Vraag een security assessment aan Bel ons direct
Lees verder:
● De ransomware aanval zelf ➜ ● Hoe komen ze binnen? ➜ ● Op date met een cybercrimineel ➜ ● De puntjes op de ï zetten ➜
Hopelijk heb je er niks mee te maken gehad én ga je er ook niks mee te maken krijgen. Want wanneer ze jouw IT-omgeving gijzelen, zijn ze een probleem. Eén waar je niet omheen kan en die je moet aanpakken. Maar hoe steekt een ransomware aanval in elkaar en wie zijn erbij betrokken?
Hier gaan we verder op in, zodat jij weet hoe de aanval van A tot Z werkt. Dan weet je wat je kunt doen en hoe ver de aanval (al) is.
Dagelijks worden er systemen en data van bedrijven gegijzeld. De criminele hackers eisen losgeld en soms sta je als organisatie machteloos. Ze zijn inmiddels zo georganiseerd dat ze ook stroom- of betalingsverkeernetwerken kunnen platleggen. Het wordt een steeds groter probleem. De NCTV geeft aan dat het een bedreiging is voor de nationale veiligheid, omdat het inmiddels over ongelooflijk veel geld gaat.
Bij een grote hack zie je zeven criminele groepen die inbreken en de boel gijzelen. Deze worden ook wel de ransomware kill chain genoemd. In elke fase van een hackaanval komen deze gespecialiseerde criminelen om de beurt in actie.
In dit artikel benoemen we de zeven criminele groepen: 1. Initial Access Brokers 2. De Criminele Hackers 3. De Ransomware Developers 4. Data managers 5. Criminele Onderhandelaars 6. Chasers 7. De Witwassers
We beginnen bij de “Initial Access Brokers.” Want om een bedrijf te kunnen hacken heb je eerst toegang nodig tot het computernetwerk. En die toegang kan je gewoon kopen bij deze criminele handelaren.
Bekijk het cybersecuritybeeld
Deze tussenpersonen gaan op jacht naar slecht beveiligde bedrijven, fouten in beveiligingssoftware of slechte wachtwoorden. Of ze sturen phishingmails in de hoop dat een medewerker van de bedrijven erop klikt. Zo krijgen ze toegang tot het systeem. Deze groep zorgt voor de initiële toegang.
Om de informatie waardevol te maken doen ze onderzoek. Hoe meer informatie over een organisatie en het computersysteem, des te hoger de prijs voor de informatie. Op basis daarvan verkoopt die broker informatie aan de echte criminele hackers op het dark web. De prijzen variëren van enkele tientjes tot soms zelfs enkele duizenden euro’s. Zeker bedrijven met een 24×7 dienstverlening leveren veel geld op. Die worden harder geraakt en daardoor is de toegang tot zo’n bedrijf meer geld waard.
De zogenoemde ransomware affiliates. De criminelen die daadwerkelijk in jouw laptop duiken of een heel bedrijf hacken. Ze kopen dus eerst online toegang, maar ze kopen ook nog wat anders. De ransomware zelf. Dat is het programma dat uiteindelijk alle bestanden van een bedrijf gijzelt. Oftewel op slot zet. Dat kopen ze bij de derde partij, de ransomware developers.
De criminele hackers werken dus nauw samen met de ransomware ontwikkelaars. En als je kijkt naar zo’n ransomware aanval en de verschillende stappen, dan zijn dit wel degene die de boel regisseren. Deze twee hebben elkaar hard nodig om uiteindelijk geld te kunnen verdienen.
Doorgaans een percentage van de omzet van het bedrijf. Dat is de hoogte van het losgeld wat ze vragen. Ergens tussen de 0,4 en 2% van de jaarlijkse omzet van een organisatie. Over het algemeen krijgen de hackers tussen de 70 en 80 procent van het losgeld betaald. De softwareontwikkelaar tussen de 20 en 30 procent van het losgeld.
Je hebt criminelen die doorvertellen hoe ze inbreken en zij verkopen die kennis door. De verkochte kennis gaat naar de hackers die bereid zijn daadwerkelijk naar binnen te gaan. Met het gereedschap van weer een derde partij. Zij ontmoeten elkaar vaak op specifieke forums. De zogenaamde cybercrime forums. Vervolgens moet er gestemd worden voor toegang. Zodat ze weten dat anderen jou kennen. Los daarvan moet je geld betalen voor toegang. En dat is ook een soort controlemechanismen. Om jouw identiteit te screenen voordat je op het forum zit.
