Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Door Tijs Hofmans

Redacteur privacy & security

Hoe ransomware veranderd is

Van foto's versleutelen naar miljardenindustrie

Professionalisering van criminelen

Als er één trend rond ransomware duidelijk zichtbaar is, is het de professionalisering ervan. Inmiddels zijn zowel ondergrondse als bovengrondse markten ervoor ingericht. De ondergrondse economie van ransomware begon tegelijk met de opkomst van de cryptolockers. Nadat die succesvol bleken, ontstond er een markt van makers van ransomware die hun diensten verhuurden aan anderen. Vergelijkbaar met de trend die zichtbaar was bij software kreeg dat proces de naam ransomware-as-a-service. De 'dienstverlening' was simpel: in plaats van zelf ransomware te bouwen kon je ransomware gewoon huren van de makers. De koper kreeg dan naast toegang tot de ransomware vaak ook command-and-controlservers en handige tools om de ransomware uit te voeren. De opbrengsten van de ransomware werden vaak verdeeld: 70 procent voor de verspreider, 30 voor de originele maker.

Inmiddels mogen er dan wel topcriminelen bezig zijn met ransomware, het servicemodel is gebleven, zegt John Fokker. "Je ziet af en toe nog weleens nieuwe ransomware met wat nieuwe trucjes, maar wat vooral opvalt is dat het type zogeheten affiliates-systeem is veranderd." Vroeger kon je grof gezegd spreken van script kiddies die alleen wat point-and-click-tooltjes nodig hadden. "Ransomware was vooral een kwestie van zoveel mogelijk mensen infecteren. Dat was de spray and pay-methode, kwantiteit boven kwaliteit. Rond 2014 zag je vooral dat ransomware bestond uit mensen met een botnet."

Andere 'affiliates'

Omdat bedrijven steeds aantrekkelijkere doelwitten worden waar meer geld te halen valt, zijn de affiliates die Fokker noemt veranderd. Ze gaan op zoek naar hulp vanuit verschillende disciplines, om de impact maximaal te maken. Fokker ziet het op de hackersforums die hij regelmatig afstruint. "Je ziet daar mensen die alleen maar werken met ontwikkelaars die heel goed zijn in wat ze doen en die allemaal specifieke kennis hebben. Ze zoeken bijvoorbeeld mensen die alles weten van Hyper-V of Active Directory, of iemand die goed C kan lezen." Eigenlijk, zegt Fokker, zoeken ze een pentester, iemand die comfortabel is op een netwerk. "Als ze dan in een netwerk terechtkomen doen ze alsof ze een pentest doen, ze gaan op zoek naar het hoogst haalbare. Denk bijvoorbeeld aan domain control of adminrechten."

Eng als dat klinkt, is het ook een lichtpuntje voor bedrijven. Die kunnen zelf een pentest laten uitvoeren om te kijken wat een hacker zoal kan tegenkomen. Bij het advies 'beter voorkomen dan genezen' is kennis over je zwakke plekken een goede verdediging.

Verkoop van kwetsbaarheden

Het verkopen van kwetsbaarheden in software is al jaren onderwerp van een verhitte discussie tussen zowel bedrijven en hackers als derde partijen. Een whitehat-hacker kan een zeroday - oftewel een lek dat nog niet bekend is - via responsible-disclosure-beleid bij een bedrijf melden voor 100.000 euro, of ermee naar een derde partij gaan die er misschien wel het vijfvoudige voor betaalt. Lange tijd ging het daarbij om een een discussie die losstond van ransomware, maar in de afgelopen twee jaar zijn ook cybercriminelen partij geworden in de markt voor softwarekwetsbaarheden.

Er worden exploits van bekende kwetsbaarheden die voor ransomware worden gebruiktDeze markt bestaat uit twee onderdelen. Aan de ene kant is er een markt ontstaan waarbij ransomwaremakers kennis over de kwetsbaarheden zelf opkopen. Securitybedrijf Check Point deed daar eerder deze maand onderzoek naar. De onderzoekers bekeken groepen die exploits schreven voor kwetsbaarheden. Daarbij werd onderscheid gemaakt tussen lekken die nog niet bekend zijn en lekken die al zijn opgemerkt door de beveiligingsindustrie. Die eerste categorie is zeldzaam en daarom veel geld waard. Dergelijke exploits worden vooral verkocht aan APT's of 'Advanced Persistent Threats' - meestal staatshackers van inlichtingendiensten die zich op high profile targets richten. De andere groep komt wat vaker voor, maar is daarom niet minder schadelijk. Het gaat dan om zogeheten onedays of N-days. Dit zijn kwetsbaarheden die al bekend zijn bij de fabrikant en waar in veel gevallen ook al wel een patch voor is uitgebracht. Die laatste soort N-days wordt steeds vaker verkocht aan malwaremakers, stelt Check Point. "We vermoeden ook dat als een zeroday is opgemerkt door de beveiligingsindustrie, die exploit wordt gerecycled en voor een lagere prijs wordt verkocht als een niet-exclusieve N-day."

Dat er een patch is uitgebracht betekent binnen de beveiligingswereld weinig. WannaCry maakte gebruik van een lek in het Remote Desktop Protocol waar al een patch voor bestond maar waar zelfs vandaag de dag nog honderdduizenden bedrijven kwetsbaar voor zijn. Ook nu maken miljoenen bedrijven gebruik van software die kwetsbaar is ondanks dat er patches voor bestaan, zoals Citrix en Pulse Secure. Criminelen kunnen zulke kwetsbaarheden kopen om op basis daarvan exploits te maken. Een aanvaller kan dan specifiek ransomware kopen die geschikt is voor bijvoorbeeld RDP of Pulse Secure.

Markt van inlichtingen

Criminelen verzamelen steeds vaker legitieme inlichtingen over een bedrijfDeze markt werkt alleen omdat er ook een andere markt bestaat, en dat is een markt rond inlichtingen over specifieke bedrijven en hun kwetsbaarheden. Ransomwareverspreiders kopen er informatie over kwetsbaarheden binnen een bedrijf, zowel voor het binnenkomen als voor het bewegen binnen het netwerk. John Fokker ziet ook daarin een professionaliseringsslag ontstaan, met name in de afgelopen maanden. "Cybercriminelen maken steeds meer gebruik van business intelligence. Dat is informatie die andere bedrijven of marktanalisten kunnen opvragen. Soms zien we dat informatie wordt aangeboden waarvan wij denken: 'Hoe weten ze dit nou?'"

Op basis van zulke informatie kunnen criminelen bijvoorbeeld bepalen wat de hoogte van het losgeld wordt. "Je kunt intern door de administratie van een bedrijf gaan, maar dat kost veel tijd en je loopt het risico te worden betrapt. Via diensten als Zoominfo is die informatie ook gewoon te achterhalen."

Dergelijke informatie wordt online vaak verkocht als compleet pakket. Fokker kent de advertenties en ziet ze steeds vaker voorbij komen. "Er worden pakketten verkocht waarin niet specifiek het bedrijf wordt genoemd, maar wel bepaalde eigenschappen. Dus in plaats van 'Tweakers' verkopen aanbieders de info van 'een bedrijf met een X-aantal medewerkers, actief in media gerelateerd aan tech, dat gebruikmaakt van deze versie van deze vpn'. Die informatie is waardevol als je een bedrijf wil infecteren."

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True