Volgens onderzoek van Microsoft Intelligence zijn er op dit moment meer dan 100 cybercriminelen of criminele groeperingen actief die ransomware gebruiken als voornaamste wapen. Ook om ransomware as a service aan te bieden. Dit zegt de techgigant in een Twitter-draadje over ransomware.
Volgens de Twitter-posts hebben de securityteams van de techgigant meer dan 100 ‘threat actors’ in het vizier die ransomware verspreiden tijdens aanvallen. Inmiddels zouden ook meer dan 50 unieke ransomwarefamilies actief gevolgd worden. Op dit moment signaleert de techgigant de Lockbit Black-, BlackCat- (aka ALPHV), Play-, Vice Society-, Black Basta-, & Royal-ransomware payloads als de meest prominente bedreigingen.
Opmerkingen over aanvalsstrategieën
In het onderzoek constateert Microsoft verder dat verspreiders van ransomware steeds vaker dezelfde strategie gebruiken. Het inbreken en de manier waarop ze door netwerken bewegen is steeds beter te monitoren.
Daarnaast geeft Microsoft aan dat aanvallers steeds meer vertrouwen op aanvalstactieken die verder gaan dan bijvoorbeeld phishing. Recent ontdekte aanvallen als DEV-0671 en DEV-0882 richten zich bijvoorbeeld op recent gepatchte Exchange-kwetsbaarheden. Doel hiervan is kwetsbare servers te compromitteren en daarop Cuba- en Play-ransomware uit te rollen.
Verdediging niet alleen op payloads richten
Als antwoordt, zo blijkt verder uit de Twitter-draad, geeft Microsoft aan dat verdedigingsstrategieën tegen ransomware zich minder op de payloads zelf moeten richten. Belangrijker is op de keten van events te richten die ervoor zorgen dat ze kunnen worden uitgerold. Zeker, omdat ransomwarecriminelen steeds vaker servers of devices aanvallen die nog niet tegen algemene of recent bekende kwetsbaarheden zijn gepatcht.
Zo zijn meer dan 60.000 met het internet verbonden Exchange-servers nog steeds kwetsbaar voor onder meer ProxyNotShell RCE exploits. Ook moeten duizenden servers nog steeds woeden beveiligd tegen aanvallen op basis van de ProxyShell- ProxyLogon-kwetsbaarheden.
Tip: Microsoft roept beheerders op om Exchange servers te updaten
18 uur geleden
