Blog

Dubbele last: Ransomware met afpersing van datalekken, deel 1

De meest prominente eCrime-trend die tot nu toe in 2020 is waargenomen, is big game hunting (BGH). Partijen die gegevens van slachtoffers stelen en lekken om losgeld te kunnen afdwingen en in sommige gevallen twee keer losgeld opeisen. Afpersing van gegevens is geen nieuwe tactiek voor criminele tegenstanders; wanneer BGH-operaties echter niet tot betaling leiden, worden de slachtoffers nu geconfronteerd met een dubbele dreiging om ervoor te zorgen dat hun gegevens niet in handen van anderen komen. 

Dit eerste deel van een tweedelige blogserie onderzoekt de oorsprong van ransomware, BGH en afpersing, en introduceert enkele van de criminele tegenstanders die momenteel dit ecosysteem van datalekken en afpersing domineren.

Een korte geschiedenis van Ransomware en Big Game Hunting

De oorsprong van ransomware is deels terug te voeren op de ontwikkeling van nep-antivirussoftware door cybercriminele organisaties rond 2008. Deze applicaties toonden valse waarschuwingen aan slachtoffers en eisten betaling om malware-infecties "op te ruimen". Deze criminele ondernemingen werden gedreven door aangesloten eenheden (in Russisch sprekende criminele fora bekend als partnerka) die een commissie verdiende voor elke infectie en elke nep-antivirus aankoop. In die tijd waren deze criminele organisaties in staat om gebruik te maken van risicovolle handelsaccounts om creditcards te accepteren, waardoor het voor het gemiddelde slachtoffer gemakkelijk was om voor hun nep software te betalen. Uiteindelijk waren creditcard bedrijven in staat om dit soort frauduleuze transacties te identificeren en te voorkomen, waardoor de eCriminelen in feite buitenspel kwamen te staan.

Toen valse antivirussoftware verdween, ontstond er een nieuwe dreiging die de voorloper werd van moderne ransomware. Deze dreiging staat bekend als een schermvergrendeling en zou doorgaans een bericht weergeven dat zich voordoet als internationale wetshandhavingsinstanties zoals de FBI, Interpol en de Britse Metropolitan Police Service. Het bericht zorgde ervoor dat een slachtoffer geen toegang meer had tot zijn desktop, en eiste betaling als "boete" voor de "criminele" activiteit van het slachtoffer, zoals het bekijken van illegale pornografie, het verspreiden van auteursrechtelijk beschermd materiaal, enz. Betalingen werden voornamelijk gedaan via Ukash, Paysafe en MoneyPak. Er waren ook schermvergrendelingen die beweerden de bestanden van een slachtoffer te versleutelen; de overgrote meerderheid voerde echter geen enkele codering uit. De criminelen achter deze activiteit gebruikten hetzelfde partner gestuurde model als de nep-antivirus groepen om winsten te delen.

De schermvergrendelingen zijn, na de introductie van een ransomware-familie die bekend staat als CryptoLocker, in 2013 vrijwel geheel verdwenen. CryptoLocker ransomware was revolutionair in zowel het aantal systemen dat het beïnvloedde als het gebruik van sterke cryptografische algoritmen. De ransomware is ontwikkeld door de zogenaamde BusinessClub die gebruik maakte van het enorme Gameover Zeus botnet met meer dan een miljoen infecties. De groep maakte vooral gebruik van hun botnet voor bankgerelateerde fraude. Ze realiseerden zich echter dat niet alle infecties gemakkelijk te gelde te maken waren, dus besloten ze hun eigen ransomware te ontwikkelen en deze uit te rollen naar een subset van de geïnfecteerde systemen van hun botnet. De vraag naar losgeld voor slachtoffers was relatief klein - een bedrag tussen $100 en $300 USD - en te betalen in verschillende digitale valuta's, waaronder cashU, Ukash, Paysafe, MoneyPak en Bitcoin (BTC). CryptoLocker werd extreem succesvol, en andere cybercriminelen namen er kennis van, wat leidde tot een explosie van ransomware-malware families die gebruik bleven maken van hetzelfde affiliate-gebaseerde winstdeling model.

