Wat is Blackcat Ransomware en hoe kunt u zich ertegen verdedigen?

Een cyberaanval is een opzettelijke en kwaadwillige poging om via bestaande kwetsbaarheden onbevoegd toegang te krijgen tot een computersysteem of netwerk. Dit kan worden gedaan om gevoelige informatie te stelen en de normale werking te verstoren.

In de afgelopen tijd is ransomware de favoriete tool voor cyberaanvallen geworden onder cybercriminelen. Ransomware wordt meestal verspreid via onder andere phishing-e-mails, drive-by-downloads, illegale software en remote desk-protocollen.

Zodra een computer is geïnfecteerd met ransomware, versleutelt de ransomware kritieke bestanden op de computer. Hackers eisen vervolgens losgeld om de versleutelde gegevens te herstellen.

Cyberaanvallen kunnen de nationale veiligheid van een land in gevaar brengen, operaties in belangrijke sectoren van een economie verlammen en enorme schade en ernstige financiële verliezen veroorzaken. Dit is precies wat er gebeurde met de WannaCry ransomware cyberaanval.

Op 12 mei 2017 verspreidde de ransomware WannaCry, vermoedelijk afkomstig uit Noord-Korea, zich over de hele wereld en infecteerde meer dan 200.000 computersystemen in meer dan 150 landen in minder dan twee dagen tijd. WannaCry was gericht op computersystemen met het Windows-besturingssysteem. Het maakte misbruik van een kwetsbaarheid in het serverberichtblokprotocol van het besturingssysteem.

Een van de grootste slachtoffers van de aanval was de National Health Service (NHS) van het Verenigd Koninkrijk. Meer dan 70.000 van hun apparaten, waaronder computers, theater, diagnostische apparatuur en MRI-scanners, waren geïnfecteerd. Artsen hadden geen toegang tot hun systemen of patiëntendossiers die nodig waren om patiënten te behandelen. Deze aanval kostte de NHS bijna 100 miljoen dollar.

Zo erg kan een mens worden. Het kan echter veel erger worden, vooral met nieuwe en gevaarlijkere ransomware zoals BlackCat, die een pad vol slachtoffers achterlaat.

BlackCat-ransomware

De BlackCat-ransomware, door de ontwikkelaars ALPHV genoemd, is schadelijke software die, na infectie van een systeem, gegevens in het getroffen systeem exfiltreert en versleutelt. Exfiltratie omvat het kopiëren en overdragen van gegevens die in een systeem zijn opgeslagen. Zodra BlackCat kritieke gegevens heeft geëxfiltreerd en versleuteld, wordt losgeld gevraagd in cryptocurrency. BlackCat-slachtoffers moeten het gevraagde losgeld betalen om weer toegang te krijgen tot hun gegevens.

BlackCat is geen gewone ransomware. BlackCat was de eerste succesvolle ransomware die in Rust werd geschreven, in tegenstelling tot andere ransomware die doorgaans in C, C++, C#, Java of Python wordt geschreven. Bovendien was BlackCat ook de eerste ransomware-familie die een website op het clear web had waar ze gestolen informatie van hun aanvallen lekten.

Een ander belangrijk verschil met andere ransomware is dat BlackCat werkt als Ransomware as a service (RaaS). Raas is een bedrijfsmodel voor cybercriminaliteit waarbij makers van ransomware hun ransomware verhuren of verkopen als een service aan andere individuen of groepen.

In dit model bieden de makers van ransomware alle benodigde tools en infrastructuur voor anderen om ransomware-aanvallen te verspreiden en uit te voeren. Dit is in ruil voor een deel van hun winst uit ransomware-betalingen.

Dit verklaart waarom BlackCat zich vooral richt op organisaties en bedrijven, aangezien zij meestal meer bereid zijn om het losgeld te betalen in vergelijking met individuen. Organisaties en bedrijven betalen ook meer losgeld dan individuen. Menselijke sturing en besluitvorming bij cyberaanvallen staan ​​bekend als Cyber ​​Threat actoren (CTA).

