De geschiedenis van ransomware-aanvallen gaat al meer dan dertig jaar terug. In deze periode hebben cybercriminelen onophoudelijk gewerkt aan de opbouw van hun ransomwarecapaciteit. En aan verbetering van hun logistiek om nog eenvoudiger computers te infecteren en de meest prominente doelwitten te bereiken. Dit hielp ransomware-exploitanten naar de top van de cybercriminele hiërarchie te klimmen en de nummer één te worden op het gebied van cyberdreiging. Gedurende de eerste elf maanden van 2021 ging het in meer dan 6 procent van alle door Group-IB onderzochte incidenten om ransomware.
Teskt: Dmitry Shestakov
Slechts weinigen weten dat het eerste prototype van wat wij vandaag kennen als ransomware reeds in 1989 verscheen. Hoewel dit prototype geen bestanden wist te versleutelen, gaat de geschiedenis van ransomware terug tot aan dat voorbeeld. Vele concepten die we vandaag beschouwen als onmisbare attributen van ransomware, namelijk exorbitante losgelden, programma’s voor Ransomware-as-a-Service (RaaS) en datalekkensites (DLS), moesten nog komen.
> LEES OOK: Nederlandse organisaties hebben bijna zes dagen nodig om cyberaanval te detecteren
Threat Intelligence & Attribution-systeem
Group-IB probeerde te achterhalen hoe de focus van de ransomware-industrie verschoof van geavanceerde gerichte aanvallen naar niet-gerichte, geaffilieerde malware-distributieprogramma’s door te kijken naar de geschiedenis van hoe deze diensten zich ontwikkelden. Dit werd vastgelegd in een rapport: Hi-Tech Crime Trends 2021/2022. Deel 2. Corporansom: threat number one. Met behulp van de mogelijkheden die het Threat Intelligence & Attribution-systeem biedt, is er in detail gekeken naar de belangrijkste malware-voorbeelden, tactieken, technieken en tools die worden gebruikt door dreigingsactoren en naar gebeurtenissen op het darkweb die hebben geleid tot het ontstaan van het huidige ransomware-imperium.
Misleiding om geld te verdienen
De eerste voorouder van de moderne ransomware die cyberbeveiligingsanalisten kennen, werd in 1989 verspreid met behulp van floppydisks en compact disks (cd’s) om van gebruikers geld af te persen met behulp van social engineering-technieken. De Trojan kon echter geen gegevens versleutelen en de makers waren niet op de hoogte van andere methoden dan misleiding om geld te verdienen.
Afpersing was vroeger ook een veelgebruikte techniek voor bedreigingsactoren die DDoS-aanvallen uitvoer den om geld te verdienen aan hun slachtoffers, die toen uiterst kwetsbaar waren voor DDoS-aanvallen door het ontbreken van content delivery-netwerken.
PGPcoder
Door gegevensversleuteling aan hun arsenaal toe te voegen in 2004, toen PGPcoder opkwam, benaderden cybercriminelen meer het concept van ransomware zoals we dat nu kennen. De
PGPcoder-exploitanten vroegen hun slachtoffers losgeld van ongeveer 13 dollar, een te verwaarlozen bedrag naar huidige maatstaven, waarbij losgeldeisen oplopen tot meer dan 200 miljoen dollar. Deze malware kon echter geen massale populariteit verwerven omdat deze alleen gericht was op individuen. Hun destijds weinig krachtige machines raakten aanzienlijk belast en daardoor waren zij gemakkelijk te detecteren.
WinLock-tijdperk
Eind 2000 deed zich een nieuwe trend voor: dreigingsactoren begonnen bepaalde functies van het besturingssysteem te blokkeren om losgeld te eisen. Dit markeerde het WinLock-tijdperk, dat een fenomeen voortbracht dat vandaag bekend staat als Ransomware-as-a-Service (RaaS). De populariteit van lockers bleef groeien en bereikte een hoogtepunt in 2012, waarna de populariteit begon af te nemen. Ze werden vervangen door de beruchte Cryptolocker-ransomware, wat de aanleiding was voor de sterke toename van het aantal aanbiedingen voor de verkoop van ransomware en RaaS-advertenties op ondergrondse fora. Het belangrijkste doelwit van ransomware-exploitanten waren toen individuen.
Het kantelpunt in de moderne geschiedenis van ransomware was 2015, toen de aanvallers hun aandacht verlegden naar zakelijke doelwitten, nadat ze hadden ingezien dat rechtspersonen vanuit zakelijk oogpunt een veel waardevollere prooi waren. In het jaar 2018 was de geboorte van een van de meest beruchte affiliateprogramma’s: GandCrab. Volgens sommige bronnen vormde de broncode van deze malware de basis van REvil’s Trojan.
