Uit onder­zoek van Barra­cuda blijkt dat laterale bewegingen door de organi­satie de duide­lijkste signalen zijn van een begin­nende ransom­ware-aanval: bijna de helft (44%) van de ransom­ware-aanvallen werd tijdens deze fase gedetec­teerd. Een kwart (25%) van de incidenten werd gedetec­teerd toen de aanval­lers begonnen met het schrijven of wijzigen van bestanden en in 14 procent van de gevallen was afwij­kend gedrag de indicatie dat er iets aan de hand was. De bevin­dingen staan in Barracuda’s jaarlijkse Threat Spotlight over ransom­ware, dat de belang­rijkste ransom­ware-aanvals­pa­tronen van de afgelopen 12 maanden onderzoekt.

Het ransomware dreigingslandschap in 2023/​24

Onder­zoe­kers van Barra­cuda analy­seerden een steek­proef van 200 gemelde incidenten in de periode van augustus 2023 tot juli 2024, verspreid over 37 landen en 36 verschil­lende ransomware-groepen.

Hieruit blijkt dat 21 procent van de incidenten gericht was op organi­sa­ties in de zorg, een stijging ten opzichte van de 18 procent in het rapport van vorig jaar. 15 procent van de onder­zochte aanvallen was gericht op de productie industrie en 13 procent op techbe­drijven. Het aantal gerap­por­teerde incidenten in het onder­wijs daalde met de helft, van 18 procent naar 9 procent.

Ransomware te huur

De meest voorko­mende ransom­ware-groepen boden van ransom­ware-as-a-service (RaaS) aan. Hieronder valt LockBit, dat in de afgelopen 12 maanden verant­woor­de­lijk was voor een op de zes (18%) van de aanvallen waarbij de identi­teit van de aanvaller bekend werd. ALPHV/​BlackCat-ransom­ware was goed voor 14 procent van de aanvallen, terwijl Rhysida, een relatief nieuwe ransom­ware-groep, betrokken was bij 8 procent van de geïden­ti­fi­ceerde aanvallen.

”Ransom­ware-aanvallen die als dienst worden verhuurd kunnen moeilijk te detec­teren en te beheersen zijn. Meerdere cyber­cri­mi­nelen kunnen verschil­lende tools en tactieken gebruiken om dezelfde malware te verspreiden, wat resul­teert in aanzien­lijke variatie”, zegt Adam Khan, VP Global Security Opera­tions bij Barra­cuda Networks. “Gelukkig vertrouwen de meeste aanval­lers op beproefde en bekende methodes, zoals scannen, laterale bewegingen en het downlo­aden van malware. Deze methodes kunnen securi­ty­mel­dingen activeren die securi­ty­teams vervol­gens meerdere mogelijk­heden bieden om deze ransom­ware-incidenten te detec­teren en ze te blokkeren of de impact ervan te beperken, voordat ze volledig escaleren. Dit is vooral belang­rijk in IT-omgevingen waar niet alle machines volledig bevei­ligd zijn.”

Top aanvalstools en ‑methodes in 2024

Volgens detec­tie­ge­ge­vens van Barra­cuda Managed XDR’s Endpoint Security waren in de eerste zes maanden van 2024 dit de belang­rijkste indica­toren van mogelijke ransomware-activiteit:

• Laterale bewegingen: bijna de helft (44%) van de ransom­ware-aanvallen werd opgemerkt door detec­tie­sys­temen die monitoren op laterale bewegingen door de organi­satie, tussen verschil­lende bedrijfsplatforms/​systemen.
• Wijzi­gingen van bestanden: een kwart (25%) werd gedetec­teerd door een systeem dat monitort wanneer bestanden worden geschreven of gewij­zigd en vervol­gens checkt of dit overeen­komt met bekende ransom­ware-signa­tures of verdachte patronen.
• Afwij­kend gedrag: 14% werd opgemerkt door een detec­tie­sys­teem dat afwij­kend gedrag binnen een systeem of netwerk identi­fi­ceert. Dit systeem leert het typische gedrag van gebrui­kers, processen en appli­ca­ties. Wanneer het vervol­gens afwij­kingen detec­teert (zoals ongebrui­ke­lijke toegang tot bestanden, het wijzigen van bestu­rings­sys­teem­be­standen of verdachte netwerk­ac­ti­vi­teit), geeft het een waarschuwingsmelding.

Uit een gedetail­leerd onder­zoek naar een afgeslagen PLAY-ransom­ware-aanval op een gezond­heids­tech­no­lo­gie­be­drijf en een 8base-incident bij een auto-onder­houds­be­drijf bleek dat aanval­lers eerst toegang probeerden te krijgen tot onbevei­ligde devices. Daarna kwam de volgende fase van hun aanval, waarbij bijvoor­beeld gepro­beerd werd om schade­lijke bestanden te verbergen in weinig gebruikte muziek- en video­mappen op deze devices.

Defense-in-depth

In de strijd tegen actieve dreigingen zoals ransom­ware zijn meerdere detectie lagen essen­tieel. Bij deze aanvallen worden vaak legitieme tools ingezet die ook door IT-teams worden gebruikt. Ook passen aanval­lers hun methodes en tactieken in real-time aan om succesvol te zijn.

Barra­cuda adviseert organi­sa­ties om gelaagde, door AI gestuurde verde­di­gings­maat­re­gelen te nemen, die cruciaal zijn voor het detec­teren en tegen­gaan van geavan­ceerde aanvallen. Zo kan de impact van een aanval beperkt worden. Dit moet worden aange­vuld met robuust authen­ti­catie- en toegangs­be­leid, tijdige patching, en regel­ma­tige security aware­ness trainingen voor medewerkers.