Zwarte gat rond ransomware trekt andere cyberbedreigingen aan

Sophos, speler in cybersecurity van de nieuwste generatie, publiceert het Sophos Threat Report 2022. Het rapport toont aan hoe het 'zwarte gat' van ransomware andere cyberbedreigingen naar zich toe trekt en zo één massaal, onderling verbonden bezorgsysteem vormt, met aanzienlijke gevolgen voor IT-beveiliging. Het rapport werd opgesteld door beveiligingsonderzoekers van SophosLab, Sophos Managed Threat Response threat hunters en rapid responders, en het Sophos AI-team. Het Threat Report biedt een uniek multidimensionaal perspectief op beveiligingsbedreigingen en trends waarmee organisaties in 2022 worden geconfronteerd.

De opvallendste trends volgens het Sophos Threat Report 2022:

1. In het komende jaar zal het ransomware-landschap zowel meer modulair als uniform worden, waarbij gespecialiseerde cybercriminelen verschillende elementen van een aanval as-a-service aanbieden en playbooks leveren met tools en technieken waarmee verschillende groepen tegenstanders zeer vergelijkbare aanvallen kunnen uitvoeren. Volgens de Sophos-onderzoekers maakten aanvallen door afzonderlijke ransomware-groepen in de loop van 2021 plaats voor meer ransomware-as-a-service (RaaS)-aanbiedingen, waarbij gespecialiseerde ransomware-ontwikkelaars kwaadaardige code en infrastructuur verhuren aan gelieerde derde partijen. Bij enkele van de opvallendste ransomware-aanvallen van het jaar was RaaS betrokken, waaronder een aanval tegen Colonial Pipeline in de VS door een filiaal van DarkSide. Een filiaal van Conti ransomware lekte de implementatiegids die door de exploitanten was verstrekt, en onthulde de stapsgewijze tools en technieken die aanvallers konden gebruiken om de ransomware in te zetten. Zodra ze over de nodige malware beschikken, kunnen RaaS-filialen en andere ransomware-exploitanten zich wenden tot Initial Access Brokers en malware delivery platforms om potentiële slachtoffers te vinden en te targeten. Dit voedt de tweede grote trend die Sophos voorziet.
2. Gevestigde cyberbedreigingen zullen zich blijven aanpassen om ransomware te verspreiden en af te leveren. Hieronder vallen loaders, droppers en andere commodity-malware; steeds geavanceerdere, door mensen bediende Initial Access Brokers; spam; en adware. In 2021 rapporteerde Sophos over Gootloader die nieuwe hybride aanvallen uitvoerde waarbij massacampagnes werden gecombineerd met zorgvuldige filtering om doelwitten voor specifieke malwarebundels te lokaliseren.
3. Het gebruik van meerdere vormen van afpersing door ransomware-aanvallers om slachtoffers onder druk te zetten losgeld te betalen zal naar verwachting doorgaan en toenemen in bereik en intensiteit. In 2021 catalogiseerden Sophos-incidentresponders 10 verschillende soorten pressietactieken, van gegevensdiefstal en blootstelling, tot dreigtelefoontjes, gedistribueerde DDoS-aanvallen (Distributed Denial of Service), en meer.
4. Cryptocurrency zal cybercriminaliteit zoals ransomware en kwaadaardige cryptomining blijven aanwakkeren, en Sophos verwacht dat de trend zal aanhouden totdat wereldwijde cryptocurrencies beter gereguleerd zijn. In de loop van 2021 hebben Sophos-onderzoekers cryptominers zoals Lemon Duck en de minder voorkomende MrbMiner blootgelegd. Deze maken gebruik van de toegang die wordt geboden door nieuw gemelde kwetsbaarheden en doelwitten die al zijn geschonden door ransomware-exploitanten, om cryptominers op computers en servers te installeren.

