The hateful eight

Kaspersky publiceert praktische gids over technieken van top ransomware groepen

| Kaspersky | 3 min | 23 juni 2022 13:48
Copyright: Kaspersky
Kaspersky's Threat intelligence-team heeft een analyse uitgevoerd van de meest voorkomende tactieken, technieken en procedures (TTP's) die worden gebruikt door de 8 meest productieve ransomware-groepen, zoals Conti en Lockbit2.0, tijdens hun aanvallen. Uit het onderzoek blijkt dat verschillende groepen meer dan de helft van de cyber kill chain delen en de kernfasen van een aanval identiek uitvoeren. Deze monumentale studie van moderne ransomware, die gratis beschikbaar is, zal dienen als hulpmiddel om te begrijpen hoe ransomware-groepen te werk gaan en hoe je je tegen hun aanvallen kunt verdedigen.

De analyse in de gids is toegespitst op de activiteiten van Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte en BlackCat. Deze groepen zijn actief geweest in de Verenigde Staten, Groot-Brittannië en Duitsland, en hebben het tussen maart 2021 en maart 2022 gemunt op meer dan 500 organisaties in bedrijfstakken als productie, softwareontwikkeling en kleine ondernemingen.

De gids van 150 pagina's navigeert lezers door de stadia van het inzetten van ransomware, hoe cybercriminelen hun favoriete tools gebruiken en de doelen die ze hopen te bereiken. Lezers kunnen ook leren hoe ze zich kunnen verdedigen tegen gerichte ransomware-aanvallen en meer te weten komen over SIGMA-detectieregels, die kunnen worden gebruikt om hun preventieve maatregelen tegen de aanvallers op te bouwen.

Het Kaspersky's Threat Intelligence-team analyseerde hoe de ransomware-groepen de technieken en tactieken gebruikten die zijn beschreven in MITRE ATT&CK en vond veel overeenkomsten tussen hun TTP's in de hele cyber kill chain. De manieren waarop de groepen aanvielen bleken vrij voorspelbaar te zijn. Ransomware-aanvallen volgden een patroon dat het aanvallen van het bedrijfsnetwerk of de computer van het slachtoffer omvat, het afleveren van malware, verdere ontdekking, toegang tot credentials, het verwijderen van schaduwkopieën, het verwijderen van back-ups en, ten slotte, het bereiken van hun doelen.

De onderzoekers leggen ook uit waar de gelijkenis tussen de aanvallen vandaan komt:
  • De opkomst van een fenomeen dat "Ransomware-as-a-Service" (RaaS) wordt genoemd, waarbij de ransomwaregroepen zelf geen malware afleveren, maar alleen de data-encryptiediensten leveren. Aangezien de mensen die kwaadaardige bestanden leveren ook hun leven willen vereenvoudigen, gebruiken ze sjablonen voor leveringsmethoden of automatiseringstools om toegang te krijgen.
  • Hergebruik van oude en soortgelijke hulpmiddelen maakt het leven van aanvallers gemakkelijker en verkort de tijd die nodig is om een aanval voor te bereiden.
  • Het hergebruiken van gemeenschappelijke TTP's maakt hacken gemakkelijker. Hoewel het mogelijk is om dergelijke technieken te detecteren, is het veel moeilijker om dit preventief te doen voor alle mogelijke bedreigingsvectoren.
  • Trage installatie van updates en patches bij slachtoffers. Vaak worden degenen die kwetsbaar zijn aangevallen.
De systematisering van verschillende door aanvallers gebruikte TTP's heeft geleid tot de vorming van een algemene reeks SIGMA-regels in overeenstemming met MITRE ATT&CK – die dergelijke aanvallen helpen voorkomen.

“De afgelopen jaren is ransomware een nachtmerrie geworden voor de hele cybersecurity-industrie, met voortdurende ontwikkelingen en verbeteringen die door ransomware-exploitanten worden doorgevoerd. Het is tijdrovend en vaak een uitdaging voor cybersecurityspecialisten om elke afzonderlijke ransomware-groep te bestuderen en de activiteiten en ontwikkelingen van elke groep te volgen, in een poging om de race tussen aanvallers en verdedigers te winnen. Wij volgen de activiteiten van verschillende ransomware-groepen al geruime tijd, en dit rapport is het resultaat van een enorme hoeveelheid analytisch werk. Het doel ervan is om te dienen als een gids voor cybersecurityprofessionals die werkzaam zijn in allerlei soorten organisaties, zodat hun werk eenvoudiger wordt,” aldus Nikita Nazarov, Team Lead Threat Intelligence Group bij Kaspersky.

Dit rapport is gericht op SOC-analisten, threat hunting teams, cyberthreat intelligence analisten, digital forensics specialisten en cybersecurityspecialisten die betrokken zijn bij het incident response proces en/of degenen die de omgeving waar zij verantwoordelijk voor zijn willen beschermen tegen gerichte ransomware-aanvallen.

Tips

Om jezelf en je bedrijf te beschermen tegen ransomware-aanvallen, raadt Kaspersky aan om remote desktop services (zoals RDP) niet bloot te stellen aan openbare netwerken. Daarnaast is het handig om beschikbare patches voor commerciële VPN-oplossingen te installeren en ervoor te zorgen dat software of alle apparaten die je gebruikt altijd is bijgewerkt. Als laatste is verstandig om regelmatig back-ups te maken van gegevens.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item
Over Kaspersky
Kaspersky is een wereldwijd opererend cybersecuritybedrijf opgericht in 1997. Zowel consumenten, overheidsinstanties als bedrijven vertrouwen op de uitgebreide expertise op het vlak van dreigingsinformatie en de meest geavanceerde beveiligingsoplossingen en -diensten van Kaspersky ter bescherming van kritieke infrastructuren en (eco)systemen.
Meer over Kaspersky
Disclaimer
Deze content is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als de content een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis de originele content leidend.
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191029200614.jpg
Drive value with data
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030101402.jpg
De grootste Nederlandse site over Android
20191030103431.png
Conference by app developers, for app developers!
© 2019-2022, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.