Er is dus een hele markt voor criminelen om dit soort gijzel software te kunnen kopen. En er zijn diverse ontwikkelaars die verschillende soorten ransomware aanbieden.
Maar dan zijn ze er nog niet. De hacker heeft nu misschien alleen maar toegang tot een computer. Het volgende doel wordt een account met meer mogelijkheden. De jacht op een admin-account is geopend. Via verschillende hacker tools en achterdeuren worden andere inloggegevens afgevangen. Vanaf het moment dat hij binnenkomt gaat hij omhoogklimmen in het systeem. Tot zijn doel behaald is.
Een hacker met een admin-account is echt het begin van het einde. Daarmee is hij de baas over het hele netwerk van het bedrijf. Als hij dat eenmaal is, dan kan hij op alle computers en servers die ransomware installeren. Waardoor eigenlijk alles op slot gaat. En als jij dan ‘s ochtends op je werk de computer aanzet dan zie je een versleuteld scherm met instructies.
Wanneer er datadiefstal heeft plaatsgevonden dragen ze de werkzaamheden over aan de datamanagers. Wanneer het enkel versleuteling betreft dan worden de werkzaamheden overgedragen aan de criminele onderhandelaars.
Zij structureren de data die de hackers in handen hebben gekregen. Ook maken zij het klaar om het online te zetten. Mocht dat nodig zijn. Op het darkweb heb je tal van sites gevuld met gevoelige bedrijfsdata. Dat is dus het werk van die datamanagers.
Wat ze doen is eerst een klein setje data publiceren. Om de druk op te voeren en jou te laten betalen. Betaal je niet? Dan gaan ze langzaam alle data uploaden. En die kan iedereen gewoon downloaden. Jij en ik dus ook.
Het doel is nog steeds “geld vangen”. Alle waardevolle data is gebundeld en het chantage pakket staat klaar. Ze dreigen door te verkopen, behalve als het bedrijf bereidt is mee te werken. En daar wordt een vijfde groep voor ingeschakeld. Geen van de criminelen uit de eerste vier groepen doen dit zelf. Hier zijn criminele onderhandelaars voor.
De onderhandelingen kunnen beginnen. Om de ransomware kill chain waardevol te maken, wordt er een flink bedrag gevraagd in bitcoins. Je kunt dan een tegenbod bieden.
Alsof je op de markt een kilo tomaten wilt kopen. Het is verleidelijk om hierin mee te gaan, omdat het vaak om bedrijf kritische situaties gaat. Dit is natuurlijk nooit het advies, maar wel begrijpelijk. Werk je niet mee dan kan je de zesde criminele groep verwachten.
Zie ze als een digitale knokploeg. Hoofdzakelijk doen ze hetzelfde als de onderhandelaars. Wel weten ze de druk flink op te voeren. Het maakt ze niet zoveel uit. Iedere zwakte die ze van je kennen gaan ze uitbuiten. En ze blijven volhardend achter je aan zitten. Een week, een maand of langer als het moet. Ze willen geld en anders gaan ze publiceren.
Wanneer het geld wordt ontvangen, zijn we bij het einde van de keten. De criminelen die het losgeld wegsluizen.
De accountants die bitcoins omzetten in geld. Zorgen dat de groep valuta krijgt, waar je echt mee kan betalen. Deze witwassers zetten het geld door in “mixers”. Het geld wordt in razend tempo overgemaakt langs heel veel rekeningen. Om zo een rookgordijn op te werpen voor opsporingsdiensten.
Uiteindelijk komt het dus weer in bezit van de criminelen. Die vinden dan weer een manier om dat geld vanuit een digitale omgeving, fysiek te maken.
De ransomware kill chain is nu compleet. Van de initial access brokers tot de witwassers. Het is een groepering die steeds professioneler wordt. Inmiddels weet je precies wat ieder onderdeel van de groep doet. Dus ook hoe je zelf actie kan ondernemen om het hen moeilijk te maken.
Je ziet hoe bedrijven geraakt worden en hoe lang die out-of-business zijn. Dit voorkomen we graag voor iedereen.
Weten hoe jij ervoor staat? Vraag eenvoudig een security assessment aan via onderstaand formulier en krijg inzicht en advies voor jullie situatie.
Geïnteresseerd?
Ook voor extra tips kan je ons ook bellen!
Bel ons!
* Verplicht in te vullen