Om slachtoffers te dwingen het losgeld te betalen, gebruikt BlackCat de ‘drievoudige afpersingstechniek’. Dit omvat het kopiëren en overdragen van de gegevens van de slachtoffers en het versleutelen van de gegevens op hun systemen. De slachtoffers wordt vervolgens gevraagd losgeld te betalen om toegang te krijgen tot hun versleutelde gegevens. Als ze dat niet doen, worden hun gegevens naar het publiek gelekt en/of worden er denial of service (DOS)-aanvallen op hun systemen gelanceerd.

  Wat is SSH en hoe werkt het?

Ten slotte worden degenen die door het datalek worden getroffen, gecontacteerd en geïnformeerd dat hun gegevens zullen worden gelekt. Dit zijn meestal klanten, werknemers en andere aan het bedrijf gelieerde ondernemingen. Dit wordt gedaan om de slachtofferorganisaties onder druk te zetten om losgeld te betalen om reputatieverlies en rechtszaken als gevolg van datalekken te voorkomen.

Hoe BlackCat-ransomware werkt

Volgens een flitswaarschuwing van de FBI gebruikt de BlackCat-ransomware eerder gecompromitteerde gebruikersreferenties om toegang te krijgen tot systemen.

Eenmaal succesvol in het systeem gebruikt BlackCat de toegang die het heeft om de gebruikers- en beheerdersaccounts die zijn opgeslagen in de active directory te compromitteren. Hierdoor kan het Windows Task Scheduler gebruiken om kwaadaardige Group Policy Objects (GPO’s) te configureren waarmee BlackCat zijn ransomware kan inzetten om bestanden in een systeem te versleutelen.

Tijdens een BlackCat-aanval worden PowerShell-scripts samen met Cobalt Strike gebruikt om beveiligingsfuncties in het netwerk van een slachtoffer uit te schakelen. BlackCat steelt vervolgens de gegevens van de slachtoffers waar ze zijn opgeslagen, ook van cloudproviders. Zodra dit is gebeurd, zet de cyberdreigingsacteur die de aanval begeleidt de BlackCat-ransomware in om gegevens in het systeem van het slachtoffer te versleutelen.

Slachtoffers krijgen vervolgens een losgeldbrief waarin staat dat hun systemen zijn aangevallen en dat belangrijke bestanden zijn versleuteld. Het losgeld bevat ook instructies voor het betalen van het losgeld.

Waarom is BlackCat gevaarlijker dan de gemiddelde ransomware?

BlackCat is om een ​​aantal redenen gevaarlijk in vergelijking met de gemiddelde ransomware:

Het is geschreven in Roest

Rust is een programmeertaal die snel en veilig is en verbeterde prestaties en efficiënt geheugenbeheer biedt. Door Rust te gebruiken, plukt BlackCat al deze voordelen, waardoor het een zeer complexe en efficiënte ransomware met snelle codering wordt. Het maakt BlackCat ook moeilijk om te reverse-engineeren. Rust is een platformonafhankelijke taal waarmee bedreigingsactoren BlackCat eenvoudig kunnen aanpassen aan verschillende besturingssystemen, zoals Windows en Linux, waardoor hun bereik van potentiële slachtoffers wordt vergroot.

Het maakt gebruik van een RaaS-bedrijfsmodel

BlackCat’s gebruik van ransomware als een servicemodel stelt veel bedreigingsactoren in staat om complexe ransomware in te zetten zonder dat ze hoeven te weten hoe ze er een moeten maken. BlackCat doet al het zware werk voor bedreigingsactoren, die het alleen maar in een kwetsbaar systeem hoeven te implementeren. Dit maakt geavanceerde ransomware-aanvallen gemakkelijk voor bedreigingsactoren die geïnteresseerd zijn in het exploiteren van kwetsbare systemen.

