Ransomware 'branden': vloek of zegen?

Een alom bekend ransomwaremerk geeft bendes een nieuw soort macht. Ransomware en andere cyberaanvallen die het nieuws halen, worden steeds meer naar de aanvaller/dader vernoemd. Neem bijvoorbeeld Dharma of Ryuk: wanneer aanvallen met hun naam worden geassocieerd, genieten zij erkenning en verhoogt dit hun status. Sommige bendes stuurden zelfs persberichten uit: zo had Maze - dat nu niet meer actief is - ooit voor ogen zich als herkenbaar merk te vestigen dat niet alleen data gijzelde maar ook online zette. Elke keer dat Maze een organisatie aanviel, wist het slachtoffer dat het menens was en werd het aannemelijker dat losgeld werd betaald. Niet alle bendes zijn zo brutaal, maar er valt wel een trend te bespeuren.

Wie kaatst....

Voor self-branded ransomware geldt een kosten-batenanalyse: hoe meer potentiële slachtoffers van je bestaan en rancuneuze handelen weten, hoe groter de kans dat aan losgeldeisen wordt voldaan. De roem die bekende ransomwaregroepen genieten, kan echter ook tegen hen worden gebruikt. Iets met ‘bal kaatsen’ en ‘terugverwachten’… Wanneer bendes zich op deze manier beter identificeerbaar maken, geven ze een kant-en-klaar profiel af. Dat is informatie die kan worden gebruikt bij zowel het nader onderzoeken van uitgevoerde aanvallen als bij het voorspellen en/of voorkomen van toekomstige dreigingen. Omdat bijvoorbeeld het ‘merk’ Ryuk zichzelf zo specifiek heeft gedefinieerd, weten beveiligingsonderzoekers waarop ze moeten letten en welke activiteiten een Ryuk-aanval kenmerken. Zo kunnen zij proactief optreden en weten ze waar ze naar op zoek moeten wanneer iemand slachtoffer van een ransomwareaanval is geworden.

Dit geldt ook voor de keuze van potentiële slachtoffers. Van Ryuk is bekend dat het zorginstellingen in het vizier heeft. Wanneer je weet dat dit deel uitmaakt van de aanvalstactiek. kunnen zij die toezicht houden op systemen binnen ziekenhuizen en gezondheidszorg (zoals beveiligingsteams en managed service providers) hierop anticiperen. Wanneer threat response teams voelen dat een aanval zich kan ontpoppen op basis van Tactics, Techniques and Procedures (TTP) die van aanvallers bekend zijn – de gebruikte tools, hoelang verkenningen op een netwerk duren voordat de échte aanval wordt ingezet, etc. – wordt het makkelijker om hier ​​snel en adequaat op te reageren.

Overmoedig

Er kleeft wel een risico aan deze tactiek: je wilt immers niet te overmoedig worden in wat je denkt te weten over aanvalsmethoden op basis van je eigen perceptie van een ransomwaremerk. Wanneer aanvallers het gevoel hebben dat TTP’s bekend zijn, veranderen ze van koers. Maar als vuistregel geldt: als je weet wie de aanvallers zijn en hoe ze opereren, kun je dit in je voordeel gebruiken.

Een mes dat aan twee kanten snijdt dus. Hoewel een herkenbaar merk een waardevolle asset lijkt voor ransomwareaanvallers, kan het van onschatbare waarde zijn voor threat hunters en beveiligingsonderzoekers. Hoe meer er over deze bendes en hun methoden bekend is, hoe sneller en makkelijker we ze in het proces kunnen onderscheppen.