Bedrijven en organisaties zijn zich steeds beter bewust van het gevaar dat uitgaat van ransomwaregroeperingen en hun werkwijzes. De gevolgen van een cyberincident kunnen enorm zijn voor uw bedrijfsvoering en daarmee voor uw medewerkers, klanten en ketenpartners. Contractuele afspraken, fysieke veiligheid en uw reputatie staan op het spel; de eigenlijke toekomst van uw bedrijf.
Wat is Ransomware?
Ransomware is een favoriet drukmiddel dat wordt ingezet door georganiseerde criminelen. Traditioneel zorgt deze malafide software ervoor dat systemen onbruikbaar worden door bestanden te versleutelen. Deze versleuteling is doorgaans zó sterk, dat er door de criminelen tegen betaling en onder hoge tijdsdruk een decryptor wordt ‘verkocht’. Er is natuurlijk geen sprake van een vrijwillige aankoop, aangezien uw bedrijf (deels) tot een halt is gekomen.
Tegenwoordig is er bij de bekendere ransomwaregroeperingen standaard sprake van een dubbele afpersing: de (gevoelige) bestanden zijn vaak al gestolen vóór de versleuteling is gestart. Er dient dan ook betaald te worden om de bestanden niet openbaar te publiceren of te koop aan te bieden op het darkweb. Deze data-exfiltratie, gecombineerd met het versleutelen, wordt “double extortion” (dubbele afpersing) genoemd.
In toenemende mate wordt er een derde pressiemiddel toegevoegd als extra stressfactor om slachtoffers te dwingen de afpersingssom te betalen: DDoS-aanvallen op kritische infrastructuur van het slachtoffer of op die van partnerbedrijven in de keten maken systemen onbereikbaar. Ook wordt er gedreigd met het vernietigen van de data. Maximale druk om tot betaling over te gaan dus. Toch zie je dat er verschillen zijn in de manier waarop ransomwaregroeperingen te werk gaan. In deze blog lichten we er een aantal toe.
Play
De ransomwaregroepering PLAY benadrukt dat niet betalen leidt tot een cascade aan mogelijke schade: schadeclaims, het leegraken van het orderportfolio, waardeverlies op de beurs en reputatieschade. Deze schade schat Play hoger in dan de kosten voor het betalen van een decryptor. Daarmee wordt de optie betalen neergezet als de meest aantrekkelijke keuze.
BlackCat
BlackCat (of ALPHV), een andere ransomwaregroepering, deinst niet terug voor de triple extortion methodiek en laat zich op hun darkweb-blog erg agressief uit bij tegenwerking vanuit de slachtoffers. Opmerkelijk is dat zij zelf de overtuiging hebben dat ze de wereld beschermen tegen organisaties die hun beveiligingsmaatregelen niet op orde hebben. Ze leggen de verantwoordelijkheid van de lekken bij hun slachtoffers neer.
Figuur 1 De agressieve ‘waarschuwing’ aan de wereld voor het gevaar van werken met het gehackte bedrijf door BlackCat (ALPHV)
Royal
De Royal ransomwaregroepering doet iets vergelijkbaars: zij stellen in hun ransomnote dat ze een dienstverlener zijn in pentesten, waarvoor ze een kleine vergoeding vragen met als cynische ondertoon dat u niet had moeten bezuinigen op beveiligingsmaatregelen. Uiteraard is het grote verschil dat hen niet gevraagd is om een pentest uit te voeren. Normaliter wordt daarvoor een duidelijke scope aangebracht zodat vooraf duidelijk is wat de precieze opdracht is, wat het beoogde doel is en worden overeenkomsten afgesloten.
De professionalisering van ransomware-groeperingen
Het mag duidelijk zijn, elke ransomwaregroepering heeft z’n eigen tactieken en methodieken om slachtoffers aan te sporen tot betaling. Daarnaast is, net als bij legitieme organisaties, de markt volop in ontwikkeling. In de strijd tegen ransomware valt dan ook de hoge mate van professionalisering en innovatie bij de ontwikkelaars van ransomware op. Deze bouwers van ransomware laten zich leiden door onderlinge (vijandige) competitie, maar inspireren elkaar ook en worden non-stop uitgedaagd door de steeds beter en slimmer wordende beveiligingsoplossingen van hun slachtoffers.
Karakurt
De groep Karakurt (Russische benaming voor de giftige spin “Europese Zwarte Weduwe”) stelt zich bijvoorbeeld op als een intellectuele bende die zich uitgedaagd voelt door de steeds beter wordende beveiligingsmaatregelen. Dit zou een beroep doen op hun creativiteit en zou de routinematige aard van het hacken af halen. Ze leuken hun blog op met afbeeldingen uit werk van de middeleeuwse Nederlandse schilder Jheronimus Bosch. Deze groepering is bezig met een opmars in Noordwest-Europa.
Figuur 2 Logo Karakurt, verwijzend naar de giftige Europese Zwarte Weduwe
Ook wordt er door Karakurt een expliciet beroep gedaan op medewerkers die hun baas of bedrijf haten en willen bijdragen aan diens ondergang. Deze medewerkers worden ook wel een “insider threat” genoemd.
Figuur 3 Karakurt zoekt en werft
Tegenstrijdig ten opzichte van de agressie en roekeloosheid van andere groeperingen is de bereidheid om door middel van zelf bemande supportdesks de slachtoffers te helpen met het betalen en decrypten van de omgeving. Contact leggen via TOX, XMPP of een contactformulier lijkt favoriet.
Ransomware-as-a-Service en affiliate programma’s
De eerdergenoemde vorm van behulpzaamheid zit ingebakken in een relatief nieuwe ransomware. Deze vorm wordt ook wel Ransomware-as-a-Service genoemd (RaaS).
