Mimecast Logo
Schedule a Demo
Start Free Trial
    Inzichten in cyberbestendigheid
    Alle onderwerpen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    E-mailbeveiliging

    Een gids voor evoluerende types van Ransomware

    Ransomware-aanvallen nemen toe, en de soorten ransomware veranderen voortdurend. Wij analyseren de bedreiging om u te helpen uw bedrijf te beschermen.

    by Karen Lynch
    gettyimages-932354274.png

    Hoofdpunten

    • Ransomware is een van de meest voorkomende en schadelijke bedreigingen voor de cyberveiligheid geworden in een economie van telewerkers.
    • Aanvallers gebruiken meestal ransomware om de gegevens van slachtoffers te versleutelen en eisen dat bedrijven betalen om de controle over hun netwerken en informatie terug te krijgen.
    • Maar er is niet één methode voor deze misdaad, want ransomware-types evolueren voortdurend.

    Ransomware-aanvallen hebben in 2020-21 een hoge vlucht genomen. De nachtelijke verschuiving naar werken op afstand liet bedrijven weinig ruimte om hun IT-beveiliging aan een stresstest te onderwerpen of om werknemers goed op te leiden om potentiële bedreigingen in de nieuwe omgeving te herkennen, wat de deur openzette voor een golf van aanvallen van opportunistische cybercriminelen.

    Meer dan een derde van de organisaties wereldwijd gaf onlangs aan in de afgelopen 12 maanden te maken te hebben gehad met een ransomware-aanval, volgens een onderzoek van International Data Corp. [1] Mimecast's State of Email Security 2021 (SOES) toonde aan dat ransomware organisaties op vele niveaus schade berokkent. Ten eerste ondervonden zij gemiddeld zes dagen downtime na een aanval. Ten tweede waren veel bedrijven uiteindelijk genoodzaakt losgeld te betalen om de controle over hun IT-systemen terug te krijgen en hun activiteiten te hervatten. Ten derde werden gevoelige gegevens blootgelegd; vaak werden deze zelfs niet teruggegeven wanneer het losgeld was betaald.

    Wat de zaak nog erger maakt, is dat criminelen hun werkwijze, of MO, voortdurend veranderen - van tactiek, technieken en procedures veranderen. Verschillende criminele bendes en hun "merken" van ransomware duiken plotseling op, deels door de verkoop van ransomware-as-a-service (RaaS) aan andere criminelen op de zwarte markt. Een merk kan uitsterven, om vervolgens te worden gehercodeerd, van een nieuw merk te worden voorzien en opnieuw te worden gelanceerd als een nieuw type ransomware. Cyberaanvallen van de "oude stempel", zoals DDoS (Distributed Denial of Service), zijn zelfs omgevormd tot ransomware.

    Dit alles maakt dat beveiligingsprofessionals een eindeloos inhaalspel spelen. Dit artikel gaat in op de huidige stand van zaken op vier gebieden:

    • Basics: Wat is ransomware tegenwoordig precies?
    • Vectoren: Hoe infecteren ransomware-aanvallers doelwitten?
    • Types: Wat zijn enkele van de nieuwste ransomware types?
    • Response: Hoe kunt u uw bedrijf beschermen tegen ransomware-aanvallen?

    Wat is Ransomware?

    Ransomware is een kwaadaardige vorm van software die door bedreigingsactoren wordt gebruikt om mensen of organisaties losgeld te ontnemen in ruil voor betaling. Maar zelfs de basisstrategieën van ransomware zijn vandaag de dag aan het veranderen, op de volgende manieren:

    • Encryptie: Ransomware-aanvallen versleutelen bestanden op de computers of netwerken van doelwitten zodat ze niet langer toegankelijk zijn, en slachtoffers wordt gevraagd te betalen om de gegevens terug te krijgen. Naarmate ransomware zich verder heeft ontwikkeld, zijn er echter andere benaderingen naar voren gekomen.
    • Gegevensdiefstal: In plaats van gegevens te versleutelen, halen steeds meer aanvallers er bestanden uit en dreigen deze op het Dark Web te verkopen tenzij losgeld wordt betaald.
    • Hybriden: Beseffend dat beveiligingsprofessionals verbeterde back-up- en herstelsystemen hebben, versleutelen sommige aanvallers zowel gegevens als stelen zij bestanden, om de kans te vergroten dat zij hun losgeld betaald krijgen.
    • Wiper-malware: Bij deze aanvallen versleutelen bedreigers gegevens en vragen zij mogelijk losgeld. Hun primaire doel is echter vernietiging, verstoring en mogelijk het verhullen van cyberspionage. Alle betrokken gegevens kunnen zelfs door de aanvallers niet worden teruggehaald en door losgeld te betalen, krijgen ze die niet terug.
    • DDoS-afpersing: Het gebruik van DDoS is lang inactief geweest, maar is onlangs weer opgedoken als middel om losgeld te dwingen, door websites of servers te overspoelen met te veel verkeer totdat de betaling is ontvangen. Soms worden DDoS-dreigingen gecombineerd met de andere hierboven vermelde strategieën.

