Nieuw jaar, nieuwe ransomware?

Het landschap van ransomware verandert voortdurend. Onderzoek van Trend Micro toont aan dat veel RaaS-groepen zich niet alleen richten op grote doelwitten, maar ook op kleinere, minder goed beschermde bedrijven. Deze verontrustende trend naar kleinere en ‘zachtere’ doelwitten zet zich naar verwachting het komende jaar voort. De huidige dreigingsanalyse suggereert dat bekende ransomware-families zoals LockBit, BlackCat en Clop zeer actief zullen zijn in 2024.

Daarnaast duiken nieuwkomers op, zoals de groep ‘Akira’, die de aandacht trok met een recente ransomware-aanval op de Duitse IT-dienstverlener Südwestfalen-IT en daarmee veel gemeenten in Noordrijn-Westfalen trof.

In de eerste helft van het jaar was LockBit verantwoordelijk voor meer dan een kwart van alle door Trend Micro geregistreerde RaaS-aanvallen. BlackCat en Clop waren elk verantwoordelijk voor ongeveer 10% van de aanvallen. Organisaties moeten meer inzicht krijgen in de handelswijze van de cybercriminelen, om te voorkomen dat ze in de toekomst slachtoffer worden. Om hierbij te helpen, delen we het profiel van de vier ransomware-groepen waar organisaties het komende jaar scherp op moeten zijn.

LockBit

LockBit is actief sinds 2019 en wordt momenteel beschouwd als de belangrijkste ransomware-dreiging wereldwijd. Trend Micro meldde 1.844 LockBit-detecties in de eerste helft van 2023, waarmee het de meest geïdentificeerde ransomware was. De groep gebruikt verschillende malware-versies, waardoor het voor organisaties een uitdaging is om zich hiertegen te verdedigen. De nieuwste versie, die sinds januari 2023 circuleert, wordt ‘Lockbit Green’ genoemd.

In april ontdekte Trend Micro hoe cybercriminelen LockBit gebruikten als payload bij het uitbuiten van kwetsbaarheden in het veelgebruikte PaperCut. In juni 2023 richtte de LockBit-bende zich op een leverancier van 's werelds grootste fabrikant van chips, TSMC, en kreeg toegang tot de gegevens van het bedrijf. De cybercriminelen achter LockBit eisten 70 miljoen dollar van TSMC en dreigden de gestolen gegevens vrij te geven als er niet werd betaald. De groep haalde de krantenkoppen met een succesvolle aanval op de Amerikaanse vliegtuigbouwer Boeing, waarbij vervolgens vele gigabytes aan vermeend gestolen gegevens werden gepubliceerd.

BlackCat

BlackCat (ook bekend als ALPHV) werd bekend als de eerste professionele ransomware-familie die werd ontwikkeld in de programmeertaal Rust, bekend om zijn beveiligingsfuncties en parallelle verwerkingsmogelijkheden.

BlackCat is berucht om zijn drievoudige afpersing, waarbij gegevensdiefstal wordt gecombineerd met DDoS-aanvallen (Distributed Denial-of-Service) op de infrastructuur van de slachtoffers. Midden november kozen de criminelen voor een nieuwe aanpak om betaling af te dwingen. Ze dienden een klacht in bij de U.S. Securities and Exchange Commission (SEC) tegen financiële technologieleverancier MeridianLink, omdat deze niet zou hebben voldaan aan de rapportageverplichtingen na de aanval. Hoewel het onwaarschijnlijk is dat MeridianLink te maken zal krijgen met juridische gevolgen omdat de meldingsplicht op 15 december van dit jaar pas ingaat, gaat deze tactiek in de toekomst naar verwachting vaker voorkomen.

Clop

Clop, ook bekend als Cl0p, werd in eerste instantie bekend door het compromitteren van grote organisaties in verschillende sectoren met behulp van afpersing in meerdere fasen. De groep is nu meer gericht op gegevensdiefstal en bijbehorende afpersingsmodellen.

De cybercriminelen achter Clop beweren 130 organisaties te hebben gecompromitteerd door een kwetsbaarheid in de GoAnywhere-software voor bestandsoverdracht van Fortra te gebruiken. Onder de slachtoffers van deze massale aanval zou ook de stad Toronto zijn. Daarnaast was Clop verantwoordelijk voor een wijdverspreide gegevensdiefstal waarbij misbruik werd gemaakt van een zero-day exploit in MOVEit Transfer, een platform voor beveiligde gegevensoverdracht. De aanval trof meer dan 2.000 bedrijven en meer dan 62 miljoen klanten. Volgens schattingen in juli hebben de criminelen meer dan 100 miljoen dollar buitgemaakt met deze reeks aanvallen.

Akira

Akira kwam in het vizier van de cybersecurity-industrie met een verwoestende aanval op de dienstverlener Südwestfalen-IT. De aanval legde sinds eind oktober meer dan 70 gemeenten in de Duitse deelstaat Noordrijn-Westfalen lam. De cyberaanval bracht de administratie van de getroffen overheden tot stilstand en leidde tot de volledige sluiting van sommige kantoren. Er wordt gewerkt aan de wederopbouw, maar de vooruitgang verloopt traag, waardoor verschillende overheidsdiensten in de getroffen gemeenten beperkt blijven.

De criminelen achter deze nieuwe groep lijken bekende figuren in de cyberwereld te zijn. Procesanalyses van de malware die sinds maart 2023 circuleert, suggereren connecties met Conti. Overeenkomsten met Conti zijn onder andere string obfuscation, gegevensversleuteling-methoden en het vermijden van specifieke bestandsextensies.

Akira was voornamelijk gericht op entiteiten in Frankrijk (53%) of de Verenigde Staten, met de nadruk op kleine en middelgrote bedrijven. Met 508 detecties in juni 2023 is het aanvalspercentage echter aanzienlijk toegenomen. Net als de meeste andere groepen gebruikt Akira dubbele afpersing, met losgeldeisen variërend van 200.000 tot meerdere miljoenen dollars.

Conclusie

Cybercriminelen professionaliseren en bieden RaaS-diensten aan aan andere kwaadwillenden met minder technische expertise. In combinatie met een verschuiving naar ‘zachtere’ doelwitten, maakt deze trend ransomware tot een belangrijke economische dreiging het komende jaar.

Gevestigde partijen zoals LockBit hebben onderling sterk verbonden en professionele infrastructuren ontwikkeld, waardoor ontmanteling onzeker is. Zelfs als ransomware-groepen worden ontbonden, kunnen ze zich kort daarna opnieuw organiseren, zoals blijkt uit de Conti-achtige overeenkomsten in de Akira-code. Bedrijven moeten zich daarom goed voorbereiden, hun bestaande beveiligingsarchitectuur dringend controleren op kwetsbaarheden en waar mogelijk verbeteringen aanbrengen, omdat cybercriminelen ongetwijfeld hun volgende stappen aan het plannen zijn.

Door: Pieter Molen (foto), Technical Director Benelux bij Trend Micro