Het biedt enorme uitbetalingen aan affiliates

Met BlackCat die een Raas-model gebruikt, verdienen de makers geld door een deel te nemen van het losgeld dat wordt betaald aan bedreigingsactoren die het inzetten. In tegenstelling tot andere Raas-families die tot 30% van het losgeld van een aanvaller opeisen, staat BlackCat toe dat aanvallers 80% tot 90% van het losgeld dat ze verdienen, behouden. Dit vergroot de aantrekkingskracht van BlackCat op bedreigingsactoren, waardoor BlackCat meer gelieerde ondernemingen bereid kan krijgen om het in te zetten bij cyberaanvallen.

Het heeft een openbare leksite op het clear web

In tegenstelling tot andere ransomware die gestolen informatie lekt op het dark web, lekt BlackCat gestolen informatie op een website die toegankelijk is op het clear web. Door gestolen gegevens in het openbaar te lekken, hebben meer mensen toegang tot de gegevens, waardoor de gevolgen van een cyberaanval toenemen en er meer druk wordt uitgeoefend op slachtoffers om het losgeld te betalen.

De programmeertaal Rust heeft BlackCat zeer effectief gemaakt in zijn aanval. Door een Raas-model te gebruiken en een enorme uitbetaling te bieden, spreekt BlackCat meer bedreigingsactoren aan die het eerder zullen inzetten bij aanvallen.

Infectieketen BlackCat Ransomware

BlackCat krijgt initiële toegang tot een systeem met gecompromitteerde inloggegevens of door misbruik te maken van Microsoft Exchange Server-kwetsbaarheden. Nadat ze toegang hebben gekregen tot een systeem, halen de kwaadwillende actoren de beveiligingsverdediging van het systeem neer en verzamelen ze informatie over het netwerk van het slachtoffer en verhogen ze hun rechten.

  Wat zijn de Valorant-rangen in volgorde?

BlackCat-ransomware beweegt zich vervolgens zijdelings in het netwerk en krijgt toegang tot zoveel mogelijk systemen. Dit komt goed van pas tijdens de losgeldeis. Hoe meer systemen worden aangevallen, hoe groter de kans dat een slachtoffer het losgeld betaalt.

Kwaadwillende actoren exfiltreren vervolgens de gegevens van het systeem die voor afpersing moeten worden gebruikt. Zodra kritieke gegevens zijn geëxfiltreerd, is de fase klaar voor de levering van de BlackCat-payload.

Kwaadwillende actoren leveren BlackCat met Rust. BlackCat stopt eerst services zoals back-ups, antivirusprogramma’s, Windows-internetservices en virtuele machines. Zodra dit is gebeurd, versleutelt BlackCat de bestanden in het systeem en maakt het de achtergrondafbeelding van een systeem onleesbaar en vervangt deze door de losgeldbrief.

Bescherm tegen BlackCat Ransomware

Hoewel BlackCat gevaarlijker blijkt te zijn dan andere ransomware die we eerder hebben gezien, kunnen organisaties zichzelf op een aantal manieren tegen de ransomware beschermen:

Versleutel kritieke gegevens

Onderdeel van de afpersingsstrategie van Blackhat is het dreigen met het lekken van de gegevens van een slachtoffer. Door kritieke gegevens te versleutelen, voegt een organisatie een extra beschermingslaag toe aan haar gegevens, waardoor de afpersingstechnieken die door BlackHat-dreigingsactoren worden gebruikt, worden verlamd. Zelfs als het is gelekt, zal het niet in een door mensen leesbaar formaat zijn.

Systemen regelmatig updaten

Uit onderzoek van Microsoft bleek dat BlackCat in sommige gevallen ongepatchte exchange-servers uitbuitte om toegang te krijgen tot de systemen van een organisatie. Softwarebedrijven brengen regelmatig software-updates uit om kwetsbaarheden en beveiligingsproblemen aan te pakken die mogelijk in hun systemen zijn ontdekt. Installeer voor de zekerheid softwarepatches zodra deze beschikbaar zijn.