    Verschillende vectoren: Hoe breken Ransomware-aanvallers in?

    De opkomst van telewerken heeft ransomware op verschillende manieren geherdefinieerd, waaronder de aanvalsvectoren. En hoewel de schattingen over de prevalentie van elke vector variëren, zijn dit momenteel de meest voorkomende:

    • Remote desktop protocol (RDP): Dit is een protocol dat servers verbindt met desktops op afstand, onder meer voor IT-ondersteuning. De netwerken van organisaties worden blootgesteld wanneer RDP-poorten op het internet worden opengelaten of slechts zwak beveiligd zijn. Kwetsbaarheden in RDP zijn de belangrijkste aanvalsvector voor ransomware van dit moment.
    • Virtual private networks (VPN's): VPN's zijn niet altijd zo veilig als nodig is, vooral wanneer de beveiligingsteams van organisaties hun VPN-software niet up-to-date houden wanneer leveranciers patches uitbrengen om beveiligingslekken te verhelpen.
    • E-mail: E-mail gaat van de ene gunst naar de andere onder afpersers, maar blijft tot de top drie aanvalsvectoren behoren, met phishing-e-mails die slachtoffers ertoe verleiden geïnfecteerde bijlagen te openen, op kwaadaardige koppelingen te klikken of wachtwoorden vrij te geven. Sommige ransomware gebruikt e-mail op nieuwe manieren, bijvoorbeeld door netwerken binnen te dringen via gecodeerde e-mails (zoals een financiële dienstverlener zou kunnen sturen) om e-mailbeveiligingsfilters te omzeilen.

    Wat ransomware zo gemeen maakt, is dat cybercriminelen, zodra ze toegang hebben tot een enkele computer in uw bedrijf, zich over uw netwerk verplaatsen en malware inzetten om gegevens van meerdere apparaten en netwerken te versleutelen of te stelen. De gevolgen van een netwerkinbreuk kunnen zich snel uitbreiden, waardoor afdelingen en hele bedrijven dagen of wekenlang aan handen en voeten gebonden zijn totdat ze de bedreiging hebben geëlimineerd of het gevraagde losgeld hebben betaald.

    Soorten Ransomware

    Deze recente krantenkop onderstreepte de snelheid waarmee soorten ransomware veranderen: "Eén grote ransomware-dreiging is net verdwenen. Nu is er een andere opgestaan om het gat te vullen." [2] Het bedreigingslandschap van ransomware-bendes en -types is voortdurend aan het verschuiven. Sommige prominente bedreigingsactoren zijn onlangs offline gegaan, maar zullen naar verwachting weer opduiken met nieuwe tactieken onder nieuwe namen.

    Avaddon is een voorbeeld van een veelgebruikt RaaS dat onlangs werd uitgeschakeld. De aanvallers van Avaddon gebruikten phishing en e-mailspamcampagnes om schadelijke bestanden af te leveren, waarbij ze suggereerden dat de bijlagen in werkelijkheid compromitterende foto's bevatten. [3] Ze dreigden de bestanden van slachtoffers bloot te geven en DDoS-aanvallen uit te voeren. Naar verluidt hebben zij bijna 3.000 slachtoffers getroffen.

    Berichten over andere grote RaaS-merken die recentelijk zijn teruggetrokken zijn Egregor, Darkside en REvil, om redenen waaronder druk van wetshandhaving. Maar zoals de kop hierboven aangaf, is het resulterende gat opgevuld door andere soorten ransomware, zoals een bijgewerkte versie van LockBit. De LockBit-aanvallers maken naar verluidt gebruik van RDP- en VPN-kwetsbaarheden en gebruiken, eenmaal binnen, tools waarmee netwerktoegang kan worden verkregen en ransomware kan worden geïnstalleerd.

