Anno 2023 is ransomware nog steeds de meest beangstigende term voor internetgebruikers en organisaties. Na jaren van obscuriteit explodeerde de populariteit van deze groep kwaadaardige softwares tussen 2015 en 2017. Sindsdien zijn de opbrengsten gegroeid en is de cybercrime-markt geprofessionaliseerd. Echter hebben cyber-experts en overheidsinstanties deze dreigingen steeds meer in de smiezen, waardoor innovatie van “threat actors” noodzakelijk zal blijven.
Ransomware kent een lange voorgeschiedenis, waarbij het populaire oorsprongsverhaal in 1989 plaatsvond. Tijdens een AIDS-conferentie van de WHO werd via een floppy op duizenden computers een stukje software geplaatst dat na 90 bootcycli om 189 dollar vroeg. Het versleutelde bestanden, maar was eenvoudig te verwijderen.
Wie echter een wat breder historisch perspectief wil verkrijgen, kan terecht bij Trend Micro. De explosie van ransomware in de laatste jaren kent twee prominente voorgangers binnen het internettijdperk. Daar waar antivirus-scams tussen 2005 en 2010 hun hoogtijdagen beleefden, werd locker-software in de vijf jaar daarna populair. Het ging daarbij om het volledig afsluiten van toegang voor de eindgebruiker, met een dwangsom om het op te lossen. Wat ransomware definieert, is het feit dat het data versleutelt en niet de OS. Daarnaast heeft men in latere jaren het plan van aanpak uitgebreid met extra dreigementen, waarover later meer.
Escalatie van opbrengsten
De reden dat we over een ‘evolutie’ van ransomware kunnen spreken, is dat het net als in het dierenrijk als malware-species een competitief voordeel op de concurrentie had. Daar waar de opbrengsten voor cybercriminelen bij de antivirus-scams tussen de 20 en 100 dollar vielen, bleek locker-malware met een gemiddelde opbrengst van 100 dollar een stuk lucratiever. Ransomware heeft echter een enorme escalatie van deze opbrengsten mogelijk gemaakt, waarbij Trend Micro inschat dat deze tussen de 100 en meer dan 1000 dollar per slachtoffer valt.
De motor achter zowel locker-malware en ransomware was ongetwijfeld de opkomst van cryptografie, laat Flashpoint weten. Doordat het versleutelen van besturingssystemen en data mogelijk werd, konden criminelen met meer dan alleen misleiding een dwangsom opeisen. Men had nu ook echt een dreigmiddel in handen, want wie geen back-up had en niet wilde betalen, was bijna altijd de pineut.
Van korte dreiging naar alomtegenwoordig
Een van de bekendste namen onder de ransomware-varianten was CryptoLocker, dat in 2013 explodeerde. Flashpoint constateert dat dit de eerste variant was die zich automatisch verspreidde dankzij een botnet, dat door het leven ging als Gameover Zeus. Door het neerhalen van dit botnet in 2014 stortte de infrastructuur voor deze cybercriminelen in, maar niet voordat men ongeveer 3 miljoen dollar aan losgeld had geïnd.
In 2015 wist de zogeheten GOLD LOWELL-groep met de SamSam-ransomware organisaties niet alleen een organisatie binnen te dringen, maar kon men ook echt zelf aan de knoppen zitten via een internetverbinding. Zo kon men veel meer schade aanrichten dan een geautomatiseerd script dat wellicht soms zonder resultaat rondhangt in een IT-infrastructuur.
Staatsactoren
De echte explosie van ransomware kwam voor in 2016-17, door de dreigingen Petya, NotPetya en WannaCry. Bij Google Trends is in ieder geval te zien dat de term ‘ransomware’ op dit moment ook echt bij een groter publiek aan bekendheid wint. Petya verspreidde zich via exploit kits, phishing-mails en remote desktop protocol-aanvallen. Het voorkwam dat een desktop opstartte, totdat het een ransom note liet zien die betaling in Bitcoin eiste. Soms bleek de betaling echter niet genoeg en bleven de gegevens versleuteld. De krachtigere NotPetya-variant zorgde in 2017 voor veel meer schade, naar schatting zo’n 10 miljard dollar. Met name Oekraïne kreeg het enorm te verduren. Het maakte gebruik van de “EternalBlue”-exploit in Windows, dat ontwikkeld zou zijn door de Amerikaanse inlichtingendienst NSA. Volgens de VS, het Verenigd Koninkrijk en Australië zat Rusland achter de aanval.
In mei 2017 was de verschijning van WannaCry explosief, maar werd het eveneens vrij snel weer uitgeschakeld. Het besmette in zeer korte tijd 230.000 systemen. De vermeende dader: de Noord-Koreaanse Lazarus Group. De serie van aanvallen zorgde voor een schade ter waarde van 4 miljard dollar. Ook WannaCry maakte gebruik van EternalBlue en wilde graag betaling zien in Bitcoin. Inmiddels is de crypto-betaling gemeengoed onder nagenoeg alle ransomware-varianten.
