Grote ransomwaregroepen maken steeds vaker gebruik van remote encryptie bij hun aanvallen. Ook wel remote ransomware genoemd, is deze vorm van cybercrime jaar-op-jaar met 62 procent toegenomen
Dat blijkt uit data van Sophos. De groepen Akira, ALPHV/BlackCat, LockBit, Royal en Black Basta maken nu meer gebruik van remote encryption. Ze misbruiken daarbij een gecompromitteerd en vaak onvoldoende beschermd endpoint. Via dat endpoint versleutelt de ransomwaretechniek data op andere apparaten op hetzelfde netwerk. De eerste toegang kan via een endpoint zoals een pc verlopen, maar ook bijvoorbeeld via een server of smartphone.
Op zoek naar het ene zwakke punt
Doorgaans proberen hackersgroepen direct ransomware te installeren op machines die ze willen encrypten. Als zo’n eerste poging wordt geblokkeerd, geven ze echter niet direct op. Ze zoeken naar nieuwe methodes om alsnog binnen te komen. Wanneer hackers toch een endpoint van een bedrijf succesvol aanvallen, hebben ze hun toegangspunt gevonden. Alle malafide activiteiten – het binnenkomen, het uitvoeren van de payload en de versleuteling – weten de securitymechanismes te omzeilen. Mogelijk kan wel verdacht gedrag gedetecteerd worden, zoals het verplaatsen van data tussen endpoints.
Sophos ziet hierin grote verschillen tussen beheerde en onbeheerde apparaten. Zo zou vier op de vijf remote encryptie-gevallen beginnen bij onbeheerde apparaten op een bedrijfsnetwerk. Sommige beginnen zelfs bij endpoints waar te weinig securitymechanismes aanwezig zijn. Deze apparaten hebben simpelweg te weinig bescherming om een aanval tegen te gaan.
Voor hackers is remote ransomware zeer interessant vanwege de schaalbaarheid. Slechts één onbeheerd of onvoldoende beveiligd endpoint kan het toegangspunt zijn om de volledige IT-infrastructuur van een bedrijf te teisteren met remote encryptie. Zelfs als alle andere apparaten gebruikmaken van hoogwaardige securitytools, is één zwak endpoint een grote risicofactor.
Opkomst van remote ransomware
Sophos constateert nu dus een aanzienlijke jaar-op-jaargroei van remote ransomware. Het gaat om een toename van 62 procent. Dit cijfer baseert Sophos op basis van activiteiten die zijn anti-ransomware CryptoGuard verzamelt. CryptoGuard monitort malafide encryptie van bestanden en biedt bescherming tegen de kwade activiteit. Ten 2022 heeft CryptoGuard een toename van 62 procent in remote ransomware gezien.
Voorheen was de techniek echter veel minder populair. CryptoLocker was in 2013 de eerste bekende ransomwarefamilie die remote encryptie gebruikte. “Sindsdien zijn aanvallers erin geslaagd het gebruik van ransomware te escaleren, als gevolg van alomtegenwoordige, aanhoudende beveiligingslekken bij organisaties over de hele wereld en de opkomst van cryptovaluta”, omschrijft Sophos. “Aangezien het lezen van gegevens via een netwerkverbinding langzamer gaat dan vanaf een lokale schijf, hebben we gezien dat aanvallers, zoals LockBit en Akira, slechts een fractie van elk bestand strategisch versleutelen. Deze aanpak is gericht op het maximaliseren van de impact in minimale tijd, waardoor de periode waarin verdedigers de aanval kunnen opmerken en reageren verder wordt verkleind.”
Tip: Veeam 23H2-update voegt malwaredetectie en Sophos-samenwerking toe
2 dagen geleden
