Ivanti, leverancier van het Ivanti Neurons automatiseringsplatform, kondigt de resultaten aan van het Ransomware Index Report Q2-Q3 2022. Hieruit blijkt dat ransomware sinds 2019 met 466 procent is toegenomen. Daarnaast wordt het steeds vaker gebruikt als voorloper van een fysieke oorlog, zoals te zien in het Rusland-conflict in Oekraïne en de cyberoorlog tussen Iran en Albanië.
Het onderzoek voor dit rapport werd uitgevoerd in samenwerking met Cyber Security Works, een Certifying Numbering Authority (CNA), en de threat intelligence solution provider Cyware. Uit het rapport blijkt dat het aantal ransomware-groepen blijft stijgen, maar dat de ransomware ook steeds verfijnder wordt. In de eerste drie kwartalen van 2022 zijn 35 kwetsbaarheden en 159 actieve exploits in verband gebracht met ransomware. Voor veel organisaties blijkt het lastig om hun systemen hier op een efficiënte manier tegen te beschermen. Dit komt door het gebrek aan de juiste gegevens en dreigingscontext.
Ransomware-families
Het rapport identificeert 10 nieuwe ransomware-families, genaamd Black Basta, Hive, BianLian, BlueSky, Play, Deadbolt, H0lyGh0st, Lorenz, Maui en NamPoHyu. Hiermee komt het totaal op 170 ransomware-families. Deze gebruiken 101 Common Vulnerabilities and Exposures (CVE’s) voor phishing-aanvallen, en daarom vertrouwen ransomware-aanvallers steeds vaker op spear phishing-technieken om nietsvermoedende slachtoffers te lokken en hun kwaadaardige payload af te leveren. Een krachtig voorbeeld hiervan is de Pegasus-spyware, dat een eenvoudig phishing-bericht gebruikt om een backdoor-toegang te creëren, gebruikmakend van iPhone-kwetsbaarheden. Dit resulteerde in de compromittering van vele wereldwijd bekende personen.
Om effectief te zijn heeft ransomware menselijke interactie nodig. Dat enkel phishing wordt gebruikt bij aanvallen is een mythe. Voor het onderzoek zijn 323 actuele ransomware-kwetsbaarheden geanalyseerd en met het MITRE ATT&CK-framework in kaart gebracht om daarmee de tactieken, technieken en procedures te bepalen die worden gebruikt om een organisatie te compromitteren. Hiermee is vastgesteld dat 57 ervan leiden tot een volledige systeemovername vanaf de eerste toegang tot exfiltratie.
Nieuwe kwetsbaarheden
Het rapport identificeerde ook twee nieuwe ransomware-kwetsbaarheden: CVE-2021–40539 en CVE-2022–26134. Die worden beide gebruikt door productieve ransomwarefamilies zoals AvosLocker en Cerber, vóór of op dezelfde dag dat ze zijn toegevoegd aan de National Vulnerability Database (NVD). Deze cijfers benadrukken dat organisaties zeer vatbaar zijn voor deze aanvallen als ze uitsluitend vertrouwen op de bekendmaking van NVD’s om de kwetsbaarheden in hun systemen te patchen.
Uit het rapport blijkt verder dat er in de KEV-catalogus (Known Exploited Vulnerabilities) van CISA, een veelgebruikte lijst met kwetsbaarheden, die Amerikaanse overheidsinstellingen binnen een bepaalde termijn moeten verhelpen, maar liefst 124 ransomware-kwetsbaarheden ontbreken.
Srinivas Mukkamala, Chief Product Officer bij Ivanti: “IT- en beveiligingsteams moeten dringend een op risico’s gebaseerde aanpak van kwetsbaarhedenbeheer aannemen om zich beter te verdedigen tegen ransomware en andere bedreigingen. Hierbij is het gebruik van automatiseringstechnologieën nodig die gegevens uit verschillende bronnen kunnen correleren (zoals netwerkscanners, interne en externe databases met kwetsbaarheden en penetratietests), risico’s kunnen meten, vroegtijdig kunnen waarschuwen, aanvallen kunnen voorspellen en herstelactiviteiten kunnen prioriteren. Organisaties die blijven vertrouwen op traditionele werkwijzen voor vulnerability management, zoals het uitsluitend gebruikmaken van de NVD en andere openbare databases voor het prioriteren en patchen van kwetsbaarheden, blijven een groot risico lopen op cyberaanvallen.”
Verder blijkt uit het rapport dat populaire malwarescanners 18 kwetsbaarheden die veel worden gebruikt door ransomware niet detecteren. Dit maakt het nog duidelijker dat traditionele werkwijzen voor het beheer van kwetsbaarheden niet meer toereikend zijn.
Aaron Sandeen, CEO van Cyber Security Works: “Het is een eng vooruitzicht dat de scanners waarvan je afhankelijk bent niet in staat zijn bekende kwetsbaarheden te identificeren. Organisaties moeten een attack surface management-oplossing invoeren die de blootstelling aan kwetsbaarheden in alle bedrijfsmiddelen van de organisatie kan ontdekken.”
Kritieke infrastructuur
Het rapport analyseerde ook de impact van ransomware op kritieke infrastructuur, met als drie zwaarst getroffen sectoren de gezondheidszorg, energie en kritieke productie. Uit het rapport blijkt dat 47,4% van de ransomware-kwetsbaarheden gezondheidszorgsystemen treffen, 31,6% energiesystemen en 21,1% kritieke productiesectoren.
Anuj Goel, medeoprichter en CEO van Cyware: “Ook al zijn de herstelstrategieën na een incident in de loop der tijd verbeterd, het oude adagium dat voorkomen beter is dan genezen geldt nog steeds. Om de dreigingscontext correct te analyseren en effectief prioriteit te geven aan proactieve risicobeperkende maatregelen, moet vulnerability intelligence voor SecOps worden geoperationaliseerd. Dit doe je door middel van een stevige orkestratie van beveiligingsprocessen om de integriteit van kwetsbare bedrijfsmiddelen te waarborgen.”
Toekomstige trends
Het rapport biedt ten slotte nog inzicht in huidige en toekomstige ransomware-trends. Met name malware met cross-platform mogelijkheden blijkt zeer in trek, omdat ransomware-exploitanten hiermee eenvoudig vanuit een enkele codebasis meerdere besturingssystemen kunnen aanvallen. Het rapport brengt ook een aanzienlijk aantal aanvallen op externe leveranciers van beveiligingsoplossingen en softwarebibliotheken aan het licht, wat resulteerde in een overvloed aan mogelijke slachtoffers. In de toekomst kunnen organisaties nieuwe ransomwarebendes verwachten nu prominente groepen zoals Conti en DarkSide naar verluidt hun deuren sluiten. Nieuwe bendes zullen waarschijnlijk de broncode en exploitatiemethoden van de verdwenen ransomware-groepen hergebruiken of aanpassen.
Het Ransomware Index Report is gebaseerd op gegevens uit verschillende bronnen, waaronder eigen gegevens van Ivanti en CSW, openbaar beschikbare bedreigingsdatabases en bedreigingsonderzoekers en penetratietestteams.
Klik hier om het volledige ransomware-rapport te lezen.