De volgende grote trend in ransomware begon in 2016 met de introductie van de Samas ransomware door BOSS SPIDER. In tegenstelling tot eerdere ransomware families, ging Samas specifiek achter bedrijven aan in plaats van achter particulieren. Deze groep kreeg in eerste instantie toegang tot bedrijfsnetwerken met behulp van Remote Desktop Protocol (RDP) en verouderde JBoss instanties die werden blootgesteld aan het internet. Eenmaal binnen de organisatie gebruikte BOSS SPIDER tactieken die vergelijkbaar zijn met veel door de staat gesponsorde bedreigingsactoren om zich lateraal te verplaatsen, de domeincontroller van een organisatie in gevaar te brengen en vervolgens hun ransomware in te zetten. Niet alleen had Samas invloed op bedrijven, maar BOSS SPIDER realiseerde zich ook dat ze een significant groot bedrag aan losgeld konden eisen. CrowdStrike® Intelligence verwijst naar dit operationele model als big game hunting, dat snel werd overgenomen door INDRIK SPIDER. 

Interessant is dat INDRIK SPIDER zich al meer dan een half decennium voornamelijk richt op bankfraude. Na het succes van BOSS SPIDER met BGH-aanvallen besefte INDRIK SPIDER echter dat ransomware veel winstgevender was en veel minder complex om te verzilveren (zo was er bijvoorbeeld geen uitgebreid netwerk van geldezels nodig om geld wit te wassen). Deze partij verschoof in 2017 van bankfraude naar ransomware, waarbij BitPaymer ransomware werd ontwikkeld, en meer recentelijk WastedLocker. Sinds de vroege BGH-operaties van BOSS SPIDER en INDRIK SPIDER heeft de trend het eCrime-ecosysteem getransformeerd. Nieuwe tegenstanders hebben de BGH-technieken overgenomen, en de betrokkenen hebben tools ontwikkeld om tegemoet te komen aan deze snelgroeiende markt.

Een nieuwe trend: cyberafpersing

Cyberafpersing heeft ook een lange geschiedenis, met inbegrip van e-mail afpersing, gedistribueerde denial-of-service (DDoS) afpersing en data-afpersing. Afpersing via e-mail is waarschijnlijk de meest productieve en langst bestaande vorm van cyberafpersing, gezien de lage toetredingsdrempel. Om campagnes te kunnen voeren, hoeven criminele partijen alleen maar lekkende wachtwoorden te verwerven, die gemakkelijk te vinden zijn op Pastebin, of andere meer oppervlakkige slachtofferinformatie, zoals een telefoonnummer, om te helpen legitiem te lijken in die zin dat ze op de een of andere manier schadelijke informatie met betrekking tot het slachtoffer hebben verkregen. Deze partijen sturen doorgaans een e-mail naar het slachtoffer met een stuk legitieme persoonlijke informatie, beweren dat het slachtoffer besmet was met malware en verkrijgen zo meer schadelijke informatie. De acteur eist dan losgeld om te voorkomen dat de informatie naar de vrienden, familie of collega's van het slachtoffer wordt gestuurd.

Een iets verfijndere versie van deze techniek kwam met de opkomst van DDoS-afpersing. Al in april 2014 stuurde PIZZO SPIDER (ook bekend als DD4BC, wat een acroniem is voor "DDoS voor Bitcoin") e-mails met de bewering dat ze een bedrijf zouden DDoSen en hun diensten zouden afnemen als het bedrijf het gevraagde losgeld niet zou betalen, zoals te zien is in Figuur 1. Later maakten MIMIC SPIDER en andere criminele partijen die Internet of Things (IoT) botnets exploiteren, zoals Mirai, gebruik van deze techniek. Sommige van deze partijen voerden DDoS-aanvallen uit vóór de dreiging om te bewijzen dat ze konden doorzetten, terwijl andere partijen gewoonweg bluften, waardoor de dreiging werd verstuurd terwijl ze niet in staat waren om door te gaan met de aanval.

Figuur 1. PIZZO SPIDER dreigt met DDoS een goksite tenzij er losgeld wordt betaald

Een van de meer bekend gemaakte spelers die op deze trend wil inspelen en deze naar het volgende niveau wil tillen is OVERLORD SPIDER, ook wel The Dark Overlord genoemd. Net als de huidige ransomware-exploitanten heeft OVERLORD SPIDER waarschijnlijk RDP-toegang gekocht tot gecompromitteerde servers op ondergrondse fora om gegevens van bedrijfsnetwerken te exfiltreren. Het was bekend dat de partij de gegevens probeerde terug te "verkopen" aan de respectievelijke slachtoffers, waarbij hij dreigde de gegevens te verkopen aan geïnteresseerde partijen als het slachtoffer zou weigeren te betalen. Er was ten minste één geïdentificeerd geval van OVERLORD SPIDER die met succes gegevens van het slachtoffer op een illegale markt verkocht.

Alles bij elkaar: cyberafpersing met ransomware

Op 7 mei 2019 bevestigde burgemeester Bernard "Jack" Young dat het netwerk voor de Amerikaanse stad Baltimore (CoB) was geïnfecteerd met ransomware, die werd aangekondigd via Twitter1. Deze infectie werd later bevestigd te worden uitgevoerd door OUTLAW SPIDER, dat is de partij achter de RobbinHood ransomware. De partij eiste 3 BTC (ongeveer $17.600 USD op dat moment) per geïnfecteerd systeem, of 13 BTC (ongeveer $76.500 USD op dat moment) voor alle geïnfecteerde systemen om de bestanden van de stad te herstellen.

Op 9 mei 2019 zag CrowdStrike Intelligence dat OUTLAW SPIDER een afbeelding plaatste op de verborgen Tor-service die door de spelers wordt gehost om communicatie tot stand te brengen met hun slachtoffers (bekend als een betalingsportaal). Deze afbeelding bevatte gevoelige informatie die naar verluidt afkomstig was van het CoB-netwerk en werd gepost samen met een bericht waarin stond: "De stad zei ook dat er geen persoonlijke gegevens zijn gecompromitteerd, echt waar?!." Deze opmerking was waarschijnlijk een reactie op publieke verklaringen van de stad dat er geen persoonlijke informatie was gecompromitteerd tijdens het incident. Young verklaarde later dat niet alleen de stad het losgeld niet ging betalen, maar dat "we [de partijen] gaan krijgen en hen zo goed mogelijk gaan straffen". Dit werd gevolgd door verdere mededelingen van OUTLAW SPIDER, via een gevestigd Twitter-account en het betaalportaal, waarin stond dat ze alle verzamelde stadsinformatie zouden verwijderen als het losgeld binnen een bepaalde termijn zou worden betaald, zoals te zien is in figuur 2.

Figuur 2. OUTLAW SPIDER's City of Baltimore betalingsportaalcommunicatie

Hoewel ineffectief, was het incident met de CoB en OUTLAW SPIDER het eerste geval dat werd waargenomen door CrowdStrike Intelligence van data afpersing om losgeld te stimuleren.

Ransomware-partijen die gegevens over slachtoffers lekken

Na het CoB-incident met de OUTLAW SPIDER is het enkele maanden geleden dat TWISTED SPIDER deze techniek opnieuw introduceerde in november 2019. De activiteit van TWISTED SPIDER eind 2019 bewees de aanjager te zijn voor tal van eCrime spelers die het gebruik van speciale lek sites (DLS's) gebruiken om te dreigen met de verspreiding van bedrijfsgegevens in verschillende vormen. TWISTED SPIDER blijft de meest productieve speler die deze techniek gebruikt, en een groot aantal spelers heeft deze techniek in de eerste helft van 2020 overgenomen, zoals te zien is in figuur 3. In dit hoofdstuk wordt een overzicht gegeven van elk van deze spelers en hoe zij de slachtoffers stimuleren en onder druk zetten om losgeld te betalen.

Figuur 3. Aantal entiteiten dat van november 2019 tot en met juli 2020 door criminele tegenstanders aan specifieke lek locaties is gepubliceerd

TWISTED SPIDER

TWISTED SPIDER werkt sinds ten minste mei 2019 met Maze ransomware; de spelers zijn echter pas in november 2019 begonnen met het lekken van slachtoffergegevens. Ze maakten eerst reclame voor het lekken van hun gegevens op een Russisch ondergronds forum, beweerden dat ze 10% van de gegevens van het slachtoffer hadden onderschept en dreigden de resterende gegevens in een later bericht te lekken. In deze berichten riep de criminele partij populaire beveiligingsbedrijven op en waarschuwde een ander slachtoffer om het losgeld snel te betalen. Op 10 december 2019, creëerden ze een DLS, maar bleven berichten plaatsen op Russische ondergrondse fora.

Op 2 januari 2020 heeft een slachtoffer een rechtszaak aangespannen tegen TWISTED SPIDER en het bedrijf dat de DLS met de gestolen bestanden host. Hierdoor werd de site tijdelijk afgebroken, maar TWISTED SPIDER creëerde op 9 januari 2020 slechts een nieuwe DLS. Ondanks de juridische stappen bleef de partij actief, door hun ransomware te blijven inzetten op slachtoffer netwerken en gegevens te plaatsen op ondergrondse fora of op het nieuwe DLS. Momenteel is de criminele actor gastheer van de DLS tegelijkertijd op het web en op een Tor verborgen dienst. TWISTED SPIDER's gedurfde commentaar blijft aanhouden als ze de spot drijven met beveiligingsbedrijven en onderzoekers in berichten op hun DLS, en roepen de slachtoffers voor en na het vrijgeven van de gegevens op om tot betaling over te gaan.

Wanneer TWISTED SPIDER gegevens van het slachtoffer lekt, publiceert de partij de identificerende informatie, waaronder het hoofdkantoor, telefoonnummer, faxnummer en de website van het slachtoffer, zoals weergegeven in figuur 4. Als de post bedoeld is om als waarschuwing te dienen, zullen de spelers alleen een voorbeeld van gegevens uploaden als bewijs. Naast het lekken van gegevens op hun DLS, gebruikt TWISTED SPIDER de site ook als platform voor hun persberichten. Deze berichten bevatten voorwaarden voor hun operaties, het benoemen en beschamen van slachtoffers en verklaringen over de vermeende motivaties en doelen van de groep.

Figuur 4. Screenshot van Maze DLS

Hoewel TWISTED SPIDER misschien niet de eerste partij is die zich bezighoudt met het afpersen van gegevens, zijn ze wel succesvol geweest in het uitvoeren hiervan. De partij is gegevens blijven lekken met een verhoogde frequentie en consistentie. De tijdlijn in figuur 5 geeft een overzicht van het lekken van gegevens van meer dan 230 slachtoffers van 11 november 2019 tot mei 2020. De lichtere kleur geeft slechts één slachtoffer aan dat op de site is gericht of gepubliceerd, terwijl het donkerste rood aangeeft dat er meer dan zes slachtoffers zijn getroffen. TWISTED SPIDER heeft meerdere gevallen gehad waarin ze meer dan 10 slachtoffers in één dag hebben gepubliceerd. Bovendien lijkt de groep de meeste dagen van de week te werken, waarbij de zondag de minst productieve dag is en de maandag en vrijdag de meest actieve.

Figuur 5. Tijdlijn van slachtoffers gepubliceerd op de nieuwssite van TWISTED SPIDER per publicatiedatum, of actor-opgeëiste sluitingsdatum wanneer deze beschikbaar is, tot juli 2020

PINCHY SPIDER

Op 9 december 2019 (ongeveer twee en een halve week na het eerste lek van TWISTED SPIDER) heeft een leverancier van PINCHY SPIDER's REvil ransomware as a service (RaaS) een dreiging van het lekken van slachtoffergegevens gepost op een ondergronds forum. Dit is de eerste keer dat CrowdStrike Intelligence observeerde dat de groep of hun gelieerde ondernemingen een dergelijke bedreiging vormden, en ze leken gefrustreerd te zijn omdat ze geen geld konden verdienen aan compromissen bij een in de VS gevestigde managed service provider (MSP) en een in China gevestigde vermogensbeheerder. Sinds die tijd hebben aangesloten eenheden van PINCHY SPIDER gegevens over meer dan 80 slachtoffers gepost. 

PINCHY SPIDER begon met het lekken van slachtoffergegevens op ondergrondse fora alvorens een DLS te lanceren op 26 februari 2020, gehost met behulp van een Tor verborgen dienst. Net als bij de eerste lekken van de TWISTED SPIDER waarschuwt de PINCHY SPIDER de slachtoffers voor het geplande datalek, meestal via een blogpost op hun DLS met voorbeeldgegevens als bewijs (zie figuur 6), voordat ze het grootste deel van de gegevens na een bepaalde tijd vrijgeven. REvil geeft ook een link naar de blogpost binnen de losgeldbrief die wordt gedistribueerd naar systemen die gecodeerd zijn door REvil ransomware. De link bevat een GET parameter, die, indien voorzien van een bepaalde link, het lek zal weergeven aan het getroffen slachtoffer voordat het wordt blootgesteld aan het publiek. Bij het bezoeken van de link zal een aftelklok beginnen, die ervoor zorgt dat het lek wordt gepubliceerd zodra de opgegeven hoeveelheid tijd is verstreken.

Figuur 6. Screenshot van REvil's DLS 

Een tijdlijn voor slachtoffers die getroffen zijn door het uitlekken van gegevens door PINCHY SPIDER is weergegeven in Figuur 7. Eén gepubliceerd slachtoffer wordt weergegeven als de lichtste kleur; de donkerste kleur geeft aan dat er op één dag zes slachtoffers op de site zijn gepubliceerd. Terwijl de PINCHY SPIDER-eenheden de tijd namen om te beginnen met het gebruik van de tactiek, werd de publicatie van de slachtoffergegevens consistenter tegen de tijd van april 2020. Bovendien lijken aangesloten eenheden van PINCHY SPIDER, in tegenstelling tot TWISTED SPIDER, in het weekend vrij te nemen; de slachtoffergegevens worden doorgaans gepubliceerd tijdens de werkdagen van maandag tot en met vrijdag.

Figuur 7. Tijdlijn van slachtoffers die getroffen zijn door datalekken uitgevoerd door aangesloten eenheden van PINCHY SPIDER van januari tot en met juli 2020

DOPPEL SPIDER

DOPPEL SPIDER, operator en ontwikkelaar van de ransomware DoppelPaymer, was de volgende partij van het lekken van slachtoffergegevens.

Sinds de invoering van hun DLS (zie figuur 8) op 21 februari 2020 heeft de partij gegevens van meer dan 40 slachtoffers gepubliceerd. Echter, terwijl de TWISTED SPIDER en de PINCHY SPIDER meestal in maximaal drie delen lekken, lekt de DOPPEL SPIDER gegevens over meerdere dagen, en soms weken. Bovendien geeft de DOPPEL SPIDER pas informatie over het slachtoffer nadat het slachtoffer weigert te betalen en de betalingstermijn is verstreken. De partij laat het slachtoffer waarschijnlijk zien dat de gegevens legitiem zijn en stimuleert hem of haar om het losgeld te betalen voordat al zijn of haar gegevens worden gelekt. 

Figuur 8. Screenshot van de hoofdpagina van DoppelPaymer DLS

Zoals te zien is in figuur 9, is de DOPPEL SPIDER niet zo zichtbaar productief als de TWISTED SPIDER of PINCHY SPIDER en lekt er sporadisch data uit, af en toe een tot twee weken zonder dat er slachtoffers worden gepubliceerd. De onderstaande tijdlijn toont een enkel slachtoffer dat op de site is gepubliceerd als de lichtste kleur met maximaal drie slachtoffers, de donkerste kleur, die op een bepaalde dag is gepubliceerd.

Figuur 9. Tijdslijn van het uitlekken van gegevens uitgevoerd door DOPPEL SPIDER, februari tot en met juli 2020

VIKING SPIDER

VIKING SPIDER is de criminele groepering achter de ontwikkeling en distributie van Ragnar Locker ransomware. Terwijl de openbare verslaggeving aangeeft dat de groep in februari 2020 begon te dreigen met het lekken van slachtoffergegevens, werd er pas in april 2020 een DLS waargenomen. De DLS wordt gehost op Tor, en net als bij andere partijen wordt het bewijs van het bezit van de gestolen gegevens geleverd voordat de gestolen gegevens volledig zijn uitgelekt. Sindsdien zijn ten minste 12 slachtoffers geobserveerd op hun DLS, die in figuur 10 is weergegeven.