Maak een back-up van gegevens op een veilige locatie

Organisaties moeten prioriteit geven aan het regelmatig maken van back-ups van gegevens en het opslaan van de gegevens op een aparte en veilige offline locatie. Dit is om ervoor te zorgen dat zelfs in het geval dat kritieke gegevens worden versleuteld, deze nog steeds kunnen worden hersteld vanaf bestaande back-ups.

Implementeer multi-factor authenticatie

Implementeer niet alleen sterke wachtwoorden in een systeem, maar implementeer ook multifactorauthenticatie, waarvoor meerdere inloggegevens nodig zijn voordat toegang tot een systeem wordt verleend. Dit kan worden gedaan door een systeem te configureren om een ​​eenmalig wachtwoord te genereren dat naar een gekoppeld telefoonnummer of e-mailadres wordt verzonden, wat nodig is om toegang te krijgen tot een systeem.

Monitor activiteit op een netwerk en bestanden in een systeem

Organisaties moeten de activiteit op hun netwerken voortdurend monitoren om verdachte activiteiten in hun netwerken zo snel mogelijk op te sporen en erop te reageren. Activiteiten op een netwerk moeten ook worden geregistreerd en beoordeeld door beveiligingsexperts om potentiële bedreigingen te identificeren. Ten slotte moeten systemen worden opgezet om bij te houden hoe bestanden in een systeem worden geopend, wie er toegang toe heeft en hoe ze worden gebruikt.

Door kritieke gegevens te versleutelen, ervoor te zorgen dat systemen up-to-date zijn, regelmatig back-ups van gegevens te maken, meervoudige authenticatie te implementeren en activiteiten in een systeem te bewaken. Organisaties kunnen een stap voor zijn en aanvallen van BlackCat voorkomen.

Leermiddelen: Ransomware

Om meer te weten te komen over cyberaanvallen en hoe je jezelf kunt beschermen tegen aanvallen van ransomware zoals BlackCat, raden we je aan een van deze cursussen te volgen of de onderstaande boeken te lezen:

#1. Beveiligingsbewustzijnstraining

Dit is een geweldige cursus voor iedereen die geïnteresseerd is in veilig internetten. De cursus wordt aangeboden door Dr. Michael Biocchi, een Certified Information Systems Security Professional (CISSP).

De cursus behandelt phishing, social engineering, datalekken, wachtwoorden, veilig browsen en persoonlijke apparaten en biedt algemene tips om veilig online te zijn. De cursus wordt regelmatig bijgewerkt en iedereen die internet gebruikt, heeft er baat bij.

#2. Beveiligingsbewustzijnstraining, internetbeveiliging voor werknemers

Deze cursus is op maat gemaakt voor alledaagse internetgebruikers en heeft tot doel hen te informeren over beveiligingsbedreigingen waarvan mensen zich vaak niet bewust zijn en hoe ze zichzelf tegen de bedreigingen kunnen beschermen.

De cursus die wordt aangeboden door Roy Davis, een CISSP-gecertificeerde informatiebeveiligingsexpert, behandelt gebruikers- en apparaatverantwoordelijkheid, phishing en andere kwaadaardige e-mails, social engineering, gegevensverwerking, wachtwoord- en beveiligingsvragen, veilig browsen, mobiele apparaten en ransomware. Als u de cursus voltooit, ontvangt u een certificaat van voltooiing, wat voldoende is om te voldoen aan het gegevensregelgevingsbeleid op de meeste werkplekken.

  Alexa, Siri en Google begrijpen geen woord dat je zegt

#3. Cyberbeveiliging: bewustwordingstraining voor absolute beginners

Dit is een Udemy-cursus die wordt aangeboden door Usman Ashraf van Logix Academy, een startup voor training en certificering. Usman is CISSP-gecertificeerd en heeft een Ph.D. in computernetwerken en veel ervaring in de industrie en lesgeven.

Deze cursus biedt leerlingen een diepe duik in social engineering, wachtwoorden, veilige gegevensverwijdering, virtual private networks (VPN’s), malware, ransomware en tips voor veilig browsen en legt uit hoe cookies worden gebruikt om mensen te volgen. De cursus is niet-technisch.

#4. Ransomware onthuld

Dit is een boek van Nihad A. Hassan, een onafhankelijk informatiebeveiligingsadviseur en expert op het gebied van cyberbeveiliging en digitaal forensisch onderzoek. Het boek leert hoe ransomware-aanvallen kunnen worden beperkt en aangepakt en geeft lezers een diepgaand inzicht in de verschillende soorten ransomware die er bestaan, hun distributiestrategieën en herstelmethoden.

Het boek behandelt ook de stappen die moeten worden gevolgd in het geval van een ransomware-infectie. Dit omvat het betalen van losgeld, het maken van back-ups en het herstellen van getroffen bestanden, en het online zoeken naar decoderingstools om geïnfecteerde bestanden te decoderen. Het behandelt ook hoe organisaties een responsplan voor ransomware-incidenten kunnen ontwikkelen om de schade door ransomware te minimaliseren en de normale werking snel te herstellen.

#5. Ransomware: begrijp het. Voorkomen. Herstellen

In dit boek beantwoordt Allan Liska, een senior beveiligingsarchitect en ransomware-specialist bij Recorded Future, alle lastige vragen met betrekking tot ransomware.

Het boek geeft een historische context van waarom ransomware de afgelopen jaren wijdverbreid is geworden, hoe ransomware-aanvallen kunnen worden gestopt, kwetsbaarheden waarop kwaadwillende actoren zich richten met behulp van ransomware, en een gids om een ​​ransomware-aanval met minimale schade te overleven. Bovendien beantwoordt het boek de allerbelangrijkste vraag: moet u het losgeld betalen? Dit boek biedt een spannende verkenning van ransomware.

#6. Draaiboek voor bescherming tegen ransomware

Dit boek is een must-read voor elk individu of elke organisatie die zich wil wapenen tegen ransomware. In dit boek biedt Roger A. Grimes, een expert op het gebied van computerbeveiliging en -penetratie, zijn enorme ervaring en kennis in het veld aan om mensen en organisaties te helpen zichzelf te beschermen tegen ransomware.

Het boek biedt een bruikbare blauwdruk voor organisaties die een robuuste verdediging tegen ransomware willen formuleren. Het leert ook hoe een aanval kan worden gedetecteerd, schade snel kan worden beperkt en kan worden bepaald of het losgeld moet worden betaald of niet. Het biedt ook een spelplan om organisaties te helpen de reputatieschade en financiële schade als gevolg van ernstige inbreuken op de beveiliging te beperken.

Ten slotte leert het hoe u een veilige basis kunt vinden voor cyberbeveiligingsverzekeringen en rechtsbescherming om de verstoring van het bedrijfsleven en het dagelijks leven te verminderen.

Opmerking van de auteur

BlackCat is een revolutionaire ransomware die de status quo op het gebied van cyberbeveiliging zal veranderen. Vanaf maart 2022 had BlackCat met succes meer dan 60 organisaties aangevallen en wist het de aandacht van de FBI te trekken. BlackCat is een serieuze bedreiging en geen enkele organisatie kan het zich veroorloven om het te negeren.

Door gebruik te maken van een moderne programmeertaal en onconventionele aanvals-, coderings- en losgeldafpersing, heeft BlackCat beveiligingsexperts een inhaalslag laten maken. De oorlog tegen deze ransomware is echter niet verloren.

Door strategieën te implementeren die in dit artikel worden benadrukt en de kans op menselijke fouten om computersystemen bloot te leggen tot een minimum te beperken, kunnen organisaties een stap voor blijven en de catastrofale aanval van BlackCat-ransomware voorkomen.

gerelateerde berichten