> LEES OOK: Drie trends in cybersecurity: wendbaarheid is de nieuwe weerbaarheid
GrandGrab zet aanval in op grote ondernemingen
GandGrab werd de voorloper van het Big Game Hunting-fenomeen: het creëerde speciale teams voor verschillende activiteiten, waarvan één de aanval op grote ondernemingen was. Nog een tektonische verschuiving in de ransomware-industrie werd teweeg gebracht door de bendes Snatch en Maze, die niet alleen gegevens van bedrijven versleutelden, maar ook begonnen met het downloaden van de gegevens van de netwerken van hun slachtoffers om deze op hun eigen bronnen te publiceren.
Datalekkensites (DLS) met dubbele afpersingstechniek
Deze websites, bedoeld voor het vrijgeven van gegevens over de gecompromitteerde organisaties die weigerden te betalen, de zogenaamde dubbele afpersingstechniek, werden datalekkensites (DLS) genoemd. Deze techniek werd op grote schaal toegepast omdat dit het conversiepercentage, dat wil zeggen het aantal bedrijven dat koos voor betaling van het losgeld, voor cybercriminelen aanzienlijk heeft verhoogd. Het gebruik van de dubbele afpersingstechniek op basis van DLS, de actieve ontwikkeling van de markt voor RaaS-programma’s, als ook de toenemende populariteit van ransomwareprogramma’s bij financieel zwakkere cybercriminelen die vroeger moeilijker geld konden verdienen, hebben allemaal bijgedragen aan de opkomst van het ransomware-imperium op het cybercriminele toneel.
Heersende dynastieën
De afgelopen drie jaar hebben 51 RaaS-affiliate-programma’s het licht gezien. Sommigen stegen, zoals LockBit, Hive, SunCrypt of Avaddon, terwijl andere, realOnline Locker, Keystore Locker en Jingo Locker daalden. In de periode 2020-2021 verschenen er minstens 21 nieuwe RaaS-affiliate-programma’s op ondergrondse fora, een stijging van 19 procent in vergelijking met de overeenkomstige periode een jaar eerder. De advertenties waarin deze programma’s werden aangeprezen, verschenen tussen 2019 en 2021 op ten minste 15 darknetfora die werden beheerd door beheerders die zich in het Russisch uitdrukten. Darkwebforum exploit[.]in was het populairst, terwijl RAMP en xss.is ook de top 3 hebben gehaald.
RAMP werd opgericht als reactie op de zogenaamde ‘geen-losgeld-meer’-beweging
Opmerkelijk is dat in de evaluatieperiode, na een golf van grote aanvallen door verschillende groepen, met name REvil, forumeigenaren het adverteren voor affiliatie-programma’s op ondergrondse fora hebben verboden. Zij legden uit dat het verspreiden van ransomware te veel aandacht vestigde op andere hackeractiviteiten. RAMP werd opgericht als reactie op de zogenaamde ‘geen-losgeld-meer’-beweging.
Veel programma’s blijven geheim
De opkomst van nieuwe RaaS-affiliate-programma’s bereikte een hoogtepunt in de tweede helft van 2020, toen 14 nieuwe frameworks verschenen, een stijging van 75 procent ten opzichte van de eerste zes maanden van 2020. Het tempo van de opkomst van nieuwe DLS ligt echter veel hoger. Ter vergelijking: in 2021 ontdekten de analisten van Group-IB 29 nieuwe DLS en slechts 12 nieuwe affiliate-programma’s. Dat wijst erop dat de programma’s van veel ransomware-bendes privé blijven.
Stijging van aantal slachtoffers met 935 procent
De techniek van dubbele afpersing is echter even populair onder particuliere en openbare RaaS-affiliate-programma’s, waarbij het aantal slachtoffers van wie de gegevens op DLS werden vrijgegeven, explosief is gestegen in de evaluatieperiode. In de periode 2020- 2021 steeg het aantal slachtoffers van ransomware waarvan de gegevens via DLS waren gelekt naar 2371. Dat is een stijging met 935 procent in vergelijking met de vorige evaluatieperiode. Opmerkelijk is dat ransomware-exploitanten in de eerste drie kwartalen van 2021 47 procent meer gegevens hebben gepubliceerd (1966 bedrijven) dan in heel 2020, toen 1335 organisaties werden getroffen. Deze statistieken geven slechts een gedeeltelijk beeld van het tempo waarin het aantal ransomware-incidenten toeneemt, de werkelijke aantallen liggen enkele ordes van grootte hoger.