"Ransomware gedijt door zijn vermogen om zich aan te passen en te innoveren," zegt Chester Wisniewski, onderzoekswetenschapper bij Sophos. "Hoewel RaaS-aanbiedingen bijvoorbeeld niet nieuw zijn, was hun belangrijkste bijdrage in voorgaande jaren om ransomware binnen het bereik van lager geschoolde of minder goed gefinancierde aanvallers te brengen. Dit is veranderd en in 2021 investeren RaaS-ontwikkelaars hun tijd en energie in het maken van geavanceerde code en in het bepalen van hoe ze de grootste betalingen kunnen ontfutselen van slachtoffers, verzekeringsmaatschappijen en onderhandelaars. Ze schuiven nu de taken van het vinden van slachtoffers, het installeren en uitvoeren van de malware, en het witwassen van de gestolen cryptocurrencies af op anderen. Dit verstoort het cyberdreigingslandschap. Veelvoorkomende dreigingen zoals loaders, droppers en Initial Access Brokers die er al waren en ontwrichting veroorzaakten ver voor de opkomst van ransomware, worden meegezogen in het schijnbaar allesverslindende 'zwarte gat' dat ransomware is.”

"Het is niet langer voldoende voor organisaties om ervan uit te gaan dat ze veilig zijn door simpelweg beveiligingstools te monitoren en ervoor te zorgen dat ze kwaadaardige code detecteren. Bepaalde combinaties van detecties of zelfs waarschuwingen zijn het moderne equivalent van een inbreker die een bloemenvaas breekt terwijl hij door het achterraam naar binnen klimt. Verdedigers moeten waarschuwingen onderzoeken, zelfs de waarschuwingen die in het verleden misschien onbeduidend waren, aangezien deze veelvoorkomende inbraken zijn uitgegroeid tot de basis die nodig is om de controle over hele netwerken over te nemen."

Aanvullende trends die Sophos analyseerde zijn onder andere:

• Nadat de ProxyLogon- en ProxyShell-kwetsbaarheden in 2021 werden ontdekt (en gepatcht), was de snelheid waarmee ze door aanvallers werden aangegrepen zodanig dat Sophos nog meer pogingen verwacht om massaal misbruik te maken van IT-administratietools en exploiteerbare internetgeoriënteerde diensten door zowel geavanceerde aanvallers als doorsnee cybercriminelen.
• Sophos verwacht ook dat cybercriminelen meer misbruik zullen maken van simulatietools van tegenstanders, zoals Cobalt Strike Beacons, mimikatz en PowerSploit. Verdedigers moeten elke waarschuwing met betrekking tot misbruikte legitieme tools of combinaties van tools controleren, net zoals ze een kwaadaardige detectie zouden controleren, omdat het kan wijzen op de aanwezigheid van een indringer in het netwerk.
• In 2021 brachten onderzoekers van Sophos een aantal nieuwe bedreigingen in kaart die gericht zijn op Linux-systemen. Zij verwachten in 2022 een toenemende belangstelling voor op Linux gebaseerde systemen, zowel in de cloud als op web- en virtuele servers.
• Mobiele bedreigingen en social engineering scams, waaronder Flubot en Joker, zullen naar verwachting doorgaan en diversifiëren om zowel individuen als organisaties te targeten.
• De toepassing van kunstmatige intelligentie op het gebied van cyberbeveiliging zal doorgaan en versnellen, aangezien krachtige modellen voor machine learning hun waarde bewijzen bij het opsporen van bedreigingen en het prioriteren van waarschuwingen. Tegelijkertijd wordt echter verwacht dat tegenstanders meer gebruik zullen maken van AI, waarbij de komende jaren een verschuiving zal plaatsvinden van AI-geactiveerde desinformatiecampagnes en valse sociale mediaprofielen naar watering hole webcontent, phishing-e-mails en meer, naarmate geavanceerde deepfake video- en spraaksynthesetechnologieën beschikbaar komen.