Cisco Talos bekijkt het evoluerende ransomware-landschap

Naar aanleiding van de toename van grootschalige ransomware-aanvallen heeft Cisco Talos een nieuwe analyse uitgevoerd van het huidige ransomware-landschap. Voor deze diepgaande evaluatie zijn veertien prominente ransomware-groepen onderzocht, waaronder Lockbit, Alphv, Play, 8base, BlackBasta, Brian Lian, CLOP, Cactus, Medusa, Royal/Blacksuit, Rhysida, Hunters International, Akira, en Trigona. De analyse onthult zowel gemeenschappelijke als unieke tactieken, technieken en procedures (TTP's).

Opkomende tactieken en technieken

Eén van de meest opmerkelijke trends die Cisco Talos heeft geïdentificeerd, is dat de meest actieve ransomware-groepen zich richten op het verkrijgen van initiële toegang tot netwerken via geldige accounts. Meestal gebeurt dit door middel van phishing-methoden. Dit sluit aan bij het Cisco Talos 2023 jaaroverzicht, waaruit bleek dat phishing voor inloggegevens een veelgebruikte methode is om aanvallen voor te bereiden.

Daarnaast maken ransomware-groepen steeds vaker gebruik van kwetsbaarheden in publiek toegankelijke applicaties. Deze kwetsbaarheden zijn vaak al bekend of nog niet publiekelijk bekendgemaakt en gerepareerd, zoals zero-day kwetsbaarheden. Door hier gebruik van te maken, kunnen aanvallers toegang krijgen tot systemen en netwerken zonder dat zij eerst inloggegevens te hoeven stelen.

Verschillende kwetsbaarheden worden vaker misbruikt door ransomware-groepen. Een voorbeeld is CVE-2020-1472, ook wel bekend als Zerologon. Deze kwetsbaarheid in het Netlogon Remote Protocol van Microsoft stelt aanvallers in staat zich voor te doen als een domeincontroller en zo volledige controle over het netwerk te krijgen. Een andere veelgebruikte kwetsbaarheid is CVE-2018-13379, die voorkomt in de Fortinet FortiOS SSL VPN en aanvallers ongeautoriseerde toegang geeft tot gevoelige systeeminformatie. Daarnaast is er CVE-2023-0669, een kwetsbaarheid in GoAnywhere MFT (Managed File Transfer), die aanvallers kunnen misbruiken om toegang te krijgen tot bestanden en gegevens die via deze software worden overgedragen.

De meest opvallende ransomware-groepen

De ransomware-groepen AlphV/Blackcat en Rhysida hanteren een breed scala aan tactieken en technieken om hun aanvallen uit te voeren. Groepen zoals BlackBasta, LockBit en Rhysida richten zich niet alleen op dataversleuteling, maar verstoren ook systemen om maximale schade aan te richten. De Clop-groep onderscheidt zich door zich voornamelijk te richten op afpersing via datadiefstal in plaats van traditionele versleuteling.

Vooral in de Verenigde Staten zijn de gevolgen van ransomware-aanvallen aanzienlijk. Talos Incident Response (Talos IR) heeft op talrijke aanvallen gereageerd, waarbij de productie- en informatiesectoren zwaar zijn getroffen. Deze aanvallen hebben geleid tot behoorlijke financiële verliezen en reputatieschade.

Nieuwe ransomware-groepen

In het afgelopen jaar zijn meerdere nieuwe ransomware-groepen opgekomen, zoals Hunters International, Cactus en Akira, die zich richten op specifieke niches en unieke operationele doelen en stijlen vertonen. Hunters International concentreert zich bijvoorbeeld op het aanvallen van internationale bedrijven met complexe supply chains, waardoor zij aanzienlijke schade kunnen toebrengen aan wereldwijde operaties. Cactus richt zich daarentegen op gezondheidszorginstellingen, waarbij zij gebruik maken van kwetsbaarheden in medische apparatuur en software om gevoelige patiëntgegevens te gijzelen. Akira onderscheidt zich door financiële instellingen als doelwit te kiezen en gebruik te maken van geavanceerde technieken, zoals deepfake-technologie, om phishingaanvallen te versterken. Deze verschuiving naar meer gespecialiseerde cybercriminaliteit toont aan dat groepen zich richten op specifieke doelen en methoden om hun aanvallen effectiever te maken.

“De voortdurende evolutie van ransomware-dreigingen vereist dat organisaties proactief en flexibel reageren. Bedrijven moeten verder kijken dan traditionele beveiligingsmaatregelen en investeren in moderne detectie- en respons oplossingen. Denk hierbij aan geavanceerde e-mail security oplossingen en op AI-gebaseerde phishing detectie om bedreigingen tijdig te kunnen identificeren en blokkeren.  Eenvoudige maar essentiële stappen, zoals regelmatige updates en patches, het afdwingen van multi-factor authenticatie en een sterk wachtwoordbeleid, kunnen de security aanzienlijk verbeteren,” aldus Jan Heijdra, Field CTO Security bij Cisco Nederland. “Het uitschakelen van onnodige diensten, het isoleren van gevoelige data door netwerksegmentatie en -authenticatie is cruciaal. Daarnaast is het verhogen van het cyberbewustzijn onder medewerkers essentieel, omdat menselijke fouten vaak de oorzaak zijn van beveiligingsincidenten. Met deze maatregelen kunnen organisaties de impact van ransomware-aanvallen aanzienlijk beperken en veel ellende voorkomen.”