REvil, Conti, Maze, SunCrypt en andere ransomwarefamilies hebben deze intimidatietactiek gebruikt, die zeer verontrustend kunnen zijn voor de ontvangers.
De makers en uitvoerder achter REvil ransomware zouden de media en zakenpartners van slachtoffers hebben gebeld met details over de aanval en hen hebben gevraagd het slachtoffer aan te sporen te betalen. Ze beweerden ook dat ze een gratis dienst hebben opgezet die spraakgestuurde VOIP-gesprekken aanbiedt aan hun aangesloten klanten.
3. Zakelijke partners, klanten, de media en meer op de hoogte stellen van het datalek of ermee dreigen dit op de hoogte te stellen
Deze tactiek omvat het e-mailen of berichten sturen van mensen of organisaties via de contactgegevens die aanvallers in gestolen bestanden hebben gevonden. De aanvallers eisen hierbij dat hun doelwit het losgeld betaalt om hun privacy te beschermen. REvil, Clop en andere ransomware-families gebruiken deze aanpak, zoals hieronder te zien is.
4. Slachtoffers de mond snoeren
Conti en RagnarLocker zijn onlangs begonnen met het bedreigen van slachtoffers met berichten dat het slachtoffer geen contact mag opnemen met de politie of details van losgeldonderhandelingen mag delen. Dit kan zijn om te voorkomen dat slachtoffers ondersteuning van derden krijgen die hen kan helpen om te voorkomen dat ze het losgeld betalen. Het suggereert ook dat ransomware-merken zich steeds meer zorgen maken over het vestigen van de aandacht op hun activiteiten, met name van wetshandhaving.
5.Insiders werven
Een andere recente tactiek die ransomware-operators gebruiken, is proberen insiders te werven om een ransomware-aanval mogelijk te maken in ruil voor een deel van de innames. In een, breed gerapporteerd voorbeeld, namen de operators achter LockBit 2.0 een wervingsadvertentie op voor insiders om hen te helpen het netwerk van "elk bedrijf" te doorbreken en te versleutelen in ruil voor een aanzienlijke uitbetaling. De onderstaande kennisgeving, gepost op de computers van het slachtoffer na codering, suggereert dat tegenstanders proberen insiders in slachtofferorganisaties te werven om hen te helpen externe partners of leveranciers te schenden - een extra reden tot bezorgdheid voor zowel het slachtoffer als zijn partners.
6. Wachtwoorden opnieuw instellen
Na het doorbreken van het netwerk maken veel ransomware-aanvallers een nieuw domeinbeheerdersaccount aan en stellen vervolgens de wachtwoorden voor de andere beheerdersaccounts opnieuw in. Dit betekent dat de IT-beheerders niet kunnen inloggen op het netwerk om het systeem te repareren. In plaats daarvan moeten ze een nieuw domein instellen voordat ze zelfs maar kunnen proberen te herstellen vanaf back-ups.
7. Phishing-aanvallen gericht op e-mailaccounts van slachtoffers
In een onderzocht incident waarbij Lorenz-ransomware betrokken was, richtten de aanvallers zich op werknemers met phishing-e-mails om hen te misleiden om een applicatie te installeren die de aanvallers volledige toegang gaf tot de e-mail van de werknemers, zelfs nadat ze hun wachtwoorden opnieuw hadden ingesteld. De aanvallers gebruikten vervolgens de gecompromitteerde e-mailaccounts om de IT-, juridische en cyberverzekeringsteams die met de beoogde organisatie werkten te e-mailen om te dreigen met verdere aanvallen als ze niet betaalden.
8. Online back-ups en schaduwvolumekopieën verwijderen
Tijdens hun verkenning van het netwerk van een slachtoffer zullen de meeste ransomware-operators op zoek gaan naar back-ups die zijn verbonden met het netwerk of internet en deze verwijderen, zodat het slachtoffer er niet op kan vertrouwen om gecodeerde bestanden te herstellen. Dit kan het verwijderen van back-upsoftware en het opnieuw instellen van virtuele snapshots omvatten. In een voorbeeld met DarkSide ransomware, verwijderden de aanvallers de lokale back-ups van het slachtoffer en gebruikten vervolgens een gecompromitteerd beheerdersaccount om contact op te nemen met de leverancier die de off-site cloudback-ups van het slachtoffer hostte, met het verzoek om de off-site back-ups te verwijderen. De verkoper voldeed omdat het verzoek afkomstig was van een geautoriseerde rekening. Gelukkig kon de leverancier de back-ups herstellen nadat ze op de hoogte waren gesteld van de inbreuk.
