Ransomware als een service en de vreemde economie van het donkere web

Ransomware als een service en de vreemde economie van het donkere web​

Gesponsord door Flare
Publicatie van BleepingComputer


cyber-market.jpg



Ransomware verandert snel. In de afgelopen drie maanden hebben zich dramatische ontwikkelingen voorgedaan binnen het
ransomware-ecosysteem, waaronder de takedown van LockBit's ransomware-blog, BlackCat die het ecosysteem verlaat en de
opkomst van verschillende kleinere ransomware-groepen.

Dit artikel is bedoeld om context te bieden voor het recente nieuws. Eerst behandelen we hoe ransomware-groepen en affiliates
samenwerken. Daarna duiken we in de concurrentie tussen affiliates, een belangrijke drijvende kracht achter het ecosysteem, hoe
ransomware verandert in 2024 en wat er mogelijk nog gaat komen.

Ransomware-groepen en filialen: Een complexe toeleveringsketen​

Naarmate het ecosysteem van cybercriminaliteit is gegroeid, is het ook complexer geworden met veel verschillende actoren die
afzonderlijke onderdelen van een complexe toeleveringsketen uitvoeren.

Het is de moeite waard om even stil te staan om uit te leggen hoe het ecosysteem van ransomware werkt.
Ransomware as a Service (RaaS) is het dominante bedrijfsmodel geworden onder grote ransomware-groepen.

In dit model richten RaaS-groepen zich op het ontwikkelen van nieuwe ransomwarecode en het aantrekken van partners. Filialen
van de ransomware werken samen met de bredere groep om IT-infrastructuur te compromitteren en ransomware te verspreiden.
Het losgeld zelf wordt dan vaak onderhandeld door de RaaS-aanbieder.

Dit model werkt goed voor zowel de exploitanten als de filialen en wordt gebruikt door zowel LockBit als BlackCat, de grootste
twee groepen die alleen al goed waren voor een meerderheid van de ransomware-aanvallen in 2023.


lockbit-affiliate-rules.png

LockBit's Affiliate Regels pagina
Door filialen het zware werk te geven van het uitvoeren van succesvolle aanvallen, kunnen de groepen veel sneller opschalen en
veel meer slachtoffers compromitteren dan anders mogelijk zou zijn, terwijl de groepen ook kunnen doorgaan met het innoveren
van hun ransomwarecode.

Filialen vertrouwen zelf op andere toeleveringsketens om aanvallen effectief uit te voeren. In veel gevallen zien we dat filialen
toegang verkrijgen van een ander type bedreigingsorganisatie op het dark web - de initiële toegangsbroker (IAB).
Concurrentie tussen affiliates

Concurreren om de beste partners is een moeilijke en complexe zaak. Ransomware-as-a-Service groepen staan voor hetzelfde
dilemma als een legitiem bedrijf, ze hebben affiliates nodig om het model te laten werken en moeten concurreren op prijs en
kwaliteit om de beste affiliates aan te trekken.

Dit heeft geleid tot een zeer concurrerend ecosysteem, waarin de grootste ransomware-groepen proberen om potentiële partners
een groter deel van de succesvolle losgelden en minder beperkingen te bieden dan andere groepen om zo de meest geavanceerde
partners voor zich te winnen. LockBit koopt zelfs geprivilegieerde toegang tot IT-omgevingen van bedrijven van andere
bedreigingsactoren om te distribueren onder aangeslotenen, ook al vermindert dit het potentiële rendement voor LockBit aanzienlijk.


strange-economics.png

LockBit-gesprek waarin dreigingsacteur toegang koopt voor filialen van een recente XSS-schakeling

Waarom verandert het Ransomware-ecosysteem?​

De afgelopen vier maanden heeft er een dramatische verschuiving plaatsgevonden in het landschap. Eerst werd de losgeldblog van
BlackCat neergehaald in december 2023. Dit leidde ertoe dat BlackCat een nieuwe blog opstartte en aankondigde dat ze het aandeel
losgeld dat aan affiliates werd betaald, verhoogden naar 90%, een aanzienlijke toename die waarschijnlijk de onzekerheid
weerspiegelde over hun vermogen om topfilialen te behouden.

Dit werd gevolgd door een takedown van LockBit's blog in februari 2024. Het is de moeite waard om op te merken dat, terwijl de
infrastructuur werd gecompromitteerd, de groepen zelf op vrije voeten blijven. Het vermogen van wetshandhaving om de activiteiten
van deze groepen volledig te stoppen is beperkt, maar takedowns hebben aanzienlijke gevolgen voor het affiliate ecosysteem.

Een grote groep zijn heeft voor- en nadelen. Affiliates willen werken met gevestigde groepen die goede ransomwarecode hebben en
stabiel lijken. Aangezien de RaaS-groep meestal uitbetaalt voor succes losgeld, is werken met een onstabiele groep zeer riskant.

