Blog

Dubbele last: Ransomware met afpersing van datalekken, deel 2

Aangezien de afpersing van datalekken sinds eind 2019 snel de nieuwe norm werd voor big game hunting (BGH), begonnen verschillende criminele tegenstanders op dit gebied te innoveren. Hieronder valt samenwerking tussen ransomware groepen, het veilen van gelekte gegevens en het eisen van niet alleen eenmalig losgeld voor de ransomware decryptor, maar meerdere keren vragen van losgeld om er zeker van te zijn dat gestolen gegevens worden verwijderd.

Het eerste deel van deze tweedelige blogserie onderzocht de oorsprong van ransomware, BGH en afpersing en introduceerde enkele van de criminele tegenstanders die momenteel het ecosysteem van de afpersing van datalekken domineren. Deze blog onderzoekt exploitanten van Ako (een onderdeel van MedusaLocker) die twee keer losgeld eisen van slachtoffers, PINCHY SPIDER's veiling van gestolen data en TWISTED SPIDER's creatie van het zelfgekozen "Maze Cartel".

Twee keer prijs: Ako-operators eisen afzonderlijk losgeld

In mei 2020 heeft CrowdStrike® Intelligence een update van het Ako ransomware portal waargenomen. Net als veel andere ransomware-exploitanten voegden de partijen bij de dreiging een link toe naar hun speciale lek site (DLS), zoals te zien is in figuur 1. Wat deze DLS interessant maakt, is een indicatie dat de partijen in de bedreiging waarschijnlijk twee keer losgeld eisen: een keer voor het slachtoffer om de decoderingssleutel te verkrijgen en een keer om de gegevens uit de DLS te verwijderen.


Figuur 1: Geüpdatet Ako losgeld portaal

Een van de berichten over bedreigingen (waarbij een Amerikaans ingenieursbureau betrokken is) bevatte de volgende opmerking:

Ik heb alleen betaling voor het ontcijferen ontvangen - 350.000$
De betaling voor het verwijderen van gestolen bestanden is niet ontvangen.

Hoewel het blijkt dat het slachtoffer de dader heeft betaald voor de ontcijferingssleutel, werden de geëxtrapoleerde gegevens nog steeds gepubliceerd op de DLS. Deze opname van een losgeldvordering voor de geëxtrapoleerde gegevens is nog niet in alle losgeldfamilies gebruikelijk.

Eenmaal, andermaal - verkocht! 

Op 2 juni 2020, zag CrowdStrike Intelligence PINCHY SPIDER een nieuwe veilingfunctie in hun REvil DLS. Deze functie stelt gebruikers in staat om te bieden op lekgegevens of de gegevens onmiddellijk te kopen voor een gespecificeerde "Blitzprijs". Betalingen worden alleen geaccepteerd in Monero (XMR) cryptocurrency. Deze veilingen zijn opgenomen in een specifieke sectie van de DLS, die een lijst van beschikbare en eerder verlopen veilingen bevat. Elke veilingtitel komt overeen met het bedrijf waarvan de gegevens zijn geëxtrapoleerd en bevat een aftelklok die de resterende tijd aangeeft voordat de veiling afloopt (figuur 2). Zodra de veiling afloopt, biedt PINCHY SPIDER meestal een link naar de gegevens van het bedrijf, die kunnen worden gedownload van een openbare website voor bestandsdistributie. 

Om een bod te plaatsen of de verstrekte Blitzprijs te betalen, is de bieder verplicht zich te registreren voor een bepaalde lekveiling. Wanneer op een titel van een lekveiling wordt geklikt, brengt dit de bieder naar een gedetailleerde pagina met knoppen voor "Login" en "Registratie", zoals weergegeven in figuur 2.


Figuur 2: Gedetailleerde lekveiling pagina

De "Login" knop kan gebruikt worden om in te loggen als een eerder geregistreerde gebruiker, en de "Registratie" knop geeft een gegenereerde gebruikersnaam en wachtwoord voor de veilingsessie. Zodra de bieder voor een bepaalde veiling is geauthenticeerd, toont de resulterende pagina de bedragen van de veilinginleg, de startprijs van de veiling, de eindprijs van de veiling, een XMR-adres om transacties naartoe te sturen, een lijst met transacties naar dat adres en de tijd die nog rest tot de veiling afloopt, zoals weergegeven in figuur 3.