    Andere nieuwe of gerebrande ransomware omvat PayloadBIN, [4] BlackMatter, verschillende exploitanten van Windows PrintNightmare printerkwetsbaarheden [5] - en een lopende telling van anderen in wat een beveiligingsexpert "Ransomware Gangs and the Name Game Distraction" noemde. [6] In een andere nieuwe ontwikkeling verkopen sommige cyberaanvallers toegang als een service (AaaS). Bij één vorm van AaaS wordt, nadat een aanvaller voor eigen doeleinden een inbreuk op een bedrijf heeft gepleegd, die toegang aan andere actoren verkocht.

    Maar wat vooral duidelijk is, is dat ransomware en de daders ervan in aantal toenemen. Volgens één rapport zijn de aanvallen in de eerste zes maanden van 2021 groter dan in heel 2020. [7]

    Hoe beschermt u uw organisatie tegen ransomware-aanvallen

    Bedrijven moeten hun gegevens en netwerken beschermen, met inbegrip van e-mailaccounts en archieven die een schat aan gevoelige informatie bevatten. Adviezen om dit te doen zijn er in overvloed, waaronder Mimecast's Ransomware Kit . Maar bescherming tegen ransomware komt vaak neer op de elementaire best practices van cyberresiliency opbouwen . "Het gebruik van een gelaagde benadering van beveiliging, een beproefd continuïteits- en herstelplan en teruggaan naar de basis is de beste methode om je te verdedigen tegen ransomware", zegt Carl Wearn, hoofd Risk & Resilience, E-Crime & Cyber Investigation bij Mimecast.

    Door de snelle evolutie van ransomware hebben sommige van deze praktijken vandaag de dag een hogere prioriteit, waaronder de volgende:

    • Ken de vijand: Volg voortdurend waarschuwingen en andere informatiebronnen van overheden en particuliere beveiligingsonderzoekers die cybercriminaliteit opsporen.
    • Ken uzelf: Identificeer en verhelp kwetsbaarheden en zwakke punten die kunnen worden uitgebuit, en blijf op de hoogte wanneer uw leveranciers softwarepatches uitbrengen.
    • Plan voor herstel: Een continuïteitsplan met veilige back-ups kan uw verliezen beperken en u zelfs in een betere positie brengen om met afpersers te onderhandelen.
    • Verzamel uw mensen: Opleiding en bewustmaking van werknemers moeten een permanente bedrijfsvereiste zijn, met meetbare doelstellingen en resultaten.
    • Voorkom zijdelingse verplaatsing: Segmenteer uw netwerk en scheid operationele en niet-operationele gegevens.

    De kern van de zaak

    De dreiging van ransomware is nog nooit zo groot geweest, en de versnelde evolutie van ransomwaretypen maakt de dreiging alleen maar groter. Het Threat Center schat dat het zeer waarschijnlijk is (≈80% - ≈90%) dat het komende jaar het aantal aanvallen zal toenemen, omdat groepen ervan zullen willen profiteren voordat het momentum wordt opgebouwd voor een onvermijdelijke regulering, of handhaving ransomware ineffectief maakt als een vorm van afpersing. Het kennen van de aard van de aanvallen waarmee u te maken krijgt en het onderhouden van een cyber resilience strategie zijn uw beste kansen om u te beschermen tegen ransomware in deze uitdagende omgeving.

     

    [1] " IDC-onderzoek wijst uit dat meer dan een derde van de organisaties wereldwijd te maken heeft gehad met een Ransomware-aanval of -inbraak ," International Data Corp.

    [2] " Eén grote ransomwarebedreiging is net verdwenen. Nu is er een andere opgesprongen om het gat te vullen ," ZDNet

    [3] " Lopende campagne met Avaddon Ransomware ," Australisch Cyberbeveiligingscentrum

    [4] " New Evil Corp Ransomware Mimics PayloadBin Gang to Evade U.S. Sanctions ," Bleeping Computer

    [5] " Ransomware bende gebruikt PrintNightmare om Windows Servers te kraken ," Bleeping Computer

    [6] " Ransomware bendes en de afleiding van het naamspel ," KrebsonSecurity

    [7] "Meer dan 304,7 miljoen recordaanvallen op ransomware in slechts 6 maanden, overschrijdt heel 2020 ," SonicWall

    gettyimages-1004464634.png
    Up Next
    E-mailbeveiliging |
    Ransomware stimuleert vraag naar beheerde beveiligingsdiensten

    Verwante Artikelen

    E-mailbeveiliging
    How to Measure the Success of Cyber Awareness Training
    E-mailbeveiliging
    The Rise of Identity-Based Attacks
    E-mailbeveiliging
    Building Security Awareness: A Modular Approach

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven