Is ransomware verleden tijd?

Blog door Eward Driehuis, Chief Research Officer

Begin 2018 constateerden we dat cryptocurrency mining incidenten het overnamen van ransomware incidenten. Laten we deze cijfers eens onder de loep nemen, interpreteren en een historische context toevoegen.

Voorheen had cybercriminaliteit de grootste impact op gemiddelde technologie gebruikers. Veel mensen kennen wel iemand die ooit bedrogen is of zijn zelf slachtoffer geweest. Hoewel het tij is gekeerd omdat bedreigingen door nation states en spionage toenemen, cybercriminaliteit blijft voor velen het grootste risico.

Bij het onderzoeken van cybercriminaliteit gebeurt het meeste onderzoek aan de technische kant: malware, DNS names, indicatoren van compromittatie en Tactics, Techniques and Procedures (TTPs). Paradoxaal genoeg is voor criminelen het meest uitdagende deel van hun werk altijd het witwassen van geld geweest.

Witwassen met betrekking tot aanvalstypen

De evolutie van het witwassen van geld kan worden onderverdeeld in drie categorieën:

  1. De eerste categorie staat ook wel bekend als de ‘money mule categorie’. Hierbij worden opbrengsten van criminele transacties doorgegeven aan ‘money mules’ (tussenpersonen die geld overboeken naar een volgende account). Deze techniek wordt meestal gebruikt voor kleinere bedragen. Het vereist veel moeite om deze money mules te managen.
  2. Voor grotere bedragen bouwen criminelen netwerken van financiële insiders en fictieve bedrijven. Hier kunnen ze grotere hoeveelheden geld tegelijk verplaatsen.
  3. Met elektronische valuta’s zoals Bitcoin en Monero worden witwassen en transacties in slechts één stap afgehandeld.

Deze laatste categorie heeft nieuwe deuren geopend voor criminelen en daardoor zijn zij nu actief op zoek naar nieuwe manieren om geld te verdienen door elektronische valuta te stelen.

bitcoin-crypto

Ransomware

Hoewel ransomware al sinds 1989 bestaat (onheilspellend het aidsvirus genoemd), is het door een bende bankfraudeurs die GameOver ZeuS gebruikten, doorgebroken. In 2013 creëerde hun technische staf CryptoLocker. Vanuit hun bestaande fraude infrastructuur konden zij ongeveer een half miljoen slachtoffers infecteren. Van die slachtoffers betaalden slechts een fractie het geëiste bedrag, waardoor ze naar schatting 2 miljoen dollar extra verdienden bovenop hun fraude inkomsten (die velen malen groter waren). Er volgden tientallen copycat aanvallen welke zich richtten op willekeurige apparaten via botnets. Maar dit leidde niet tot grote inkomsten voor criminelen. Helaas blijft het eenvoudig en goedkoop om ransomware in te zetten. In de afgelopen twee jaar hebben we gezien hoe ransomware werd gebruikt in meer op maat gemaakte scenario’s: criminelen hacken bedrijfsnetwerken, vernietigen back-ups en gijzelen vervolgens bestanden voor grotere bedragen.

Wat is coin mining?

Bitcoin en andere elektronische valuta’s worden gemaakt op blockchain. Het draait op een peer-to-peer netwerk om de integriteit te behouden en het geeft (willekeurige) beloningen aan diegenen die hun vermogen in het netwerk investeren.

Het vermogen is nodig om de integriteitsberekeningen uit te voeren, de willekeurige beloning is een (deel van een) valuta. Om de kansen op het vinden van een valuta te vergroten, bestaan er mining pools. De beloning wordt verdeeld over de knooppunten die deelnemen in de pool.

Bitcoin was de eerste en meest gebruikte elektronische valuta. Er is een maximum aantal bitcoins dat kan worden gemined, en het wordt steeds moeilijker om er een te vinden.

