Ivanti: Ransomware-groepen zijn geavanceerder, brutaler en talrijker

Ransomware-groepen zijn steeds geavanceerder, brutaler en talrijker. Cijfers stijgen over de hele linie sinds het tweede kwartaal van 2021.

Dit blijkt uit het Q3 2021 Ransomware Index Spotlight Report. Het rapport is gebaseerd op onderzoek door Ivanti, in samenwerking met Cyber Security Works en Cyware. Het toont aan dat het aantal CVE’s dat in verband wordt gebracht met ransomware het afgelopen kwartaal is gestegen met 4,5 procent, ten opzichte van Q2 2021. Actief geëxploiteerde kwetsbaarheden stegen eveneens met 4,5 procent. Verder zijn er 3,4 procent meer ransomware-families gesignaleerd en was er een toename van 1,2 procent van oudere kwetsbaarheden die voor ransomware gebruikt worden.

Ransomware

Het rapport bracht het afgelopen kwartaal verder 12 nieuwe kwetsbaarheden aan het licht die verband houden met ransomware, wat het totale aantal op 278 brengt. Van deze 12 zijn er vijf in staat code op afstand uit te voeren en twee om webtoepassingen te misbruiken voor het uitvoeren van denial-of-service-aanvallen.

Het rapport onthult ook dat ransomware-groepen zero-day kwetsbaarheden blijven vinden en gebruiken. Zelfs nog voordat de CVE's zijn toegevoegd aan de National Vulnerability Database en er patches voor zijn uitgebracht. Zo ontdekte en gebruikte de REvil-groep bijvoorbeeld een kwetsbaarheid in de Kaseya VSA-software, terwijl het beveiligingsteam nog werkte aan een patch.

Zes nieuwe actieve kwetsbaarheden

Het rapport identificeerde ook zes nieuwe actieve en trending ransomware-kwetsbaarheden, wat het totaal op 140 brengt, en vijf nieuwe ransomware-families, wat het totaal op 151 brengt. Nieuwe ransomware-groepen maakten in Q3 snel misbruik van een aantal van de gevaarlijkste kwetsbaarheden, zoals PrintNightmare, PetitPotam en ProxyShell.

Uit het onderzoek blijkt bovendien dat ransomware-groepen nieuwere, meer geavanceerde technieken gebruiken in hun aanvallen, waaronder dropper-as-a-service en trojan-as-a-service. Met dropper-as-a-service kunnen beginnende cybercriminelen malware verspreiden via programma's die, wanneer ze worden uitgevoerd, andere schadelijke programma’s kunnen starten op de computer van een slachtoffer. Met trojan-as-a-service, ook wel malware-as-a-service genoemd, kan iedereen met een internetverbinding zijn eigen malware verkrijgen en implementeren in de cloud, zonder installatie.

Ten slotte onthulde het rapport dat drie kwetsbaarheden uit 2020 of eerder, in Q3 gebruikt zijn voor ransomware. Het totale aantal oudere ransomware-kwetsbaarheden komt hiermee op 258. Dit is maar liefst 92,4 procent van alle ransomware-kwetsbaarheden. Zo gebruikte de Cring ransomware-groep het afgelopen kwartaan twee oudere kwetsbaarheden, CVE-2009-3960 en CVE-2010-2861, waarvoor al meer dan een decennium patches beschikbaar zijn.

'Sneller detecteren en reageren'

Srinivas Mukkamala, Senior Vice President van Security Products bij Ivanti, zegt: "Ransomware-groepen blijven hun tactieken verfijnen, hun aanvalsarsenaal uitbreiden en zich richten op ongepatchte kwetsbaarheden om organisaties aan te vallen. Met dit rapport willen we organisaties helpen om de beveiligingsrisico's en kwetsbaarheden van hun omgevingen en endpoints in kaart te brengen en ze bruikbare informatie te bieden om die sneller te verhelpen. Het is cruciaal dat organisaties een proactieve, op risico's gebaseerde benadering van patchbeheer hanteren en automatiseringstechnologieën inzetten om de gemiddelde tijd voor het detecteren, ontdekken, verhelpen en reageren op ransomware-aanvallen en andere cyberdreigingen te verkorten."

Het Ransomware Index Spotlight Report is gebaseerd op gegevens die zijn verzameld uit verschillende bronnen, waaronder eigen gegevens van Ivanti en CSW, openbaar toegankelijke bedreigingsdatabases en gegevens van bedreigingsdeskundigen en penetratietestteams. Het rapport is hier beschikbaar.