Figuur 3: Geregistreerde gebruiker lekveiling pagina

Er moet een minimale aanbetaling worden gedaan aan het opgegeven XMR-adres om een bod uit te brengen. Als de bieder wordt overboden, dan wordt de aanbetaling aan de oorspronkelijke bieder teruggegeven. Als de bieder de veiling wint en niet het volledige bedrag van het bod levert, wordt de aanbetaling niet teruggegeven aan de winnende bieder. Dit beschermt PINCHY SPIDER tegen frauduleuze biedingen en geeft legitieme bieders het vertrouwen dat ze hun geld terugkrijgen als ze een bod verliezen. In theorie zou de PINCHY SPIDER kunnen afzien van het retourneren van biedingen, maar dit zou het vertrouwen van de bieders in de toekomst breken, waardoor deze weg als inkomstenstroom wordt belemmerd. 

Op het moment van schrijven had CrowdStrike Intelligence geen van de door PINCHY SPIDER geïnitieerde veilingen gezien die tot betalingen hebben geleid. Als gebruikers niet bereid zijn om te bieden op gelekte informatie, zal dit bedrijfsmodel niet volstaan als inkomstenstroom. Bovendien kan de bereidheid van PINCHY SPIDER om de informatie na afloop van de veiling vrij te geven, waardoor de gegevens in feite gratis worden verstrekt, een negatief effect hebben op het bedrijfsmodel als degenen die de informatie zoeken, bereid zijn om de informatie openbaar te maken voordat ze wordt geopend. 

Ga het labyrint in: Maze Cartel moedigt criminele samenwerking aan

In juni 2020 introduceerde TWISTED SPIDER, de bedreigingsactor die Maze ransomware exploiteert, een nieuwe draai aan hun ransomware operaties door de aankondiging van de oprichting van het "Maze Cartel" - een samenwerking tussen bepaalde ransomware operatoren die ertoe leidt dat de geëxtrapoleerde informatie van slachtoffers wordt gehost op meerdere DLS's, zoals te zien is in figuur 4.


Figuur 4: Screenshot van TWISTED SPIRDER's DLS met betrokkenheid van het Maze Cartel

Tot op heden is bevestigd dat het Maze Cartel bestaat uit TWISTED SPIDER, VIKING SPIDER (de exploitanten van Ragnar Locker) en de exploitanten van LockBit. De door CrowdStrike Intelligence waargenomen gegevensuitwisseling wordt in tabel 1 weergegeven.


Tabel 1: Maze Cartel datadelingsactiviteit tot nu toe

In augustus 2020 beweerden de beheerders van SunCrypt ransomware dat ze een nieuwe toevoeging aan het Maze Cartel waren - de claim werd door TWISTED SPIDER weerlegd. Duplicatie van de gegevens van een in Noorwegen gevestigd slachtoffer op zowel de TWISTED SPIDER DLS als SunCrypt DLS droeg bij aan de theorieën die de tegenstanders samenwerkten, hoewel de gegevens ook beschikbaar waren op criminele fora op het moment dat ze op SunCrypt's DLS verschenen.

Ook in augustus 2020 werden de details van twee slachtoffers gedupliceerd op zowel TWISTED SPIDER's DLS als WIZARD SPIDER's Conti DLS, wat resulteerde in theorieën dat WIZARD SPIDER een nieuwe toevoeging is aan het Maze Cartel. TWISTED SPIDER verwees echter niet naar de opname van WIZARD SPIDER, en de duplicatie is mogelijk het gevolg van het feit dat de slachtoffers geconfronteerd worden met twee inbraken door afzonderlijke spelers in het losgeldwezen, of dat gegevens door WIZARD SPIDER worden verkocht aan andere spelers in het bedreigingskartel. 

De precieze aard van de samenwerking tussen de leden van het Maze Cartel is niet bevestigd; het is onbekend of de betrokkenen actief deelnemen aan dezelfde operaties. Sommige van de betrokken partijen delen vergelijkbare tactieken, technieken en procedures (TTP's), waaronder een aanvankelijke afkeer van het richten van eerstelijnsgezondheidszorgvoorzieningen tijdens de COVID-19 pandemie. En er zijn aanwijzingen dat de tegenstanders succesvolle technieken die door andere leden van het kartel zijn gedemonstreerd, nabootsen. Het Maze Cartel creëert voordelen voor de betrokken tegenstanders en mogelijke valkuilen voor de slachtoffers. Minder gevestigde spelers kunnen gegevens hosten op een meer gevestigde DLS, waardoor het risico dat de gegevens door een publieke hostingprovider offline worden gehaald, wordt verkleind. De reputatie van TWISTED SPIDER als een vruchtbare leverancier van ransomware versterkt aantoonbaar de reputatie van de nieuwere aanbieders en kan het slachtoffer ertoe aanzetten om het losgeld te betalen. Een nog te zien maar realistische dreiging is dat slachtoffers wier gegevens op meerdere locaties worden gehost, te maken kunnen krijgen met onderhandelingen met meerdere aanbieders van ransomware, waardoor de prijs van het losgeld mogelijk wordt verhoogd om ervoor te zorgen dat de gegevens worden verwijderd en vernietigd.