Eén van de bewijzen die voor een dergelijke veronderstelling pleitte, was de analyse van het beheerpaneel van het Hive RaaS-affiliate-programma, waaruit bleek dat de bende slechts informatie vrijgaf over ongeveer 13 procent van hun slachtoffers. Op basis van de analyse van DLS waren in 2020 Maze, Egregor, Conti en REvil de meest agressieve ransomware-stammen. In 2021 is de situatie veranderd en is het aandeel van bepaalde ransomware-bendes afgenomen, terwijl het aantal kleine ransomware-groepen is toegenomen. Desondanks is Conti erin geslaagd zijn leiderschap te verstevigen, met het grootste aantal op DLS geplaatste slachtoffers: 361.
De Verenigde Staten werden in 2020 het vaakst aangevallen, gevolgd door Canada en het Verenigd Koninkrijk
Verwerkende industrie, vast- goedsector en transportsector voornaamste doelwit
Volgens de gegevens van DLS die zijn geanalyseerd door de Threat Intelligence-analisten van Group-IB, werden de Verenigde Staten in 2020 het vaakst aangevallen, gevolgd door Canada en het Verenigd Koninkrijk. Tot de top 5 van aangevallen landen behoorden ook Frankrijk en Duitsland. In 2020 waren Noord-Amerika, Europa en de regio Azië-Stille Oceaan de regio’s met de meeste slachtoffers. Dit is in 2021 ongewijzigd gebleven. Voor de landen met het grootste aantal slachtoffers van ransomware is de situatie in het lopende jaar niet noemenswaardig veranderd. Frankrijk kwam echter in de top 3, terwijl Duitsland naar de zesde plaats zakte.
Als we het hebben over de sectoren die het voornaamste doelwit van ransomware-exploitanten zijn, zijn dat de verwerkende industrie, de vast- goedsector en de transportsector. De situatie in 2021 bleef nagenoeg ongewijzigd, wat erop wijst dat aanvallers zich vooral richten op dezelfde soorten bedrijven die volgens hen het meest winstgevend zijn.
Piek in ransomware-aanvallen
De markt voor Ransomware-as-a-Service (RaaS) heeft zich snel uitgebreid en veel financieel gemotiveerde groepen hebben hun aandacht verlegd naar ransomware-aanvallen. Twee factoren die beide hebben geleid tot een piek in het aantal onderzochte incidenten van dit type. In het eerste tot derde kwartaal van 2021 waren ransomware-aanvallen goed voor meer dan 60 procent van alle door Group-IB onderzochte incidenten. Ondanks het feit dat dit soort aanvallen snel zijn toegenomen en er veel verschillende cybercriminele groepen bij betrokken zijn geweest, zijn er toch aan- zienlijke overlappingen geweest in de tactieken, technieken en procedures die door de aanvallers worden gebruikt. Voorts is de typische reeks ransomware-technieken en -tools in wezen dezelfde gebleven.
Een andere factor die het volume en het succes van ransomware-aanvallen aanzienlijk heeft beïnvloed, was de ontwikkeling van een markt voor initial access brokers, waardoor veel aanvallers gemakkelijk toegang tot net werken konden krijgen. Over het algemeen waren de meest gebruikte toegangstechnieken, net als in de vorige evaluatieperiode: compromitteren van diensten voor toegang op afstand, phishing en het exploiteren van publieke toepassingen. Wat de post-exploitatie betreft, hebben deskundigen van Group-IB de aanvals- technieken geïdentificeerd die het vaakst bij beveiligingsincidenten worden gebruikt. Dit waren commando en scripting interpreter, remote-services en remote system discovery.
RaaS-programma’s nemen in aantal toen, maar in omvang af
Demonopolisering
De huidige ontwikkelingen op de ransomware-markt kunnen worden gezien als demonopolisering, waarbij RaaS-programma’s in aantal toenemen maar in omvang afnemen. De totale door RaaS-exploitanten veroorzaakte schade zal waarschijnlijk blijven toenemen, gevoed door de opkomst van nieuwe spelers en samenwerkingsverbanden tussen RaaS-programma’s en verkopers van toegang tot bedrijfsnetwerken. Bovendien zullen dezelfde personen waarschijnlijk talrijke RaaS-programma’s lanceren onder verschillende merknamen, wat vervolging ingewikkelder maakt.
Meer informatie
Meer voorspellingen en aanbevelingen over welke maatregelen moeten worden genomen om zich tegen ransomware-aanvallen te beschermen, zijn te vinden in het rapport ‘Hi-Tech Crime Trends 2021/2022. Deel 2. Corporansom: threat number one’ van Group-IB.
Volg Security Management op LinkedIn