De behoefte aan vermogen neemt exponentieel toe. Dat is de reden waarom criminelen halverwege 2010 naar andere valuta’s keken. Litecoin was eenvoudiger voor de CPU, maar was nooit een grote moneymaker. Monero is de munt van de dag voor criminelen. Mede omdat het makkelijker te minen is, deels omdat het minder traceerbaar is. Dit maakt het meer geschikt voor het witwassen van geld.

Coin mining

Er is een andere manier om bitcoins te verdienen: middels mining. Mining is het proces van investeren van vermogen in het netwerk waarvoor vervolgens willekeurige beloningen worden verstrekt. Criminelen proberen zich al geruime tijd tegen dit proces aan te bemoeien, maar ontdekten al snel dat bitcoin te moeilijk is om te minen. Zodoende hebben ze naar andere elektronische valuta’s gezocht. In voorgaande jaren hebben ze af en toe Litecoin weten te minen. De munt van vandaag is Monero. Monero is minder traceerbaar dan andere valuta’s en dient dus beter voor het witwassen van geld. Onze Cyber ​​Defense Centers identificeerde grofweg drie soorten coin mining, in toenemende mate van schade:

Browser mining: Bezoek een website en een JavaScript begint het minen van crypto. Afgezien van een trage webbrowser, zal uw systeem niet worden geschaad. De kracht van de aanval ligt in het volume.

Insider mining: De systeembeheerder die een netwerk van enkele honderden pc’s in een kantoor beheert, kan miners op deze apparaten inzetten. Middels een voorwaarde dat deze alleen ’s nachts ingeschakeld staan, zal het belangrijke werk dat u overdag doet niet worden verstoord.

Mining botnets: criminelen hergebruiken hun botnets om de CPU-power te benutten en de resultaten naar een mining pool te sturen.

Onze Cyber ​​Defence Centers hebben een aanzienlijke toename waargenomen in zowel ransomware als coin mining. De verschillende typen mining waarnaar hierboven wordt verwezen, nemen allemaal toe. Hoewel, de malware variant is natuurlijk het meest bewust crimineel gedrag. Mining werd in de eerste helft van 2018 moeilijker. In juni 2018 stopte plotseling de activiteit rondom mining, waardoor ransomware in juli 2018 het meest voorkomende aanvalstype werd. Vanaf juli 2018 hebben we ransomware weer zien toenemen, wat correleert met de release van een nieuwe versie van Gandcrab.

Stats uit het CDC

Ransomware versus cryptocurrency miner aanvallen in 2018

Verklaring van de trendlines

Het is logisch dat coin mining populairder werd. Mining was een andere, en veel eenvoudigere manier om elektronische valuta te stelen dan ransomware. Wanneer we naar mining kijken vanuit een ROI-perspectief, dan is ransomware nooit de moneymaker geweest waar de criminelen op hadden gehoopt. Een aantal tekortkomingen in het proces vormen de kern van het falen hiervan:

  • Veel slachtoffers betalen niet en accepteren de schade van verloren gegevens.
  • Veel kunnen herstellen of de back-up terugzetten en zullen daarom niet betalen.
  • Aanvankelijk was er geen goed businessmodel. Voor elk geïnfecteerd apparaat zou hetzelfde bedrag moeten worden betaald, maar dit werkt niet in organisaties; computers (de kwetsbare machines) werden simpelweg opnieuw geïnstalleerd.
  • Interactie (of het automatiseren van interactie) met een slachtoffer is vereist en criminelen kunnen alleen de sleutels retourneren als ze een unieke identificatie van het slachtoffer krijgen en deze koppelen aan de juiste sleutel. Dit kost veel moeite.
  • Veel slachtoffers willen misschien betalen, maar vinden het moeilijk om elektronische valuta te kopen en over te dragen, met name kwetsbare targets zoals ouderen. Terwijl velen wilden betalen, waren ze hier niet toe in staat.

