In lijn met de trend voor platformonafhankelijke ransomware, heeft Kaspersky nieuwe ransomware-bendes ontdekt die hun malware hebben aangepast aan verschillende besturingssystemen en tegelijkertijd schade aanrichten bij meer organisaties. Dit recente onderzoek door Kaspersky-experts bracht de activiteit aan het licht van RedAlert en Monster, twee groepen die erin slaagden aanvallen uit te voeren op verschillende besturingssystemen zonder hun toevlucht te nemen tot multiplatformtalen. Daarnaast brachten de experts 1-day exploits aan het licht die door ransomware-groepen kunnen worden uitgevoerd om hun financiële ambities te verwezenlijken.
RedAlert en Monster
Gedurende 2022 zijn security-onderzoekers van Kaspersky getuige geweest van het veelvuldig gebruik van platformonafhankelijke voorzieningen door de ransomware groepen. Recentelijk is het hun doel om zoveel mogelijk systemen te beschadigen door hun malwarecode aan te passen aan meerdere besturingssystemen tegelijk. Kaspersky heeft reeds dergelijke groepen beschreven die gebruik maakten van Rust of Golang multiplatform talen zoals Luna of BlackCat. Echter, deze keer gebruiken de gerapporteerde ransomware-groepen malware die niet in een platformonafhankelijke taal is geschreven, maar toch verschillende besturingssystemen tegelijk kan aanvallen.
Eén groep, RedAlert, maakt gebruik van malware die geschreven is in programmeertaal C, zoals werd ontdekt in Linux-monsters. De door RedAlert ontwikkelde malware ondersteunt echter expliciet ESXi-omgevingen. Bovendien biedt de RedAlert onion website een decryptor om te downloaden. Helaas zijn er geen extra gegevens beschikbaar of het wel of niet is geschreven in platformonafhankelijke taal. Een ander aspect dat RedAlert onderscheidt van andere ransomware groepen is dat ze alleen betalingen in Monero cryptocurrency accepteren waardoor het geld moeilijker te traceren is. Hoewel een dergelijke aanpak vanuit het oogpunt van criminelen redelijk zou kunnen zijn, wordt Monero niet in elk land en door elke beurs geaccepteerd, zodat slachtoffers problemen kunnen ondervinden bij het betalen van het losgeld.
Een andere ransomware groep die in juli 2022 werd ontdekt is Monster, een bende die programmeertaal Delphi gebruikt om hun malware te schrijven en uit te breiden op verschillende systemen. Wat deze groep vooral eigenaardig maakt, is dat het een grafische gebruikersinterface (GUI) heeft, een onderdeel dat nog nooit eerder door ransomware-groepen is geïmplementeerd. Bovendien voerden cybercriminelen ransomware-aanvallen uit via de opdrachtregel op een geautomatiseerde manier tijdens een lopende gerichte aanval. Volgens het monster dat door Kaspersky-experts is geëxtraheerd, hebben de Monster ransomware-auteurs de GUI opgenomen als een optionele opdrachtregelparameter.
1-day exploits
Het door Kaspersky uitgebrachte rapport behandelt ook 1-day exploits die worden gebruikt voor aanvallen op Windows 7 tot en met 11. De 1-day exploit verwijst meestal naar een exploit van reeds gepatchte kwetsbaarheden, en doet altijd vragen rijzen over het patchingbeleid binnen de getroffen organisatie. Een voorbeeld is de CVE-2022-24521 kwetsbaarheid die een aanvaller in staat stelt systeemrechten te verkrijgen op het geïnfecteerde apparaat. Het kostte aanvallers twee weken nadat de kwetsbaarheid in april 2022 werd onthuld om de twee exploits te ontwikkelen. Wat vooral interessant is aan deze exploits, is dat ze verschillende Windows-versies ondersteunen. Dit wijst er meestal op dat de aanvallers het gemunt hebben op commerciële organisaties. Verder hebben beide exploits veel debug-berichten gemeen. Eén gedetecteerd geval omvat aanvallen op een winkelketen in de APAC-regio, maar er zijn geen extra gegevens over wat de cybercriminelen probeerden te bereiken.
"We zijn er behoorlijk aan gewend geraakt dat de ransomware-groepen malware inzetten die in platformonafhankelijke taal is geschreven", zegt Jornt van der Wiel, senior security-onderzoeker bij Kaspersky's Global Research and Analysis Team. "Tegenwoordig hebben cybercriminelen echter geleerd om hun kwaadaardige code, geschreven in gewone programmeertalen, aan te passen voor gezamenlijke aanvallen, waardoor securityspecialisten zich moeten verdiepen in manieren om de ransomware-pogingen te detecteren en te voorkomen. We vestigen ook de aandacht op het belang van het voortdurend herzien en updaten van het patchbeleid dat door bedrijven wordt toegepast."
Meer informatie over RedAlert en Monster ransomware groepen en 1-day exploits kan je vinden in het volledige rapport op Securelist.
Om jezelf of bedrijven te beschermen tegen ransomware-aanvallen doe je er goed aan om ervoor te zorgen dat software op alle apparaten die worden gebruikt altijd zijn bijgewerkt. Op die manier kan voorkomen worden dat ransomware kwetsbaarheden kan misbruiken. Daarnaast is het belangrijk om regelmatig back-ups te maken van gegevens en dat je bij noodgevallen snel bij deze back-ups kan komen. Als laatste is het verstandig om remote desktop services niet bloot te stellen aan openbare netwerken tenzij het noodzakelijk is en gebruik er altijd sterke wachtwoorden voor