Conclusie

Samenwerking tussen eCrime-operatoren is niet ongewoon - zo heeft WIZARD SPIDER een historisch rendabele regeling met de distributie van TrickBot door MUMMY SPIDER in Emotet-spamcampagnes. De schijnbare samenwerking tussen de leden van het Maze Cartel is echter ongebruikelijker en heeft het potentieel om de TTP's die in het ransomware-dreigingslandschap worden gebruikt, te veranderen. De samenwerking tussen de aanbieders kan ook extra druk uitoefenen op het slachtoffer om aan de losgeldvraag te voldoen, aangezien de gestolen gegevens meer publiciteit hebben gekregen en al minstens één keer zijn gedeeld. Tot nu toe lijkt de samenwerking zich te richten op het delen van gegevens, maar mocht de samenwerking escaleren tot gecombineerde of opeenvolgende ransomwareoperaties, dan kan de uitval en de impact op de slachtoffers aanzienlijk hoger uitvallen.

Het veilen van slachtoffergegevens maakt het mogelijk om geëxtrapoleerde gegevens te verkopen wanneer slachtoffers niet bereid zijn om losgeld te betalen, terwijl de oorspronkelijke slachtoffers worden gestimuleerd om het losgeld te betalen om te voorkomen dat de informatie openbaar wordt gemaakt. Dubbele losgelden kunnen de hoeveelheid geld die een ransomware-partij kan verzamelen verhogen, maar als de partijen het losgeld afzonderlijk eisen, zijn slachtoffers wellicht eerder bereid te betalen voor het verwijderen van gegevens als het ontvangen van de decryptoren geen probleem is. Naarmate de tegenstanders van eCrime proberen hun inspanningen verder te gelde te maken, zullen deze trends zich waarschijnlijk voortzetten, waarbij het veilen van gegevens plaatsvindt ongeacht of het oorspronkelijke losgeld al dan niet wordt betaald.

De samenwerking tussen de leden van het Maze Cartel en de veilingfunctie op PINCHY SPIDER's DLS kan in de toekomst worden gecombineerd. Het is mogelijk dat er een criminele marktplaats wordt gecreëerd voor exploitanten van ransomware om gegevens te verkopen of te veilen, technieken te delen en zelfs toegang te verkopen aan slachtoffers als zij niet de tijd of de mogelijkheid hebben om dergelijke operaties uit te voeren. CrowdStrike Intelligence heeft eerder actoren waargenomen die toegang tot organisaties verkopen op criminele ondergrondse fora. Deze advertenties lijken echter niet beperkt te zijn tot ransomware-operaties en zouden in plaats daarvan spionage en andere snode activiteiten mogelijk kunnen maken.

Deze evoluties in data lek afpersingstechnieken tonen de gedrevenheid van deze criminele spelers aan om te profiteren van hun capaciteiten en waar mogelijk het geld te verhogen. De algemene trend van exfiltratie, verkoop en het ronduit lekken van slachtoffergegevens zal zich waarschijnlijk voortzetten zolang organisaties bereid zijn losgeld te betalen. Deze tactiek stelt criminele spelers in staat om te profiteren van hun inspanningen, zelfs wanneer bedrijven procedures hebben om hun gegevens te herstellen en in staat zijn om de spelers uit hun omgeving te verwijderen.

Op dit moment is de beste bescherming tegen het uitlekken van gegevens in verband met losgeld de preventie. Security oplossingen zoals het CrowdStrike Falcon® endpoint protection platform zijn voorzien van vele preventieve functies om te beschermen tegen bedreigingen zoals die welke in deze blogserie worden beschreven. Met functies als machine learning, gedragspreventie en uitvoerbare quarantaine heeft het Falcon-platform bewezen zeer effectief te zijn in het stoppen van ransomware en andere gangbare technieken die door criminele organisaties worden gebruikt.

Deze blog is geschreven door de CrowdStrike Intelligence analysten Zoe Shewell, Josh Reynolds, Sean Wilson en Molly Lane.

CrowdStrike Intel Team - 21 december 2020

Pagina delen:

Deze website maakt gebruik van cookies. Door verder te gaan op de site ga je akkoord met ons gebruik van cookies. Lees meer