Breda, 20 december 2023 –
Sophos, een wereldleider in vernieuwende cybersecurity als service, publiceert een verslag met de titel ‘
CryptoGuard: An Asymmetric Approach to the Ransomware Battle’. Daarin werd ontdekt dat sommige van de meest succesvolle en actieve ransomware-groepen, waaronder
Akira,
ALPHV/BlackCat,
LockBit,
Royal en Black Basta, bewust versleuteling op afstand kiezen als aanvalsstrategie. Bij aanvallen met versleuteling op afstand, ook bekend als ransomware op afstand, benutten kwaadwillenden een gecompromitteerde en vaak slecht beschermde computer om gegevens te versleutelen op andere apparaten die met hetzelfde netwerk verbonden zijn.
De antiransomwaretechnologie
CryptoGuard is sinds 2015* in het bezit van Sophos en maakt deel uit van alle
Sophos Endpoint-licenties. CryptoGuard merkt automatisch de malafide versleuteling van bestanden op en biedt onmiddellijke bescherming en functies om de schade ongedaan te maken, ook wanneer de ransomware zelf nooit op een beschermde host opduikt. Deze unieke antiransomwaretechnologie is een laatste verdedigingslinie in de gelaagde endpoint-bescherming van Sophos. Ze wordt alleen geactiveerd als een aanvaller ze later in de aanvalsketen triggert. Sinds 2022 heeft CryptoGuard 62% meer opzettelijke versleutelingsaanvallen op afstand gedetecteerd.
“Sommige bedrijven hebben duizenden computers aangesloten op hun netwerk. Ransomware op afstand heeft maar één slecht beschermd apparaat nodig om het volledige netwerk in gevaar te brengen. Aanvallers weten dat en gaan dus op zoek naar die ene ‘zwakke plek’ – en de meeste bedrijven hebben die ook. Versleuteling op afstand zal een hardnekkig probleem blijven voor verdedigers, en volgens de alarmsignalen die we hebben gezien, wint deze aanvalsmethode aan populariteit”, zegt Mark Loman, vicevoorzitter van het dreigingsonderzoek bij Sophos en medeontwikkelaar van CryptoGuard.
Bij dit soort aanvallen worden de bestanden op afstand versleuteld. Daardoor ‘zien’ traditionele beschermingsmethoden tegen ransomware op externe apparaten de kwaadaardige bestanden of de activiteiten van aanvallers niet, en kunnen ze die apparaten ook niet beschermen tegen illegale versleuteling en mogelijk dataverlies. De technologie van Sophos CryptoGuard hanteert echter een innovatieve werkwijze om ransomware op afstand tegen te houden.
Het artikel van Sophos X-Ops licht dat verder toe: de inhoud van de bestanden wordt geanalyseerd om na te gaan of de gegevens versleuteld zijn, en om ransomware-activiteit te detecteren op welk apparaat in een netwerk, zelfs als er op dat apparaat geen ransomware staat.
In 2013 was CryptoLocker de eerste ransomware die met succes versleuteling op afstand met asymmetrische encryptie gebruikte, ook wel publieke-sleutelcryptografie genaamd. Sindsdien zijn criminelen erin geslaagd om het gebruik van ransomware drastisch te laten toenemen, geholpen door de alomtegenwoordige en blijvende gaten in de beveiliging van bedrijven wereldwijd en de komst van cryptomunten.
“Toen we tien jaar geleden voor het eerst zagen dat
CryptoLocker versleuteling op afstand gebruikte, wisten we dat deze tactiek een uitdaging zou vormen voor verdedigers. Andere oplossingen zijn gericht op het detecteren van kwaadaardige binaire bestanden of uitvoering. Bij versleuteling op afstand zitten de malware en uitvoering op een andere computer (die niet of onvoldoende beveiligd is) dan die waarop de bestanden zijn opgeslagen. De enige manier om dat tegen te houden, is door de bestanden in de gaten te houden en ze te beschermen. Daarom hebben we CryptoGuard uitgevonden”, aldus Loman.
