De ontwikkelingen op het gebied van ransomware gaan razendsnel. Van alarmerende trends tot gevaarlijke nieuwe aanvalsmethoden: wij praten je weer helemaal bij.
Data vernietigen in plaats van gijzelen
Waarom zou je gegevens gijzelen als je ze ook kunt stelen en de originele data daarna kunt vernietigen? Volgens onderzoekers van Cyderes en Stairwell experimenteert minstens één ransomwarebende met deze nieuwe strategie. Voor de cybercrimineel heeft dit verschillende voordelen ten opzichte van encryptie. Zo is het voor getroffen organisaties vaak mogelijk om weer toegang tot versleutelde bestanden te krijgen zonder het losgeld te betalen. Maar als de servers corrupt zijn, is dat geen optie meer.
Destructieve malware kan er dus toe leiden dat meer slachtoffers het losgeld betalen. Ook is de ontwikkeling van destructieve malware minder complex dan van ransomware, stellen de onderzoekers. Een aanval waarbij data vernietigd worden zou minder tijd en middelen vergen, wat de winstgevendheid verhoogt.
Gedeeltelijke versleuteling
Ook met encryptie wordt volop geëxperimenteerd. Zo waarschuwt SentinelLabs dat steeds meer ransomwaregroepen een nieuwe tactiek hanteren: intermittent encryption. Daarbij versleutelt de ransomware slechts een deel van de inhoud van bestanden, bijvoorbeeld telkens 16 byte wel en 16 byte niet. Dit gaat ruim twee keer zo snel als volledige encryptie, maar de data zijn nog steeds niet te herstellen zonder de decryptiesleutel.
Bovendien is deze ‘light’ encryptie moeilijker vast te stellen door geautomatiseerde detectietools, mede doordat versleutelde bestanden meer lijken op normale bestanden. Dit verkleint de kans dat een ransomware-aanval kan worden gesignaleerd en afgeslagen. Onder andere LockFile, Black Basta en Qyick maken gebruik van deze gedeeltelijke versleuteling.
Meerdere ransomware-aanvallen tegelijk
Het komt steeds vaker voor dat een bedrijf kort na elkaar wordt aangevallen door meerdere ransomwaregroepen, zo constateren securityexperts van Sophos. Tussen de aanvallen zitten slechts dagen of weken, en soms vinden ze zelfs op hetzelfde moment plaats. Dit hangt samen met de manier waarop verkopers op het darkweb te werk gaan. Zij bieden tegen betaling toegang tot systemen aan, maar doen dit niet op exclusieve basis.
Een kwetsbaar systeem wordt dus vaak vele keren verkocht. Gevolg kan zijn dat drie ransomware-aanvallers gelijktijdig toeslaan, waarbij bestanden ook drie keer versleuteld worden en er drie keer losgeld wordt geëist. Dit maakt het herstel nog complexer. Sophos vond geen bewijs voor samenwerking, maar sluit onderlinge afstemming niet uit.
Nieuwe crossplatform-ransomware
Twee opkomende ransomwarebendes, RedAlert en Monster, maken gebruik van crossplatform-technieken om eenvoudiger aanvallen uit te kunnen voeren op verschillende besturingssystemen en IT-omgevingen. Dat heeft Kaspersky ontdekt. Het doel van deze multiplatform-ransomware is om zoveel mogelijk systemen te beschadigen door de code van de malware gelijktijdig aan te passen aan meerdere besturingssystemen.
Multiplatform-ransomware wint sinds 2021 aan populariteit en wordt nu op grote schaal ingezet. Dit type ransomware is minder arbeidsintensief voor cybercriminelen omdat zij functionaliteit maar één keer hoeven te programmeren. Opvallend aan RedAlert en Monster is dat ze zijn geschreven in standaard programmeertalen: respectievelijk C en Delphi.
Ransomware treft supplychains
Nederlandse organisaties lopen een groeiend risico dat hun eigen systemen worden gecompromitteerd door een ransomware-aanval op een ketenpartner. Dat blijkt uit een onderzoek onder IT-beslissers in opdracht van Trend Micro. Ruim de helft had een partner in zijn supplychain die werd getroffen door ransomware.
Een recent voorbeeld hiervan is de hack bij ID-ware. Dit bedrijf levert de Rijkspas, de toegangspas voor Kamergebouwen en rijkspanden. Een ransomwaregroep die wist in te breken op de servers van ID-ware kreeg daarbij ook privégegevens van duizenden rijksambtenaren in handen. Zo werd de overheid dus slachtoffer van een aanval op een leverancier.
Samenwerking en informatie-uitwisseling zijn belangrijke instrumenten om de security in de toeleveringsketen te verbeteren. Toch deelt slechts de helft van de ondervraagde organisaties actief informatie over ransomware-aanvallen met leveranciers. Het delen van dreigingsinformatie met partners komt volgens Trend Micro wel vaker voor: 82% doet dit al.
Meer weten over ransomware? Lees dan ook 'het belangrijkste nieuws over ransomware'.