Overslaan naar hoofdinhoud

The hateful eight: Kaspersky publiceert praktische gids over technieken van top ransomware groepen

23 juni 2022

Kaspersky's Threat intelligence-team heeft een analyse uitgevoerd van de meest voorkomende tactieken, technieken en procedures (TTP's) die worden gebruikt door de 8 meest productieve ransomware-groepen, zoals Conti en Lockbit2.0, tijdens hun aanvallen. Uit het onderzoek blijkt dat verschillende groepen meer dan de helft van de cyber kill chain delen en de kernfasen van een aanval identiek uitvoeren. Deze monumentale studie van moderne ransomware, die gratis beschikbaar is, zal dienen als hulpmiddel om te begrijpen hoe ransomware-groepen te werk gaan en hoe je je tegen hun aanvallen kunt verdedigen.

De analyse in de gids is toegespitst op de activiteiten van Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte en BlackCat. Deze groepen zijn actief geweest in de Verenigde Staten, Groot-Brittannië en Duitsland, en hebben het tussen maart 2021 en maart 2022 gemunt op meer dan 500 organisaties in bedrijfstakken als productie, softwareontwikkeling en kleine ondernemingen.

De gids van 150 pagina's navigeert lezers door de stadia van het inzetten van ransomware, hoe cybercriminelen hun favoriete tools gebruiken en de doelen die ze hopen te bereiken. Lezers kunnen ook leren hoe ze zich kunnen verdedigen tegen gerichte ransomware-aanvallen en meer te weten komen over SIGMA-detectieregels, die kunnen worden gebruikt om hun preventieve maatregelen tegen de aanvallers op te bouwen.

Het Kaspersky's Threat Intelligence-team analyseerde hoe de ransomware-groepen de technieken en tactieken gebruikten die zijn beschreven in MITRE ATT&CK en vond veel overeenkomsten tussen hun TTP's in de hele cyber kill chain. De manieren waarop de groepen aanvielen bleken vrij voorspelbaar te zijn. Ransomware-aanvallen volgden een patroon dat het aanvallen van het bedrijfsnetwerk of de computer van het slachtoffer omvat, het afleveren van malware, verdere ontdekking, toegang tot credentials, het verwijderen van schaduwkopieën, het verwijderen van back-ups en, ten slotte, het bereiken van hun doelen.

De onderzoekers leggen ook uit waar de gelijkenis tussen de aanvallen vandaan komt:

  • De opkomst van een fenomeen dat "Ransomware-as-a-Service" (RaaS) wordt genoemd, waarbij de ransomwaregroepen zelf geen malware afleveren, maar alleen de data-encryptiediensten leveren. Aangezien de mensen die kwaadaardige bestanden leveren ook hun leven willen vereenvoudigen, gebruiken ze sjablonen voor leveringsmethoden of automatiseringstools om toegang te krijgen.
  • Hergebruik van oude en soortgelijke hulpmiddelen maakt het leven van aanvallers gemakkelijker en verkort de tijd die nodig is om een aanval voor te bereiden.
  • Het hergebruiken van gemeenschappelijke TTP's maakt hacken gemakkelijker. Hoewel het mogelijk is om dergelijke technieken te detecteren, is het veel moeilijker om dit preventief te doen voor alle mogelijke bedreigingsvectoren.
  • Trage installatie van updates en patches bij slachtoffers. Vaak worden degenen die kwetsbaar zijn aangevallen

De systematisering van verschillende door aanvallers gebruikte TTP's heeft geleid tot de vorming van een algemene reeks SIGMA-regels in overeenstemming met MITRE ATT&CK – die dergelijke aanvallen helpen voorkomen.

“De afgelopen jaren is ransomware een nachtmerrie geworden voor de hele cybersecurity-industrie, met voortdurende ontwikkelingen en verbeteringen die door ransomware-exploitanten worden doorgevoerd. Het is tijdrovend en vaak een uitdaging voor cybersecurityspecialisten om elke afzonderlijke ransomware-groep te bestuderen en de activiteiten en ontwikkelingen van elke groep te volgen, in een poging om de race tussen aanvallers en verdedigers te winnen. Wij volgen de activiteiten van verschillende ransomware-groepen al geruime tijd, en dit rapport is het resultaat van een enorme hoeveelheid analytisch werk. Het doel ervan is om te dienen als een gids voor cybersecurityprofessionals die werkzaam zijn in allerlei soorten organisaties, zodat hun werk eenvoudiger wordt,” aldus Nikita Nazarov, Team Lead Threat Intelligence Group bij Kaspersky.

Dit rapport is gericht op SOC-analisten, threat hunting teams, cyberthreat intelligence analisten, digital forensics specialisten en cybersecurityspecialisten die betrokken zijn bij het incident response proces en/of degenen die de omgeving waar zij verantwoordelijk voor zijn willen beschermen tegen gerichte ransomware-aanvallen.

Meer informatie

-    Securityexperts van Kaspersky zullen tijdens een webinar op 23 juni hun licht laten schijnen op de veelvoorkomende TT’ps van moderne ransomware-groepen en de manieren om de aanvallen te voorkomen. Je kan je hier gratis

-    De openbare versie van het ransomware TTP's rapport kan je vinden op Securelist.com.

Tips

Om jezelf en je bedrijf te beschermen tegen ransomware-aanvallen, raadt Kaspersky aan om remote desktop services (zoals RDP) niet bloot te stellen aan openbare netwerken. Daarnaast is het handig om beschikbare patches voor commerciële VPN-oplossingen te installeren en ervoor te zorgen dat software of alle apparaten die je gebruikt altijd is bijgewerkt. Als laatste is verstandig om regelmatig back-ups te maken van gegevens.

 

The hateful eight: Kaspersky publiceert praktische gids over technieken van top ransomware groepen

Kaspersky's Threat intelligence-team heeft een analyse uitgevoerd van de meest voorkomende tactieken, technieken en procedures (TTP's) die worden gebruikt door de 8 meest productieve ransomware-groepen, zoals Conti en Lockbit2.0, tijdens hun aanvallen. Uit het onderzoek blijkt dat verschillende groepen meer dan de helft van de cyber kill chain delen en de kernfasen van een aanval identiek uitvoeren. Deze monumentale studie van moderne ransomware, die gratis beschikbaar is, zal dienen als hulpmiddel om te begrijpen hoe ransomware-groepen te werk gaan en hoe je je tegen hun aanvallen kunt verdedigen.
Kaspersky logo

Over Kaspersky

Kaspersky is een internationaal bedrijf dat is opgericht in 1997 en dat is gespecialiseerd in cyberbeveiliging en digitale privacy. Dankzij de uitgebreide bedreigingsintelligentie en beveiligingsexpertise van Kaspersky zijn tot nu toe meer dan een miljard apparaten beschermd tegen opkomende cyberbedreigingen en gerichte aanvallen. Kaspersky transformeert voortdurend haar innovatieve oplossingen en diensten om bedrijven, kritieke infrastructuren, overheden en consumenten wereldwijd te beschermen. Onder het allesomvattende beveiligingsportfolio van Kaspersky vallen toonaangevende endpointbescherming, gespecialiseerde beveiligingsproducten en diensten, evenals Cyber Immune-oplossingen waarmee geavanceerde en evoluerende digitale bedreigingen kunnen worden bestreden. We helpen meer dan 200.000 zakelijke klanten te beschermen wat het belangrijkste voor ze is. Meer informatie vind je op www.kaspersky.nl.

Verwant artikel Information