“CryptoGuard speurt niet naar ransomware, maar focust in plaats daarvan op de hoofddoelwitten – de bestanden. Op die bestanden past het wiskundige modellen toe om tekenen van manipulatie en versleuteling te detecteren. Deze autonome strategie heeft doelbewust geen indicatoren van een inbraak, malwarehandtekeningen, kunstmatige intelligentie, zoekopdrachten in de cloud of voorkennis nodig om effectief te zijn. Door te focussen op de bestanden, kunnen we de machtsverhouding tussen de aanvallers en de verdedigers veranderen. We maken het voor de aanvallers duurder en complexer om gegevens succesvol te versleutelen, zodat ze hun plannen laten varen. Dat is deel van onze asymmetrische verdedigingsstrategie.”
“Ransomware op afstand is een prominent probleem voor bedrijven, en het draagt bij aan het voortbestaan van ransomware in het algemeen. Omdat gegevens lezen via een netwerkverbinding langer duurt dan via een lokale schijf, gaan aanvallers zoals
LockBit en
Akira strategisch te werk en versleutelen ze slechts een fractie van elk bestand. Deze aanpak is bedoeld om zoveel mogelijk impact te hebben in korte tijd, zodat verdedigers een steeds kleiner tijdskader hebben om de aanval te detecteren en erop te reageren. De antiransomwaretechnologie van Sophos bestrijdt zowel aanvallen op afstand als aanvallen die slechts 3% van een bestand versleutelen. We willen verdedigers graag op de hoogte stellen van deze hardnekkige aanvalsmethode zodat ze apparaten degelijk kunnen beschermen.”
Lees ‘
CryptoGuard: An Asymmetric Approach to the Ransomware Battle’ op Sophos.com voor meer informatie.
- CryptoGuard maakt deel uit van HitmanPro en werd oorspronkelijk ontwikkeld door het Nederlandse bedrijf SurfRight.
- Sophos heeft SurfRight in december 2015 overgenomen.
- In 2016 heeft Sophos HitmanPro geïntegreerd in de endpoint-bescherming Sophos Intercept X.
Lees meer over...
Over Sophos
Sophos is een wereldwijde leider en innovator van geavanceerde cyberbeveiligingsoplossingen, waaronder Managed Detection and Response (MDR), incidentresponsservices en een breed portfolio van endpoint-, netwerk-, e-mail- en cloudbeveiligingstechnologieën die organisaties helpen cyberaanvallen te verslaan. Als een van de grootste pure-play aanbieders van cyberbeveiliging verdedigt Sophos meer dan 500.000 organisaties en meer dan 100 miljoen gebruikers wereldwijd tegen kwaadwillenden, ransomware, phishing, malware en meer. De diensten en producten van Sophos zijn verbonden via de cloudgebaseerde beheersconsole Sophos Central en worden mogelijk gemaakt door Sophos X-Ops, de domeinoverschrijdende bedreigingsinformatie-eenheid van het bedrijf. Sophos X-Ops-intelligentie verrijkt het hele Sophos Adaptive Cybersecurity Ecosystem, inclusief een gecentraliseerd data lake dat gebruikmaakt van een uitgebreide reeks open API's die beschikbaar zijn voor klanten, partners, ontwikkelaars en andere leveranciers van cyberbeveiliging en informatietechnologie. Sophos biedt cybersecurity-as-a-service aan organisaties die volledig beheerde, kant-en-klare beveiligingsoplossingen nodig hebben. Klanten kunnen hun cyberbeveiliging ook rechtstreeks beheren met het beveiligingsoperatieplatform van Sophos of een hybride aanpak gebruiken door hun interne teams aan te vullen met de diensten van Sophos, waaronder het opsporen en verhelpen van bedreigingen. Sophos verkoopt via resellerpartners en managed service providers (MSP's) wereldwijd. Het hoofdkantoor van Sophos is gevestigd in Oxford, VK. Meer informatie is beschikbaar op www.sophos.com.