In beide gevallen waren het dus staatsactoren die verdacht worden van de cyberaanvallen, terwijl deze soort partijen niet altijd achter grootschalige operaties zitten. Ransomware ontwikkelde zich in deze jaren juist ook richting democratisering en commercialisering.
Ransomware-as-a-Service
Tot niet al te lang geleden was cybercrime iets voor mensen die hun IT-vaardigheden voor kwaadaardige doeleinden wilden inzetten. Het winstoogmerk is steeds relevanter geworden, met meer geïnteresseerden tot gevolg. Hoe konden zoveel mogelijk individuen die niet per se al te innovatief waren, meedoen? De oplossing is inmiddels al wat langer gekristalliseerd: ransomware-as-a-Service.
Er zijn veel componenten te onderscheiden aan cyberdreigingen. Zo is het compromitteren van persoonlijke data en inloggegevens al verhandelbaar. De laatste jaren zijn daarom initial access brokers (IAB’s) opgekomen. Zo was er tot voor kort Genesis Market, dat “digitale vingerafdrukken” verkocht waarmee andere partijen aan de haal gingen. Zelf hoefde men niet meer een IT-omgeving binnen te dringen om geld te ontvangen.
Tip: Genesis Market: hoe werkte deze criminele marktplaats en hoe werd hij opgerold?
Meer ‘extortion’ dan je bij kunt houden
De cybercriminelen die daadwerkelijk een IT-omgeving binnendringen, hebben meer manieren gevonden om geld te verdienen. Zo is men steeds meer gebruik gaan maken van afpersingstactieken. Daar waar de ‘extortion’ aanvankelijk om het versleutelen van data ging, is het nu logischer om gebruik te maken van ‘double’ of zelfs ’triple’ of ‘quadruple extortion’. Het gaat hier om een combinatie van steeds complexere dreigingsmiddelen. Naast het versleutelen van data kan deze ook weggesluisd worden met het dreigement om deze gegevens te publiceren. Ook kan men dreigen met verdere DDoS-aanvallen of extra consequenties als er autoriteiten ingeschakeld worden.
Deze ontwikkeling was al in 2018 te zien met de verschijning van Gandcrab, waarbij de data dus niet alleen versleuteld werd maar ook werd weggesluisd. Een jaar later kwam de cybercrimegroep Snatch met het idee om een ‘leak site’ op te zetten, waarop de gegevens van slachtoffers gepubliceerd werden. Inmiddels is LockBit 3.0 een voorbeeld dat anno 2023 opereert en organisaties probeert af te persen op deze manier.
Lees ook: LockBit 3.0, de marktleider in ransomware
Deze methodiek is inmiddels wijdverspreid en succesvol, maar soms zijn er variaties. Zo zijn er partijen die het versleutelen van data links laten liggen, maar enkel dreigen met het publiceren van gegevens. Dit kan voor een bank, ziekenhuis of overheidsinstantie al dermate schadelijk zijn dat het betalen van het losgeld aantrekkelijk oogt.
De toekomst: doelgerichter en vermengd met traditionele criminelen
Ransomware kent vooralsnog geen logische opvolger in cybercrime-land. Wel verwachten security-experts dat de staatsinmenging hierbij verder toe zal nemen. Het is vaak lastig om met zekerheid te stellen waar een dader vandaan komt, wat de staten beschermt. Al zijn de doelwitten daarin vaak een aanwijzing.
Ook is het de verwachting van Trend Micro dat ransomware-bendes steeds meer vermengd zullen zijn met traditionele criminele organisaties, die net als de rest van de maatschappij digitaliseren.
Gelukkig zijn er aanzienlijke obstakels voor toekomstige ransomware-aanvallers. Zo zorgt crypto-regulering er steeds meer voor dat de traceerbaarheid van deze groepen beter wordt. Ook zijn er meer sancties voor bedrijven die (onwetend of niet) hulp bieden aan deze criminelen via hun services. Ten slotte zijn cybercriminelen ook zelf vatbaar voor datalekken en krijgen de autoriteiten steeds vaker toegang tot de interne netwerken van criminele bendes met infiltraties.
Ook zorgt de echte wereld voor problemen bij de digitale onderwereld. Zo is de potente Conti-groep na een geschil opgebroken en heeft het conflict tussen Rusland en Oekraïne voor veel politiek gemotiveerde tumult gezorgd in cybercrime-netwerken. Ongetwijfeld zal men op den duur herpakken, zeker omdat cybersecurity nog altijd niet op orde is bij veel organisaties.
Voor meer informatie over het beschermen tegen een ransomware-aanval hebben we een whitepaper van Cohesity beschikbaar.
17 uur geleden