9. Fysieke kopieën van de losgeldbrief afdrukken op alle aangesloten apparaten, inclusief point-of-sale-terminals
Een stortvloed aan gedrukte bedreigingen is niet alleen hinderlijk in termen van papiervoorziening, maar ook verontrustend voor mensen op kantoor. Ransomware-operators, waaronder Egregor en LockBit, hebben deze tactiek toegepast.
10. Het lanceren van gedistribueerde denial-of-service-aanvallen tegen de website van het doelwit
Avaddon, DarkSide, RagnarLocker en SunCrypt hebben gedistribueerde denial of service (DDoS) -aanvallen gebruikt toen de onderhandelingen over losgeld waren vastgelopen, om doelwitten terug naar de tafel te dwingen. Tegenstanders gebruiken DDoS-aanvallen ook als afleiding om IT-beveiligingsbronnen vast te leggen terwijl de belangrijkste ransomware-aanvalsactiviteit elders op het netwerk plaatsvindt, of als zelfstandige afpersingsaanvallen.
Wat verdedigers kunnen doen
Het feit dat ransomware-operators hun aanvallen niet langer beperken tot het versleutelen van bestanden die doelen vaak kunnen herstellen vanaf back-ups, laat zien hoe belangrijk het is voor verdedigers om een diepgaande benadering van beveiliging te volgen. Deze aanpak moet geavanceerde beveiliging combineren met opleiding en bewustzijn van werknemers.
De volgende stappen kunnen organisaties helpen omgaan met bedreigend gedrag van aanvallers:
- Implementeer een bewustwordingsprogramma voor werknemers met voorbeelden van het soort e-mails en oproepen dat aanvallers gebruiken en de eisen die ze kunnen stellen
- Richt een 24/7 contactpunt in voor werknemers, zodat ze alle benaderingen kunnen melden die beweren van aanvallers te zijn en alle ondersteuning kunnen krijgen die ze nodig hebben
- Maatregelen invoeren om potentiële schadelijke insideractiviteiten te identificeren, zoals werknemers die toegang proberen te krijgen tot ongeautoriseerde accounts of inhoud
- Het is ook de moeite waard om de volgende stappen opnieuw te bekijken om de IT-beveiliging te verbeteren tegen een breed scala aan cyberdreigingen, waaronder ransomware:
- Bewaak de netwerkbeveiliging 24/7 en wees op de hoogte van de vijf vroege indicatoren dat een aanvaller aanwezig is om ransomware-aanvallen te stoppen voordat ze worden gelanceerd
- Sluit het internet-facing remote desktop protocol (RDP) af om cybercriminelen de toegang tot netwerken te ontzeggen. Als gebruikers toegang tot RDP nodig hebben, plaatst u deze achter een VPN- of zero-trust netwerktoegangsverbinding en dwingt u het gebruik van Multi-Factor Authentication (MFA) af
- Informeer werknemers over waar ze op moeten letten op het gebied van phishing en schadelijke spam en introduceer een robuust beveiligingsbeleid
- Bewaar regelmatig back-ups van de belangrijkste en meest actuele gegevens op een offline opslagapparaat. De standaardaanbeveling voor back-ups is om de 3-2-1-methode te volgen: 3 kopieën van de gegevens, met behulp van 2 verschillende systemen, waarvan er 1 offline is, en de mogelijkheid te testen om een herstel uit te voeren
- Voorkomen dat aanvallers toegang krijgen tot beveiliging en deze uitschakelen: kies een oplossing met een in de cloud gehoste beheerconsole met meervoudige verificatie ingeschakeld en op rollen gebaseerd beheer om toegangsrechten te beperken
- Vergeet niet dat er geen enkele zilveren kogel is voor bescherming, en een gelaagd, diepgaand beveiligingsmodel is essentieel - breid het uit naar alle eindpunten en servers en zorg ervoor dat ze beveiligingsgerelateerde gegevens kunnen delen
- Zorg voor een effectief incidentresponsplan en werk dit indien nodig bij. Schakel indien nodig externe experts in om bedreigingen te controleren of om te reageren op noodsituaties voor extra hulp