Sophos ontdekt dat succesvolle ransomware-groepen voor hun aanvallen intentioneel overschakelen op versleuteling op afstand
Sophos, een wereldleider in vernieuwende cybersecurity als service, publiceert een verslag met de titel ‘CryptoGuard: An Asymmetric Approach to the Ransomware Battle’. Daarin werd ontdekt dat sommige van de meest succesvolle en actieve ransomware-groepen, waaronder Akira, ALPHV/BlackCat, LockBit, Royal en Black Basta, bewust versleuteling op afstand kiezen als aanvalsstrategie. Bij aanvallen met versleuteling op afstand, ook bekend als ransomware op afstand, benutten kwaadwillenden een gecompromitteerde en vaak slecht beschermde computer om gegevens te versleutelen op andere apparaten die met hetzelfde netwerk verbonden zijn.
De antiransomwaretechnologie CryptoGuard is sinds 2015* in het bezit van Sophos en maakt deel uit van alle Sophos Endpoint-licenties. CryptoGuard merkt automatisch de malafide versleuteling van bestanden op en biedt onmiddellijke bescherming en functies om de schade ongedaan te maken, ook wanneer de ransomware zelf nooit op een beschermde host opduikt. Deze unieke antiransomwaretechnologie is een laatste verdedigingslinie in de gelaagde endpoint-bescherming van Sophos. Ze wordt alleen geactiveerd als een aanvaller ze later in de aanvalsketen triggert. Sinds 2022 heeft CryptoGuard 62% meer opzettelijke versleutelingsaanvallen op afstand gedetecteerd.
“Sommige bedrijven hebben duizenden computers aangesloten op hun netwerk. Ransomware op afstand heeft maar één slecht beschermd apparaat nodig om het volledige netwerk in gevaar te brengen. Aanvallers weten dat en gaan dus op zoek naar die ene ‘zwakke plek’ – en de meeste bedrijven hebben die ook. Versleuteling op afstand zal een hardnekkig probleem blijven voor verdedigers, en volgens de alarmsignalen die we hebben gezien, wint deze aanvalsmethode aan populariteit”, zegt Mark Loman, vicevoorzitter van het dreigingsonderzoek bij Sophos en medeontwikkelaar van CryptoGuard.
Bij dit soort aanvallen worden de bestanden op afstand versleuteld. Daardoor ‘zien’ traditionele beschermingsmethoden tegen ransomware op externe apparaten de kwaadaardige bestanden of de activiteiten van aanvallers niet, en kunnen ze die apparaten ook niet beschermen tegen illegale versleuteling en mogelijk dataverlies. De technologie van Sophos CryptoGuard hanteert echter een innovatieve werkwijze om ransomware op afstand tegen te houden. Het artikel van Sophos X-Ops licht dat verder toe: de inhoud van de bestanden wordt geanalyseerd om na te gaan of de gegevens versleuteld zijn, en om ransomware-activiteit te detecteren op welk apparaat in een netwerk, zelfs als er op dat apparaat geen ransomware staat.
In 2013 was CryptoLocker de eerste ransomware die met succes versleuteling op afstand met asymmetrische encryptie gebruikte, ook wel publieke-sleutelcryptografie genaamd. Sindsdien zijn criminelen erin geslaagd om het gebruik van ransomware drastisch te laten toenemen, geholpen door de alomtegenwoordige en blijvende gaten in de beveiliging van bedrijven wereldwijd en de komst van cryptomunten.
“Toen we tien jaar geleden voor het eerst zagen dat CryptoLocker versleuteling op afstand gebruikte, wisten we dat deze tactiek een uitdaging zou vormen voor verdedigers. Andere oplossingen zijn gericht op het detecteren van kwaadaardige binaire bestanden of uitvoering. Bij versleuteling op afstand zitten de malware en uitvoering op een andere computer (die niet of onvoldoende beveiligd is) dan die waarop de bestanden zijn opgeslagen. De enige manier om dat tegen te houden, is door de bestanden in de gaten te houden en ze te beschermen. Daarom hebben we CryptoGuard uitgevonden”, aldus Loman.
“CryptoGuard speurt niet naar ransomware, maar focust in plaats daarvan op de hoofddoelwitten – de bestanden. Op die bestanden past het wiskundige modellen toe om tekenen van manipulatie en versleuteling te detecteren. Deze autonome strategie heeft doelbewust geen indicatoren van een inbraak, malwarehandtekeningen, kunstmatige intelligentie, zoekopdrachten in de cloud of voorkennis nodig om effectief te zijn. Door te focussen op de bestanden, kunnen we de machtsverhouding tussen de aanvallers en de verdedigers veranderen. We maken het voor de aanvallers duurder en complexer om gegevens succesvol te versleutelen, zodat ze hun plannen laten varen. Dat is deel van onze asymmetrische verdedigingsstrategie.”
“Ransomware op afstand is een prominent probleem voor bedrijven, en het draagt bij aan het voortbestaan van ransomware in het algemeen. Omdat gegevens lezen via een netwerkverbinding langer duurt dan via een lokale schijf, gaan aanvallers zoals LockBit en Akira strategisch te werk en versleutelen ze slechts een fractie van elk bestand. Deze aanpak is bedoeld om zoveel mogelijk impact te hebben in korte tijd, zodat verdedigers een steeds kleiner tijdskader hebben om de aanval te detecteren en erop te reageren. De antiransomwaretechnologie van Sophos bestrijdt zowel aanvallen op afstand als aanvallen die slechts 3% van een bestand versleutelen. We willen verdedigers graag op de hoogte stellen van deze hardnekkige aanvalsmethode zodat ze apparaten degelijk kunnen beschermen.”
Lees ‘CryptoGuard: An Asymmetric Approach to the Ransomware Battle’ op Sophos.com voor meer informatie.