Grote groepen worden echter ook enorme doelwitten voor rechtshandhavingsacties. Door LockBit en BlackCat neer te halen, heeft de
wetshandhaving het vertrouwen in partners van beide groepen verminderd.

Verminderd vertrouwen van partners is waarschijnlijk een van de redenen dat BlackCat het ecosysteem van ransomware verlaat nadat
het naar verluidt weigerde een partner uit te betalen voor een succesvol losgeld van 22 miljoen dollar tegen een grote Amerikaanse bank.


Reputatie is alles in cybercriminaliteit​

Ransomware-groepen draaien op reputatie; in de wereld van cybercriminaliteit is vertrouwen onbestaand en is oplichting ongelooflijk
gewoon. Ransomware-groepen die getalenteerde partners met diepgaande technische vaardigheden willen hebben, moeten in de loop
van de tijd vertrouwen opbouwen en verdienen en dat vertrouwen associëren met hun "merk".

Ransomware-groepen hebben een aura van onkwetsbaarheid nodig om succesvol zaken te doen. Voor filialen vertegenwoordigt een
takedown de existentiële dreiging dat wetshandhaving genoeg informatie kan verzamelen om hen persoonlijk te identificeren.

Ook als slachtoffers van de groep geloven dat wetshandhaving de infrastructuur kan compromitteren en ontcijferingssleutels kan
verstrekken, worden ze sterk ontmoedigd om te betalen, waardoor filialen verder worden ontmoedigd om met die groep samen te werken.


Waar gaat het heen?​

Ransomware zal waarschijnlijk niet snel verdwijnen, maar we verwachten wel substantiële veranderingen in het ecosysteem. Het neerhalen
van ransomware-infrastructuur veroorzaakt zeker tijdelijke verstoring voor de getroffen groepen, maar het heeft geen permanente invloed
op een ecosysteem dat wordt aangedreven door honderden tot duizenden aangesloten bedrijven.

Als de geschiedenis een leidraad is, kunnen we een fragmentatie van het ransomware-ecosysteem zien. In 2022 werd Raid Forums
neergehaald door de politie, waardoor veel nieuwe, kleinere dark web fora opdoken omdat vluchtende gebruikers hun eigen community's
vormden.

De plotselinge schok veroorzaakt door het verdwijnen van BlackCat en het neerhalen van LockBit kan leiden tot een soortgelijk fenomeen in
het ransomware-ecosysteem, omdat leden het vertrouwen in grote groepen verliezen en in plaats daarvan kiezen voor hun eigen kleinere
organisaties.


Welke gevolgen heeft dit voor de beveiliging van bedrijven?​

Op de korte termijn kan de dreiging van ransomware enigszins afnemen naarmate het ecosysteem verschuift naar een nieuw paradigma.
Ongeacht hoe het ecosysteem verandert, kunnen dezelfde blue-teaming aanbevelingen organisaties helpen het risico op incidenten met grote
gevolgen te verminderen. We raden organisaties aan om:

Uitgebreide monitoring uit te voeren voor Stealer Logs en Gelekte Credentials: Aanvallen op basis van identiteit zijn een van de
belangrijkste vectoren die bedreigingsgroepen gebruiken om IT-omgevingen van bedrijven te compromitteren. Zorg ervoor dat uw organisatie
het dark web van honderden cybercriminele gemeenschappen, waar logs van jagers en gelekte referenties worden verkocht en gedeeld,
uitgebreid monitort.

Bekende misbruikte kwetsbaarheden patchen: Veel ransomware-aanhangers krijgen aanvankelijk toegang via bekende kwetsbaarheden
waarvoor organisaties patches uitstellen. Geef in uw patchbeheerprogramma prioriteit aan momenteel misbruikte kwetsbaarheden in
bedrijfsmiddelen die naar buiten zijn gericht.

Gebruik MFA/2FA op alle bedrijfsapplicaties: Wij raden bedrijven aan om 2FA controles te implementeren op alle interne SaaS en
bedrijfsapplicaties. Authenticatie-apps werken beter dan SMS vanwege het altijd aanwezige risico van SIM-swapping.

Stealerlogs detecteren en herstellen met Flare​

De Flare Threat Exposure Management (TEM) oplossing stelt organisaties in staat om proactief blootstellingen te detecteren, prioriteren en
beperken die vaak worden uitgebuit door actoren in bedreigingen.

Ons platform scant 24/7 automatisch het 'clear' en 'dark web' en illegale Telegram-kanalen om onbekende gebeurtenissen te ontdekken,
risico's te prioriteren en bruikbare informatie te leveren die u direct kunt gebruiken om de beveiliging te verbeteren.

Flare kan binnen 30 minuten in uw beveiligingsprogramma worden geïntegreerd en vervangt vaak verschillende SaaS- en open source-tools.

Kom meer te weten door u aan te melden voor onze gratis proefversie.

Gesponsord en geschreven door Flare.
 
Terug
Bovenaan Onderaan