Cybercrime is steeds meer aan het evolueren naar een ‘hack-as-a-service’ model, inclusief gebruiksaanwijzingen voor andere hackers om er snel mee aan de slag te kunnen. Dat schrijft de Britse beveiliger Sophos in zijn nieuwe ‘Threat Report 2022’.
Volgens de Sophos-onderzoekers maakten aanvallen door afzonderlijke ransomware-groepen in de loop van 2021 plaats voor meer ransomware-as-a-service (raas)-aanbiedingen, waarbij gespecialiseerde ontwikkelaars zich richten op het ‘verhuren’ van kwaadaardige code en infrastructuur aan gelieerde derde partijen.
Bij enkele van de meest in het oog springende ransomware-aanvallen van het jaar werd volgens het raas-model gewerkt, waaronder een aanval tegen Colonial Pipeline in de VS door een filiaal van DarkSide. Een filiaal van Conti-ransomware lekte dan weer uit de implementatiegids die door de exploitanten was verstrekt en onthulde de tools en technieken die aanvallers konden gebruiken om de ransomware in te zetten.
Zodra ze de benodigde malware hebben, kunnen raas-filialen en andere ransomware-exploitanten zich wenden tot Initial Access Brokers en malware delivery platforms om potentiële slachtoffers te vinden en aan te vallen.
Allesverslindende zwarte gat
‘Hoewel raas-aanbiedingen niet nieuw zijn, was hun belangrijkste bijdrage in voorgaande jaren om ransomware binnen het bereik te brengen van lager geschoolde of minder goed gefinancierde aanvallers’, zegt Chester Wisniewski van Sophos. ‘Dit is veranderd en in 2021 investeren raas-ontwikkelaars hun tijd en energie in het maken van geavanceerde code en het bepalen hoe ze de grootste betalingen kunnen ontfutselen aan slachtoffers, verzekeringsmaatschappijen en onderhandelaars. Ze schuiven nu de taken van het vinden van slachtoffers, het installeren en uitvoeren van de malware en het witwassen van de gestolen cryptocurrencies af op anderen. Dit verstoort het cyberdreigingslandschap en veelvoorkomende dreigingen, zoals loaders, droppers en Initial Access Brokers, die er al waren en ontwrichting veroorzaakten ver voor de opkomst van ransomware, worden meegezogen in het schijnbaar allesverslindende ‘zwarte gat’ dat ransomware is.’
Dit alles voedt de tweede grote trend die Sophos voorziet: gevestigde cyberbedreigingen (malware, spam, adware…) zullen zich blijven aanpassen om ransomware te verspreiden en af te leveren. Ook het gebruik van meerdere vormen van afpersing door aanvallers om slachtoffers onder druk te zetten tot het betalen van losgeld zal naar verwachting doorgaan en toenemen in bereik en intensiteit. In 2021 catalogiseerde Sophos tien verschillende soorten pressietactieken, van gegevensdiefstal en blootstelling, tot dreigtelefoontjes, gedistribueerde ddos-aanvallen (distributed denial of service) en diens meer.
Ook cryptogeld zal cybercriminaliteit, zoals ransomware en kwaadaardige cryptomining, blijven aanwakkeren. Sophos verwacht dat die trend aanhoudt totdat wereldwijde cryptocurrencies beter gereguleerd zijn.
