4min

Het Israëlische cybersecuritybedrijf Sygnia heeft de pijlen gericht op RagnarLocker, een groep ransomware-criminelen. Met een mengelmoes van zelfontwikkelde tools en commerciële software dringen de hackers een bedrijfsnetwerk binnen, versleutelen ze belangrijke data en eisen ze losgeld van hun slachtoffers.

Volgens het cybercrime-meldpunt van de FBI nemen ransomware-aanvallen de laatste jaren alleen maar toe. Met een dergelijke aanval dringen hackers het netwerk binnen van een organisatie en maken ze belangrijke gegevens ontoegankelijk. Vervolgens eist de hackersgroep in kwestie losgeld, meestal in de vorm van bitcoin of andere cryptovaluta. Organisaties kiezen er vaak voor om te betalen, in de hoop om te voorkomen dat gevoelige data op straat komt te liggen of verloren gaat.

Tip: Een kijkje in de wereld van ransomware criminelen; Wat kan je als slachtoffer doen?

In het geval van de RagnarLocker-groep kiezen de hackers ervoor om belangrijke instanties als doelwitten uit te kiezen. Denk aan ziekenhuizen, belangrijke fabrieken en overheidsorganisaties. Dit doet de groep al sinds tenminste 2020, toen cybersecurity-experts ze detecteerden. De slachtoffers komen meestal uit Noord-Amerika of Europa.

Sygnia omschrijft welke stappen de hackersgroep neemt om tot een resultaat te komen, beginnend met een invasie en eindigend met uitbuiting. Let wel dat bij elke hackersgroep er een goed motief is om een methodiek als deze te vernieuwen: developers dichten software-lekken met nieuwe updates en op den duur gaan de patronen van cybercrime-technieken opvallen.

Eerste stappen

RagnarLocker is zowel de naam van de hackersgroep als de malware die het inzet. Er zijn veel soorten malware, maar uiteindelijk slechts een handjevol manieren om ze bij een instantie binnen te smokkelen. Zo kan een kwaadwillende actor iemand per e-mail oplichten of zwaktes exploiteren van software die van buiten de organisatie zichtbaar zijn. Bij Sygnia’s melding gaat het om een incident waarbij hackers een dergelijke zwakke plek exploiteerden, maar het verschaft verder geen details over de aard van het voorval.

Nadat het eerste systeem geïnfecteerd is, wordt de ransomware uitgestald in het mapje C:\users\public. Vervolgens zetten de hackers commerciële tools in, waaronder die van Microsoft zelf, om uitvoerig het bedrijfsnetwerk te doorspitten en op zoek te gaan naar gebruikers met toegang op afstand (remote access). Dit doet men door in de Windows logging-bestanden te zoeken naar remote desktop-sessies. Zodra een gebruiker met toegang tot andere pc’s binnen de organisatie geïnfecteerd is, kan de ransomware zijn werk doen. Een saillant detail is dat het proces stopt als een systeemtaal uit de voormalige Sovjet-Unie wordt herkend. Iedereen in die gebieden wordt dus ontzien.

Om de privileges van een IT-beheerder binnen de organisaties te kapen, dumpen (lees: kopiëren) de hackers het LSASS-proces (Local Security Authority Subsystem Service). Met andere woorden, men bemachtigt de toegangspas waarmee een systeembeheerder de schuifdeuren opent naar een computer van een andere gebruiker.

RagnarLocker maakt vervolgens gebruik van externe tools om van afstand de aanval verder te coördineren. Zowel het zogeheten Remote Manipulator System (RMS) als het volkomen legitieme AnyDesk komen voor bij een aanval van deze groep. RMS wordt mede gebruikt door cybercriminelen die door autoriteiten worden geassocieerd met de Russische geheime dienst (FSB). Met third-party tools zoeken de RagnarLocker-leden naar belangrijke data, onder andere met de zoekterm ‘confidential’ (geheim). Vervolgens worden de gegevens gekopieerd en versleuteld. Men stalt de benodigde tools wederom allemaal binnen veelgebruikte mappen op de C-schijf.

Countdown

De belangrijke gegevens krijgen vervolgens een encryptie, waar de extensie .rgnr met een variabele aan is toegevoegd. Alles van browsers tot prullenbak wordt ontoegankelijk voor een gebruiker die achter het bureau zit. Het enige dat men kan zien is een Notepad-bericht. Dit bericht legt aan het slachtoffer uit wat er gebeurd is, dat alle gegevens in gevaar zijn en geeft aan dat er weinig tijd is om te betalen. Een countdown-timer wordt vergezeld met een chat-functie, voor enige vragen over het verdere proces.

Wie ervoor kiest om niet te betalen, riskeert het verlies van talloze gegevens. Daarnaast kan RagnarLocker de data publiceren, met alle gevolgen van dien. De schade kan dan moeilijk te overzien zijn, bijvoorbeeld voor een bank en diens klanten of een ziekenhuis en diens patiënten. Het dreigement alleen zal voor veel tumult zorgen bij een organisatie. Dat is al een goede reden om van tevoren al een cybercrime-beleid op poten te hebben. Daarover later meer.

Wie wél betaalt, is niet alleen cryptomunten kwijt. Zelfs als een organisatie overstag gaat en toegang tot de eigen data kan verzekeren, blijft het gestolen dossier beschikbaar bij RagnarLocker zelf. Het hackerscollectief publiceert de gegevens wellicht niet, maar plaatst de naam van de opgelichte organisatie wel online. Voor veel bedrijven kan dat al veel imagoschade opleveren. Een bank die de eigen veiligheid niet op orde zou hebben, zal minder klanten werven. Kortom, genoeg reden om jezelf als organisatie te wapenen tegen deze cybercrime-tactieken.

Bescherming

RagnarLocker is dus afhankelijk van kwetsbaarheden in externe software. Het gebruikelijke advies om mails van buiten de organisatie niet zomaar te vertrouwen, is dus niet relevant. Veel voorkomende malware kan door antivirussoftware gepakt worden, maar die dient up-to-date te zijn. Sygnia licht een aantal extra stappen uit die van pas kunnen komen ter bescherming tegen RagnarLocker.

Het cybersecuritybedrijf raadt een PIM/PAM-oplossing aan. Deze vormen van IAM (identity and access management) geven bedrijven de kans om de toegang tot gebruikers te controleren. Het doel is om met systeembeheerderaccounts alleen toegang te verschaffen tot gebruikers waar het echt nodig is. Dit beperkt de bewegingsvrijheid voor cybercriminelen binnen het netwerk.

Ook hier geldt dat bedrijven liever voorkomen dan genezen als het gaat om een RagnarLocker-aanval. Toch zijn er een aantal manieren om tijdens een aanval de malware op te sporen en in te perken. Sygnia stelt dat de veel voorkomende mappen op de C-schijf goed gemonitord dienen te worden. Aparte namen van workstations, verdachte Windows-loggingdata en IP-uploads kunnen allemaal tekenen zijn van RagnarLocker. Ten slotte beschikt Sygnia over de naamgevingen en de tools die RagnarLocker kenmerken. Het zal voor deze groep dus wellicht noodzakelijk worden om hun tactieken te veranderen.

Tip: Genesis Market: hoe werkte deze criminele marktplaats en hoe werd hij opgerold?