De ontwikkelaars van de ransomware geven als het ware een licentie uit aan door hen geselecteerde criminele hackers (ook wel affiliates genoemd). Deze affiliates worden van een automatisch gebouwd en uniek pakket met ransomware voorzien dat ze uit kunnen rollen bij hun slachtoffers. De ontwikkelaars vragen hiervoor bijvoorbeeld 20% van de betaalde afpersingssommen.
Ze helpen deze affiliates actief. Dat kan zijn in de vorm van automatisering van het versleutelingsproces, het communiceren met het slachtoffer, het publiceren van bestanden of het ontvangen van de betaling.
Figuur 4 Aanprijzing AvosLocker service en kwaliteiten
Het selecteren van deze affiliates heeft veel weg van een regulier wervingsproces. Er worden eisen gesteld en deze worden getoetst. Daarnaast is het mogelijk om referenten aan te dragen die willen instaan voor de betrouwbaarheid van de ‘sollicitant’. Denk aan iemands reputatie op verschillende darkweb fora, de hoogte van de saldi in zijn cryptowallets en eerdere ‘prestaties’.
Lockbit 3.0
De Ransomware-as-a-Service Lockbit 3.0 heeft op hun blog zelfs een bug bounty programma gepubliceerd waarmee ze tegen een beloning kwetsbaarheden in hun encryptie/decryptie hopen op te sporen. Ook willen ze weten of het door hen gebruikte berichtenplatform TOX messenger of het TOR netwerk te maken hebben met vulnerabilities. Als kers op de taart looft de baas van Lockbit 1 miljoen Amerikaanse dollars uit voor degene die hem weet te “doxxen” in een privébericht. Normaal gesproken behelst dat het online onthullen van gevoelige privé-informatie online, met als doel diegene of zijn/haar omgeving schade te berokkenen.
Figuur 5 Bug Bounty Program Lockbit 3.0
Lockbit 3.0 en AvosLocker geven als spelregels aan hun affiliates mee dat post-Sovjetlanden geen slachtoffers mogen worden, evenals kritische infrastructuur. De medische sector is fair game zo lang het versleutelen van bestanden geen levensbedreigende risico’s met zich meebrengt. Zo trekken zij de grens bij bijvoorbeeld verloskunde, hart- en neurochirurgie. Voor affiliates die twijfels hebben, verwijzen Lockbit 3.0 en AvosLocker naar hun helpdesks.
Wanneer de affiliates aan het werk gaan, kan het snel gaan. Zo heeft BlackBasta alleen al in de laatste 9 maanden 180+ slachtoffers gemaakt en voorzien zij hun malware van nieuwe updates om detectie te blijven ontwijken. BianLian anonimiseert in eerste instantie de nieuwe slachtoffers op hun blog, totdat er gepubliceerd gaat worden. Net als AvosLocker publiceren zij niet zomaar alle gestolen data, maar willen ze maximaal rendement halen door deze data te verkopen aan andere geïnteresseerde partijen.
Figuur 6 Gestolen data die tegen voorwaarden wordt aangeboden door BianLian
Hoe bescherm ik mijn organisatie?
De verschillende groeperingen hebben allemaal een eigen stijl, eigen motieven, zijn onderscheidend in hun methodieken en kennisniveau, maar hebben ook elk hun ideale slachtoffer.
Enkele groepen richten zich met (spear)phishing-campagnes op specifieke doelwitten of misbruiken kwetsbaarheden in systemen. In andere gevallen wordt de toegang veel opportunistischer verschaft op de meest efficiënte manier; denk aan credentials afkomstig van infostealer malware die door Initial Access Brokers verkocht worden op darkweb marktplaatsen. De dreiging van ransomware kent dus eigenlijk geen specifiek doelwitprofiel.
Figuur 7 Russian Market, een darkweb marktplaats waar onder andere inloggegevens worden verhandeld
Adviezen
We hebben een aantal ransomwaregroeperingen en hun karakteristieken besproken. Door te starten met de onderstaande basismaatregelen kunnen zowel de kans op een incident, als de mogelijke impact van een incident worden verkleind. Daarbij is het belangrijk om te realiseren dat cybersecurity gedragen moet worden door de hele organisatie en begint aan de directietafel.
- Multifactorauthenticatie (MFA) afdwingen waar mogelijk;
- Netwerksegmentatie;
- Het inrichten van monitoring en detectie, zoals endpoint/network detection & response en darkweb monitoring;
- Een patchbeleid waarin ook rekening wordt gehouden met patchen onder tijdsdruk;
- Een goed disaster recovery plan en backupbeleid welke ook periodiek worden getest;
- Een incident management proces gericht op cybersecurity incidenten;
- Structureel trainen van gedrag en bewustzijn van medewerkers en bestuurders.
Incident of een gut-feeling?
Ondanks een goede voorbereiding, alle genomen maatregelen, trainingen en processen ten spijt, ook in dit geval is er nooit 100 procent zekerheid dat uw organisatie geen slachtoffer wordt. Zorg er daarom voor dat u ook op dat scenario bent voorbereid.
Indien u getroffen bent door een ransomware-aanval is het belangrijk om snel te schakelen met experts. Tesorion is 24/7 beschikbaar om te assisteren bij verdachte situaties. Het Tesorion Computer Emergency Response Team (T-CERT) is gespecialiseerd in het helpen van uw bedrijf in het geval van een cyberincident. Dat kan zijn in de vorm van een kortdurende telefonische triage tot een uitgebreid forensisch onderzoek naar omvang en oorzaak van het incident.
