Utrecht, 23 juni 2022 -Kaspersky's Threat intelligence-team heeft een analyse uitgevoerd van de meest voorkomende tactieken, technieken en procedures (TTP's) die worden gebruikt door de 8 meest productieve ransomware-groepen, zoals Conti en Lockbit2.0, tijdens hun aanvallen. Uit het onderzoek blijkt dat verschillende groepen meer dan de helft van de cyber kill chain delen en de kernfasen van een aanval identiek uitvoeren. Deze monumentale studie van moderne ransomware, die gratis beschikbaar is, zal dienen als hulpmiddel om te begrijpen hoe ransomware-groepen te werk gaan en hoe je je tegen hun aanvallen kunt verdedigen.
De analyse in de gids is toegespitst op de activiteiten van Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte en BlackCat. Deze groepen zijn actief geweest in de Verenigde Staten, Groot-Brittannië en Duitsland, en hebben het tussen maart 2021 en maart 2022 gemunt op meer dan 500 organisaties in bedrijfstakken als productie, softwareontwikkeling en kleine ondernemingen.
De gids van 150 pagina's navigeert lezers door de stadia van het inzetten van ransomware, hoe cybercriminelen hun favoriete tools gebruiken en de doelen die ze hopen te bereiken. Lezers kunnen ook leren hoe ze zich kunnen verdedigen tegen gerichte ransomware-aanvallen en meer te weten komen over SIGMA-detectieregels, die kunnen worden gebruikt om hun preventieve maatregelen tegen de aanvallers op te bouwen.
Het Kaspersky's Threat Intelligence-team analyseerde hoe de ransomware-groepen de technieken en tactieken gebruikten die zijn beschreven in MITRE ATT&CK en vond veel overeenkomsten tussen hun TTP's in de hele cyber kill chain. De manieren waarop de groepen aanvielen bleken vrij voorspelbaar te zijn. Ransomware-aanvallen volgden een patroon dat het aanvallen van het bedrijfsnetwerk of de computer van het slachtoffer omvat, het afleveren van malware, verdere ontdekking, toegang tot credentials, het verwijderen van schaduwkopieën, het verwijderen van back-ups en, ten slotte, het bereiken van hun doelen.
De onderzoekers leggen ook uit waar de gelijkenis tussen de aanvallen vandaan komt:
- De opkomst van een fenomeen dat "Ransomware-as-a-Service" (RaaS) wordt genoemd, waarbijde ransomwaregroepen zelf geen malware afleveren, maar alleen de data-encryptiedienstenleveren. Aangezien de mensen die kwaadaardige bestanden leveren ook hun leven willenvereenvoudigen, gebruiken ze sjablonen voor leveringsmethoden of automatiseringstools omtoegang te krijgen.
- Hergebruik van oude en soortgelijke hulpmiddelen maakt het leven van aanvallers gemakkelijkeren verkort de tijd die nodig is om een aanval voor te bereiden.
- Het hergebruiken van gemeenschappelijke TTP's maakt hacken gemakkelijker. Hoewel hetmogelijk is om dergelijke technieken te detecteren, is het veel moeilijker om dit preventief tedoen voor alle mogelijke bedreigingsvectoren.
- Trage installatie van updates en patches bij slachtoffers. Vaak worden degenen die kwetsbaar zijn aangevallen
De systematisering van verschillende door aanvallers gebruikte TTP's heeft geleid tot de vorming van een algemene reeks SIGMA-regels in overeenstemming met MITRE ATT&CK – die dergelijke aanvallen helpen voorkomen.
“De afgelopen jaren is ransomware een nachtmerrie geworden voor de hele cybersecurity-industrie, met voortdurende ontwikkelingen en verbeteringen die door ransomware-exploitanten worden doorgevoerd. Het is tijdrovend en vaak een uitdaging voor cybersecurityspecialisten om elke afzonderlijke ransomware-groep te bestuderen en de activiteiten en ontwikkelingen van elke groep te volgen, in een poging om de race tussen aanvallers en verdedigers te winnen. Wij volgen de activiteiten van verschillende ransomware-groepen al geruime tijd, en dit rapport is het resultaat van een enorme hoeveelheid analytisch werk. Het doel ervan is om te dienen als een gids voor cybersecurityprofessionals die werkzaam zijn in allerlei soorten organisaties, zodat hun werk eenvoudiger wordt,” aldus Nikita Nazarov, Team Lead Threat Intelligence Group bij Kaspersky.
Dit rapport is gericht op SOC-analisten, threat hunting teams, cyberthreat intelligence analisten, digital forensics specialisten en cybersecurityspecialisten die betrokken zijn bij het incident response proces en/of degenen die de omgeving waar zij verantwoordelijk voor zijn willen beschermen tegen gerichte ransomware-aanvallen.
Meer informatie
- Securityexperts van Kaspersky zullen tijdens een webinar op 23 juni hun licht laten schijnen opde veelvoorkomende TT’ps van moderne ransomware-groepen en de manieren om deaanvallen te voorkomen. Je kan je hier gratis
- De openbare versie van het ransomware TTP's rapport kan je vinden op Securelist.com.
Tips
Om jezelf en je bedrijf te beschermen tegen ransomware-aanvallen, raadt Kaspersky aan om remote desktop services (zoals RDP) niet bloot te stellen aan openbare netwerken. Daarnaast is het handig om beschikbare patches voor commerciële VPN-oplossingen te installeren en ervoor te zorgen dat software of alle apparaten die je gebruikt altijd is bijgewerkt. Als laatste is verstandig om regelmatig back-ups te maken van gegevens.
###
Over Kaspersky
Kaspersky, opgericht in 1977, is wereldwijd actief op het gebied van cybersecurity en digital privacy. Kaspersky’s threat intelligence en security-expertise worden voortdurend omgezet in innovatieve security-oplossingen en -diensten om bedrijven, kritieke infrastructuren, overheden en consumenten van over de hele wereld te beschermen. Het uitgebreide securityportfolio van het bedrijf omvat toonaangevende endpoint security en een aantal gespecialiseerde security-oplossingen en -diensten om geavanceerde digitale bedreigingen te bestrijden. Meer dan 400 miljoen gebruikers en 240.000 zakelijke gebruikers worden beschermd door technologieën van Kaspersky. Kijk voor meer informatie op www.kaspersky.nl.