Kaspersky werpt licht op het ransomware-ecosysteem

Ransomware ligt op het puntje van ieders tong wanneer bedrijven cyberbedreigingen bespreken waarmee ze in 2021 waarschijnlijk te maken zullen krijgen. Aanvallers hebben hun merken opgebouwd en zijn brutaal in hun opmars als nooit tevoren. Het nieuws over organisaties die worden getroffen door ransomware staat consequent op de voorpagina's van kranten. Maar door zichzelf in de schijnwerpers te plaatsen, verbergen dergelijke groepen de werkelijke complexiteit van het ransomware-ecosysteem. Om organisaties te helpen begrijpen hoe het ransomware-ecosysteem werkt en hoe het kan worden bestreden, hebben onderzoekers van Kaspersky in het nieuwste rapport gegraven in darknet-forums, een diepgaande blik geworpen op REvil- en Babuk-bendes en daarbuiten, en een aantal mythes over ransomware ontkracht. En als je in deze onderwereld graaft, moet je er rekening mee houden dat deze vele gezichten heeft.

Zoals elke industrie, bestaat het ransomware-ecosysteem uit vele spelers die verschillende rollen vervullen. In tegenstelling tot de overtuiging dat ransomware-bendes eigenlijk bendes zijn - hechte, samen doorleefde, Godfather-achtige groepen, lijkt de realiteit meer op de wereld van Guy Ritchie's 'The Gentlemen', met een aanzienlijk aantal verschillende actoren - ontwikkelaars, botmasters, toegangsverkopers, ransomware-exploitanten - die betrokken zijn bij de meeste aanvallen en elkaar diensten verlenen via dark web-marktplaatsen.

Deze actoren ontmoeten elkaar op specialized darknet forums waar regelmatig bijgewerkte advertenties te vinden zijn waarin diensten en partnerschappen worden aangeboden. Prominente grote spelers die op eigen houtje opereren, frequenteren dergelijke sites niet, maar bekende groepen zoals REvil, die zich in de afgelopen kwartalen steeds meer op organisaties hebben gericht, maken hun aanbiedingen en nieuws regelmatig bekend door gebruik te maken van partnerprogramma's. Dit soort betrokkenheid veronderstelt een partnerschap tussen de ransomware groep operator en de partner waarbij de ransomware operator een winstaandeel neemt variërend van 20-40%, terwijl de resterende 60-80% bij de partner blijft.

De selectie van dergelijke partners is een nauwkeurig afgestemd proces met basisregels die vanaf het begin door de ransomware-exploitanten worden vastgesteld - inclusief geografische beperkingen en zelfs politieke standpunten. Tegelijkertijd worden ransomware-slachtoffers opportunistisch geselecteerd.

Aangezien de mensen die organisaties infecteren en degenen die ransomware daadwerkelijk exploiteren verschillende groepen zijn, enkel gevormd door de wens om winst te maken, zijn de organisaties die het meest geïnfecteerd zijn vaak laaghangend fruit - in wezen degenen waartoe de aanvallers gemakkelijker toegang konden krijgen. Het kunnen zowel actoren zijn die werken binnen de partnerprogramma's als onafhankelijke operatoren die later de toegang verkopen - in de vorm van een veiling of als een oplossing, vanaf 50 USD. Deze aanvallers zijn meestal botnet-eigenaars die werken aan massale en wijdverspreide campagnes en toegang tot de machines van de slachtoffers in bulk verkopen, en toegangsverkopers die op zoek zijn naar openbaar gemaakte kwetsbaarheden in op het internet gerichte software, zoals VPN-toestellen of e-mailgateways, die ze kunnen gebruiken om organisaties te infiltreren.

Ransomware forums zijn ook de thuisbasis van andere soorten aanbiedingen. Sommige ransomware operators verkopen malware samples en ransomware bouwers voor tussen de 300 en 4.000 USD. Anderen bieden Ransomware-as-a-Service aan - de verkoop van ransomware met voortdurende ondersteuning van zijn ontwikkelaars, wat kan variëren van 120 USD per maand tot 1.900 USD per jaar pakketten.