Ransomwaregroepen leren van de businessmodellen van legitieme bedrijven. Dat niet alleen: ze innoveren voortdurend om taken te verdelen en marktniches op te zoeken. Nu blijkt dat twee prominente bendes via affiliate-modellen platformen als YouTube en TikTok nadoen. Aanvallers kunnen hun eigen branding en eindproduct loslaten via bestaande systemen en netwerken.
Ransomware-as-a-service is al enige tijd populair. Een dreigingsactor verkoopt of verhuurt hierbij de tools die minder ervaren cybercriminelen (zogenaamde affiliates) nodig hebben om een ransomware-aanval uit te voeren. De affiliates delen vervolgens de opbrengsten met de operator. Secureworks, onderdeel van Sophos, publiceerde deze week onderzoek naar de uitgebreide affiliate-modellen van twee RaaS-groepen: DragonForce en Anubis. Zij hebben allebei nieuwe affiliate-modellen opgezet. De flexibiliteit is groot, men kan zelfs aanvallen uitvoeren zonder over eigen malware te beschikken. Andersom kan het ook: neem vooral je eigen malware mee als je erover beschikt, laten de groeperingen weten.
DragonForce’s strategie: Bring Your Own Malware
DragonForce verscheen in augustus 2023 als een traditionele RaaS-speler, maar heeft zich vorige maand opnieuw geprofileerd als een ‘kartel’. In een bericht op een Dark Web hackforum op 19 maart adverteerde DragonForce dat affiliates hun eigen ‘merk’ kunnen creëren, waardoor ze hun eigen malware kunnen gebruiken terwijl ze gebruik maken van de infrastructuur die DragonForce aanbiedt.
“In dit model biedt DragonForce zijn infrastructuur en tools aan, maar vereist niet dat affiliates zijn ransomware inzetten. Geadverteerde functies omvatten administratie- en klantenpanelen, encryptie- en losgeldonderhandelingstools, een bestandsopslagsysteem, een op Tor gebaseerde leksite en .onion-domein, en ondersteuningsdiensten,” aldus Secureworks.
Secureworks noemt het niet als zodanig, maar we verwachten dat een “Bring Your Own Malware”-concept weleens populair kan worden binnen het cybercriminele circuit. Immers leert men niet alleen van legitieme organisaties, maar vooral ook van elkaar.
De nieuwe aanpak onderscheidt zich van andere RaaS-modellen en kan aantrekkelijk zijn voor aanvallers die over eigen malware beschikken, maar niet de technische kennis of ondersteuning hebben om andere aspecten van de infrastructuur betrouwbaar te beheren. Dat is namelijk een forse klus, wil men niet gedetecteerd worden. Het “ideaalbeeld” is een reusachtig gedistribueerd netwerk dat ongezien klaarstaat om als aanvalspad te dienen. Daarover beschikt DragonForce wel. De Secureworks-onderzoekers waarschuwen echter dat deze aanpak ook risico’s met zich meebrengt: “Als één affiliate wordt gecompromitteerd, kunnen operationele en slachtoffergegevens van andere affiliates ook worden blootgelegd.”
Anubis’ drievoudig verdienmodel
Anubis is intussen sinds februari begonnen met het aanbieden van drie verschillende affiliate-modellen. Deze omvatten een traditioneel RaaS-model waarbij affiliates 80 procent van het losgeld krijgen, een “data ransom”-optie waarbij Anubis helpt afpersen na een data-exfiltratie, en een “accesses monetization”-optie. Deze laatste is een dienst die aanvallers helpt om slachtoffers af te persen die ze al hebben gecompromitteerd. Affiliates ontvangen bij een geslaagde operatie 50 procent van het losgeld. De data-diefstal optie biedt affiliates 60 procent van de netto-opbrengst.
De “data ransom”-optie doet denken aan content marketing, merkt Dark Reading op, maar dan voor cyberaanvallers. “De ‘data ransom’-optie omvat het publiceren van een gedetailleerd ‘onderzoeksartikel’ op een met wachtwoord beveiligde Tor-website,” legt Secureworks uit. In dit artikel wordt haarfijn uitgelegd welke gegevens interessant zijn. Zo kunnen geïnteresseerden hun potentiële aankoop op waarde schatten. Mocht er geen koper te vinden zijn, dan lekken de aanvallers de data via de Anubis-leaksite.
De aanvallers verhogen de druk door de namen van slachtoffers te publiceren via een X-account. Bovendien beweren ze klanten van de slachtoffers te zullen informeren, evenals toezichthouders in de VS, het VK en Europa. Dit komt vaker voor: gezien de strenge eisen rondom het rapporteren van ransomware en andere incidenten, voelen organisaties de hete adem van de regelgever én van de hackers.
Professionalisering van cybercrime
Deze aanpak van DragonForce en Anubis laat zien dat cybercriminelen steeds verfijnder worden in de manier waarop ze hun diensten op de markt brengen aan potentiële affiliates. Deze marketing-benadering, waarbij DragonForce zich als een volwaardig serviceplatform positioneert en Anubis verschillende verdienmodellen aanbiedt, weerspiegelt hoe ransomware-operators zich als “echte” bedrijven gedragen. Recent onderzoek toonde ook aan dat sommige cybercriminelen zelfs pentesters inhuren om hun ransomware te testen op kwetsbaarheden voordat ze deze inzetten.
Zo blijft het niet bij darkweb-sites of een onderverdeling van taken, maar een werkelijk ecosysteem aan overzichtelijke opties voor “consumenten”. Wellicht dat we ook een modernisering van de darkweb-fora zullen zien, die vooralsnog ogen als de online platformen van de jaren ’00.
Aanbevelingen voor verdedigers
Hoewel deze ontwikkelingen in het ransomware-landschap zorgwekkend zijn, geven de onderzoekers van Secureworks ook praktische adviezen voor organisaties om zich te beschermen. Bovenal: verdedigers moeten “proactief preventief” optreden. Het blijft daarbij, gelukkig en helaas, vooral bij basale zaken. Gelukkig omdat het in te voeren beleid behapbaar is, helaas omdat het nog altijd ontbreekt aan universele bewustwording over dergelijke securitypraktijken.
Daarnaast moeten organisaties een incident response plan ontwikkelen en regelmatig testen om snel ransomware-activiteiten te kunnen verhelpen. Uit cijfers blijkt dat 61 procent van de getroffen organisaties losgeld betaalt na een ransomware-aanval, wat het verdienmodel van cybercriminelen in stand houdt. Als dat geld niet meer richting aanvallers zou stromen, zouden enkel staatsactoren de middelen te hebben om hun slag te slaan.