Om deze redenen betaalde slechts één op de honderd slachtoffers bij vroegere ransomware aanvallen. Dit leidde tot het volgende probleem: de resterende slachtoffers moesten omgaan met dataverlies of herstelkosten. Dit resulteerde in veel bijkomende schade voor een zeer bescheiden opbrengst, waardoor aanvallen riskanter werden naarmate wetshandhavingsautoriteiten en onderzoekers actief aanvallers begonnen op te sporen.

thumb-website-page-newsletter

Meer interessante content ontvangen?

Meld je dan aan voor onze maandelijkse nieuwsbrief! Altijd op de hoogte over de laatste ontwikkelingen, trends en evenementen binnen cyber security.

Aanmelden nieuwsbrief

Coin mining daarentegen vereist geen interactie met slachtoffers of betaling. De valuta’s worden aan de pool toegevoegd via een geautomatiseerd proces, waar criminelen ze ophalen. Ook het proces is veel gemakkelijker voor criminelen. Het is niet destructief, wat betekent dat slachtoffers het zien als een lager risico. Dat geldt ook voor wetshandhavingsautoriteiten, onderzoekers en raden van bestuur.

Dus waarom dan de plotselinge daling van coin mining en toename van ransomware in juni 2018? Het antwoord is een kwestie van interpretatie. Er zijn mogelijk dingen buiten ons zicht gebeurd, maar als we dit negeren, kunnen er de volgende redenen zijn:

  • Elektronische valuta is gedevalueerd. In december 2017 kostte een bitcoin $20.000, terwijl deze in juni 2018 rond de $8.000 lag en in oktober 2018 verder daalde tot net boven de $6.000. Door een daling in waarde en hype, daalt de ROI van cryptocurrency mining eveneens. Dit kan criminelen ontmoedigen om te minen.
  • Browser mining is relatief eenvoudig te blokkeren. Na een inleidende periode hebben organisaties preventietechnieken doorgevoerd. Hoewel het aantal pogingen veel groter kan zijn, is het aantal succesvolle pogingen lager, wat resulteert in minder browser mining.
  • Ransomware was in 2018 een hot topic in het nieuws, wat een motivatie kon zijn om het te gebruiken.

Conclusie

Elektronische valuta, en zeker Monero, is een fantastisch hulpmiddel voor criminelen. Het is natuurlijk voor criminelen om hier achteraan te gaan (rookie of veteraan) en ze zijn voortdurend op zoek naar de gemakkelijkste manier om dit te doen. Massale ransomware aanvallen automatiseren het grootste gedeelte van de stappen, maar het proces blijft omslachtig en foutgevoelig. Wij zien toekomst in ransomware aanvallen op maat: het indringen van bedrijfsnetwerken, de back-up vernietigen en vervolgens data gijzelen voor een hoge afkoopsom.

Is coin mining het wondermiddel voor criminelen die Monero willen stelen? Het proces is geautomatiseerd en eenvoudig, de tools zijn geautomatiseerd en eenvoudig, er is geen interactie vereist en elke infectie levert resultaten op. Echter, de mogelijkheden blijven beperkt. Om echt geld te verdienen, hebben criminelen enorme volumes nodig. Honderdduizenden infecties. Dat verhoogt de inzet, maar ook het risico.

bitcoins

Coin mining is misschien interessant voor rookie-criminelen, maar voor de high-rollers blijven de eerder besproken ransomware aanvallen en andere afpersingsprogramma’s van veel groter belang. De toename van deze op maat ontwikkelde ransomware aanvallen die de back-up vernietigen is een zorgwekkende ontwikkeling.

Met het toenemen van dit nieuwe aanvalstype, zien we dat traditionele ransomware en crypto mining hinderlijk blijven en een aantrekkelijk aanvalstype voor criminelen om mee in te stappen.

Ook interessant voor u…

Security Maturity Report

Download het Security Maturity Report 2019

thumb-website-page-newsletter

Meld je aan voor de maandelijkse nieuwsbrief

Lees meer blogs over ransomware