Figuur 10. Screenshot van Ragnar Locker DLS

LockBit

In ontwikkeling sinds ten minste september 2019 is LockBit beschikbaar als RaaS, geadverteerd aan Russischtalige gebruikers of Engelstaligen met een Russisch sprekende garant. In mei 2020 plaatste een aangesloten exploitant van LockBit een bedreiging voor het lekken van gegevens op een populair Russischtalig crimineel forum, zoals te zien is in figuur 11. 

Figuur 11. Voorbeeld van de inhoud van een forumpost die een bedreiging vormt voor het lekken van gegevens door een partner die LockBit bedient

Naast de dreiging levert de affiliate bewijs, zoals een afbeelding van de mappenstructuur en ten minste één screenshot van een voorbeelddocument dat zich in de slachtoffergegevens bevindt. Zodra de deadline is verstreken, is het bekend dat de affiliate een mega[.]nz-link plaatst om de gestolen slachtoffergegevens te downloaden. Deze affiliate heeft gedreigd de gegevens van ten minste negen slachtoffers te publiceren. Op dit moment is er geen DLS in gebruik voor LockBit ransomware.

MedusaLocker

MedusaLocker is een ransomware-familie die begin oktober 2019 voor het eerst werd gezien. In januari 2020 werd een splitsing van MedusaLocker met de naam Ako waargenomen, die is geüpdatet om het gebruik van een Tor verborgen dienst te ondersteunen om een RaaS-model te vergemakkelijken. Operators van de Ako-versie van de malware hebben sindsdien een DLS geïmplementeerd (afbeelding 12). Er zijn sinds het begin minstens negen slachtoffers op de site gepubliceerd.

Figuur 12. Screenshot van de MedusaLocker formatie Ako DLS

Afpersing van gegevens is geen nieuwe trend, maar het lijkt in populariteit te groeien om ransomware operaties te voeden. OVERLORD SPIDER is een van de mogelijk vele eCrimine-spelers die gegevens diefstal en afpersing als belangrijkste drijfveer voor hun activiteiten gebruiken - het is in feite de enige methode die door deze partij wordt gebruikt. De operaties van OVERLORD SPIDER zijn goed bekend gemaakt en kunnen andere partijen hebben beïnvloed over de potentiële effectiviteit van deze tactiek bij het uitlokken van betalingen.

Tot op heden hebben de meeste ransomware-operators die betrokken zijn bij BGH-operaties de tactiek van gegevensdiefstal en -lekkage overgenomen of ermee gedreigd, met uitzondering van INDRIK SPIDER en WIZARD SPIDER. Het is ook waarschijnlijk dat minder geavanceerde ransomware-exploitanten zullen dreigen met het uitlekken van gegevens, zelfs als ze niet de mogelijkheid hebben om gegevens te stelen, om te profiteren van de huidige trend van afpersing van gegevens door middel van bluffen. 

Naarmate organisaties hun mogelijkheden om terug te keren van ransomware-aanvallen verbeteren en beveiligingsonderzoekers decoders voor ransomware blijven maken, is er minder stimulans voor slachtoffers om het losgeld te betalen om bestanden terug te vorderen. Criminele partijen hebben echter een manier gevonden om deze defensieve maatregelen te dwarsbomen. Door gegevens van slachtoffer netwerken te ontfutselen en te lekken als bedrijven weigeren zich daaraan te houden, kunnen criminele partijen de financiële opbrengst van hun criminele activiteiten mogelijk nieuw leven inblazen.

Lees deel 2 van Dubbele last: Ransomware met afpersing van datalekken

Lees deel 2

Deze blog is geschreven door CrowdStrike Intelligence-analisten Molly Lane, Josh Reynolds, Brett Stone-Gross en Bex Hartley.

CrowdStrike Intel Team - 24 november 2020

Pagina delen:

Deze website maakt gebruik van cookies. Door verder te gaan op de site ga je akkoord met ons gebruik van cookies. Lees meer