1. Blog
  2. Social engineering
  3. Ransomware 2020: betaal of vind uw gegevens online

Ransomware 2020: betaal of vind uw gegevens online

Onze kwaadwillende tegenpartijen hebben weer een nieuwe manier gevonden om hun inkomsten te verhogen en tegelijkertijd de slachtoffers van ransomware-aanvallen met de puinhoop achter te laten.

Onaangenaam, maar voorspelbaar en beheersbaar

Ransomware bestaat al een tijdje en nadat er de afgelopen jaren regelmatig verhalen over incidenten in het nieuws zijn gekomen, zijn de meeste bedrijven nu goed op de hoogte van de mogelijke gevolgen van een cryptolockerinfectie op hun systemen. Iedereen kan het doelwit van een aanval worden: gestolen identiteitsgegevens worden misbruikt, een onoplettende gebruiker opent een kwaadaardige e-mailbijlage, een ongepatcht kwetsbaar punt wordt uitgebuit, en natuurlijk behoort ook een ”zeroday”- aanval tot de mogelijkheden.

Back-ups waren tot nu toe de heilige graal voor het beperken van de schade die wordt veroorzaakt door ransomware-aanvallen. Zijn al mijn bestanden versleuteld? Geen probleem; laat mij het gewoon herstellen van mijn back-up en we zijn in een mum van tijd weer op weg. Het aantal verloren bestanden is vaak minimaal en de hersteltijd is meestal acceptabel. Er zijn gevallen geweest waarin het back-upsysteem enkele haperingen vertoonde, zoals het toegankelijk zijn (en dus verwijderen) van het netwerk, het gebruik van geen of slechte (of gestolen) gegevens, onjuiste configuratie, onvolledige dekking, enz. Meestal konden de bedrijven met goed geïnstalleerde en geconfigureerde back-ups er zeker van zijn dat een cryptolocker-infectie niet zoveel schade zou veroorzaken, daarom was het veelal niet nodig om losgeld te betalen.

Het verhogen van de inleg

Blijkbaar zijn deze beperkte successen van de slachtoffers een bron van frustratie geweest voor de vriendelijke ransomware eigenaren. Hoewel ze hun best doen om een modern decoderingsplatform te bieden (zie onderstaande afbeelding), en zelfs full-blown helpdesk diensten, hebben te veel “klanten” geweigerd om hun losgeld te betalen, en zouden liever het herstel in eigen hand nemen, of zouden, in sommige gevallen, vanaf nul heropbouwen in plaats van het betalen van een bedrag aan bitcoin.

Sinds eind 2019 heeft tenminste één hackerscollectief besloten om dit probleem op te lossen door een aantal nieuwe tactieken toe te passen slachtoffers te dwingen tot het betalen van het losgeld. In plaats van alleen maar de gegevens te ontcijferen, draagt de Maze ransomware deze eerst over aan de systemen van de aanvaller. Slachtoffers die weigeren te betalen, worden gedreigd met het vrijgeven van hun bedrijfsgegevens; deze kunnen worden verkocht aan de hoogste bieder of worden vrijgegeven in open source.

Ransomware-ontwikkelaars waarschuwen slachtoffers hier al een tijdje voor, maar tot nu toe zijn dergelijke beweringen nooit onderbouwd. Deze ongelukkige evolutie zou het begin kunnen zijn van een nieuw hoofdstuk in het ransomwareboek, te beginnen met het verhaal van Allied Universal. Dit omvangrijke beveiligingsbedrijf uit de Verenigde Staten werd aangevallen en geïnfecteerd door Maze ransomware. Als een zichzelf respecterende beveiligingsspeler koos Allied Universal ervoor om te herstellen zonder het losgeld van 300 bitcoins te betalen.

Team Maze, met de naam TA2101, dreigde de inbreuk openbaar te maken als Allied Universal niet zou betalen. Omdat de bedreigingen onbeantwoord bleven, nam TA2101 contact op met beveiligingsonderzoeker Lawrence Abrams van BleepingComputer, om hem een artikel te laten publiceren over de Allied Universal-breuk, terwijl hij een aantal screenshots leverde die hun toegang tot de interne systemen bewezen. Later voegden de Maze-actoren dreigementen toe over het voeren van een spamcampagne met behulp van de domeinnaam en e-mailcertificaten van Allied Universal. Het hackers-collectief vermeldde in hun communicatie hoe Allied Universal een steek hebben laten vallen met betrekking tot hun interne veiligheid door wachtwoorden op te slaan in een tekstbestand met de naam “pw.txt“.

BleepingComputer heeft ervoor gekozen om niet samen te werken met de hackers, wat hen ertoe heeft aangezet om uiteindelijk een link te publiceren naar 700MB aan interne Allied Universal data op het BleepingComputer forum en op een Russisch hackforum. Het bericht op het Russische forum wordt hieronder weergegeven (bron: bleepingcomputer). Het is onduidelijk of dit uiteindelijk heeft geleid tot het buigen voor de dreigementen en het betalen van de nu 450 gevraagde bitcoins (samen goed voor ongeveer 3,8 miljoen dollar) door Allied Universal.

Mazenews

Het lijkt er echter op dat de moeizame strijd met Allied Universal het hackerscollectief TA2101 inzicht heeft gegeven in de manier waarop bedrijven onder druk kunnen worden gezet om losgeld te betalen. In plaats van te vertrouwen op nieuwswebsites en fora om de naming and shaming te doen, besloten ze een handige eigen website op te zetten.

Een paar weken lang kon iedereen op deze site kijken welke bedrijven het slachtoffer waren geworden van Maze en weigerden het losgeld te betalen. De artikelen van elke overtreding bevatten de datum van het slot, vergrendelde apparaten (hostnamen), IP-adressen en de totale hoeveelheid vergrendelde gegevens. In sommige gevallen werden ook feitelijke documenten toegevoegd, om aan te tonen dat het menens was.

Een van de slachtoffers, Southwire, waar 120 GB aan gegevens werd gestolen voor 850 BTC aan losgeld, klaagde het Maze-team aan voor de gegevensdiefstal en -publicatie, wat genoeg ophef maakte om de provider de website uit de lucht te halen. Dit heeft een tijdelijk einde gemaakt aan de gegevenspublicaties, maar de kans is klein dat dit soort praktijken hierdoor volledig wordt stopgezet. Een andere speler in de malwarewereld, UNKN, die bekend staat om de Revil/Sodinokibi ransomware, heeft soortgelijke bedoelingen aangegeven op online fora.

Naast het publiekelijke naming & shaming van de slachtoffers, wat aanzienlijke reputatieschade veroorzaakt, maakt standaard exfiltratie van gegevens vóór encryptie van een ransomware-infectie een volwaardige data-inbreuk. Zelfs als het slachtoffer meespeelt en betaalt, hebben de gegevens het bedrijfsnetwerk nog steeds verlaten en is er absoluut geen garantie dat de boosdoeners de gegevens netjes zullen verwijderen zonder er naar te kijken of ze te verspreiden. De gegevens kunnen Intellectuele Eigendom of Persoonlijk Identificeerbare Informatie bevatten, waardoor de GDPR van toepassing is, samen met de forse boetes!

We kunnen concluderen dat deze evoluties in het beste geval behoorlijk eng zijn en dat de veiligheidsteams hun inspanningen zullen moeten intensiveren om hun netwerken te beschermen.  Bewustwordingstraininginbraakdetectiegelaagde verdediging, enz. Een goed uitgevoerd beveiligingsplan zal in de nabije toekomst onmisbaar worden.

Delen