Adverteren of een persbericht?

Cybercriminelen: eerste toegang om ransomware te verspreiden

Cybercriminelen: eerste toegang om ransomware te verspreiden, Nieuws.Social: Social media nieuws, social business, onderzoek, cijfers, trends en meer

Ransomware domineert zoals vanouds de krantenkoppen. Aanvallen op bijvoorbeeld Fujifilm of vleesverwerker JBS hebben tot flinke schade geleid voor die bedrijven. Ransomware-aanvallen maken nog steeds gebruik van e-mail, maar niet zoals je zou denken. Aanbieders van ransomware kopen vaak toegang van onafhankelijke cybercriminele groepen die belangrijke doelwitten infiltreren. Ze verkopen deze toegang voor een percentage van de uiteindelijke opbrengst. Het voorkomen van ransomware via e-mail is eenvoudig: blokkeer de loader en je blokkeert de ransomware.

Zogeheten ‘initial access brokers’ infecteren organisaties met malware in de eerste fase, zoals The Trick, Dridex of Buer Loader. Vervolgens verkopen ze hun toegang aan ransomware-criminelen die gegevens stelen en versleutelen. Volgens gegevens van Proofpoint vertegenwoordigden banking trojans – vaak gebruikt als ransomware-loaders – bijna 20% van alle malware die is waargenomen in de eerste helft van 2021. Het is daarmee het populairste malware-type dat Proofpoint tegenkomt.

Het ransomware-ecosysteem

Proofpoint volgt momenteel ongeveer een dozijn cybercriminele groepen die waarschijnlijk opereren als initial access brokers. Veel van de e-mailaanvallen met daarin malware-loaders hebben uiteindelijk geleid tot ransomware-infecties. Het is lastig om de samenwerking tussen access brokers en ransomware-criminelen te bevestigen. Criminelen doen er namelijk alles aan om hun identiteit te verhullen en detectie te ontlopen.

Initial Access Facilitators

De veelzijdige en schadelijke malware Emotet was voorheen een van de meest actieve verspreiders van malware. Hij heeft geleid tot kostbare ransomware-infecties tussen 2018 en 2020. Dankzij internationaal politieoptreden werd de malware in januari 2021 echter uitgeschakeld. De infrastructuur werd vernietigd en verdere infecties konden worden voorkomen.

Sinds de uitschakeling van Emotet heeft Proofpoint consistente activiteit waargenomen van vergelijkbare malware zoals The Trick, Dridex, Qbot, IcedID, ZLoader, Ursnif en vele andere. Proofpoint categoriseert deze malware-types onder de ‘banking’-familie. In de afgelopen zes maanden werden banking trojans in verband gebracht met meer dan zestien miljoen schadelijke berichten. Dit maakt ze tot het meest voorkomende type malware dat Proofpoint heeft waargenomen.

Onderzoekers van Proofpoint traceren toegang die wordt geadverteerd op hacking-forums van verschillende cybercriminelen. Afhankelijk van de gecompromitteerde organisatie en haar winstmarges, kan toegang worden verkocht voor een paar honderd tot duizenden dollars. Toegang kan worden gekocht met cryptocurrency, meestal bitcoin.

Proofpoint ziet een overlap tussen verschillende cybercriminele groepen, malware en ransomware-infecties. Uit gegevens van Proofpoint en informatie van derden blijkt bijvoorbeeld dat Conti-ransomware in verband is gebracht met meerdere first-stage loaders, waaronder Buer, the Trick, Zloader en IcedID. IcedID is ook in verband gebracht met Sodinokibi, Maze en Egregor ransomware-gevallen.

redactie

Redactie Nieuws.Social. Wij bestaan uit medewerkers van Vormgeven.nl, AtMost, AtMost.TV en een afvaardiging van ervaren bloggers.

Geef een reactie

Jouw e-mailadres wordt niet gepubliceerd.

This site uses Akismet to reduce spam. Learn how your comment data is processed.