Wie verdient er geld aan ransomware?

September 30, 2021
Kaseya
Ransomware

Ransomware is de cyberaanval die het vaakst in het nieuws komt, omdat deze dramatische en verwoestende gevolgen heeft. Een cyberaanval zoals ransomware is ook voldoende om de meeste bedrijven een fatale slag toe te brengen: 60% van de bedrijven die door een cyberaanval worden getroffen, gaat binnen zes maanden failliet. Het beschermen van bedrijven tegen ransomware is van cruciaal belang om de deuren open te houden. Een ransomware-incident kan het budget companyverwoesten, maar het is een melkkoe voor kwaadwillenden. Bij elke ransomware-aanval zijn veel spelers nodig om de klus te klaren en ze zijn er allemaal om dezelfde reden: geld. Of een bedrijf nu wel of niet het losgeld betaalt nadat het slachtoffer is geworden van een ransomware-aanval, de cybercriminaliteit op het dark web wordt erdoor versterkt.  

Hoe werken Ransomware-operaties? 

Wanneer een company losgeld company , gaat dat geld alle kanten op in het dark web. Losgeld gaat niet alleen naar één persoon of organisatie – zelfs een ondergeschikte deelnemer aan een ransomware-aanval profiteert ervan. De ransomware-industrie is een eigen ecosysteem en levert een belangrijke bijdrage aan de economie van het dark web. Het maakt ook deel uit van de cybercrime-as-a-service-sector. Dat is een belangrijke reden waarom cybercriminelen van allerlei pluimage snel meedoen aan een ransomware-operatie. Die criminelen hebben een grote kans om met veel geld weg te komen, en iedereen wordt betaald. 

De grote, machtige ransomwarebendes voeren zelden zelf campagnes. In plaats daarvan beheren ze cybercrime-as-a-service platforms die cybercriminelen kunnen gebruiken om operaties uit te voeren, talent aan te trekken, te netwerken met freelancers en betalingen te ontvangen. De baas van de bende verdient zijn geld met een deel van de winst als er onder hun auspiciën een succesvolle ransomware-aanval wordt uitgevoerd. Deze aanvallen worden uitgevoerd door gelieerde onafhankelijke aannemers die bekend staan als filialen. De filialen zijn degenen die het dagelijkse werk doen om een succesvolle ransomware-aanval op te zetten.  

De partner is verantwoordelijk voor alles wat te maken heeft met een ransomware-aanval tegen het gekozen doelwit, van planning tot uitvoering en betaling. De affiliate kan een kleinere bende zijn of gewoon een groep freelancers die samenkomen voor één klus. Het is gebruikelijk voor affiliates om specialisten en freelancers in te huren voor operaties, zoals expert spear phishing makers of ervaren hackers. Soms levert de boss gang de malware, of de affiliate gebruikt liever zijn eigen malware. Hoe een affiliate de klus ook klaart, als hun aanval succesvol is, zijn ze verplicht om een deel van de keten naar de baas te sturen - de bende die het platform runt - meestal 10-20% van de buit, en ook om de onderaannemers te betalen die ze hebben ingehuurd. De rest van het geld is voor hen. 

Nu in dienst: Een organisatie voor Ransomware 

Iedereen is op zoek naar goede hulp, want de juiste medewerkers zijn essentieel voor het succes van een bedrijf – zelfs cybercriminelen. Nadat twee bekende Russische forums ransomware-operators hadden verbannen, begonnen twee grote ransomware-bendes, Himalaya en LockBit,hun eigen websites te gebruikenom hun encryptietools te promoten en nieuwe medewerkers te werven. LockBit had net een nieuwe versie van zijn kenmerkende ransomware uitgebracht en probeerde de verbeterde softwareprestaties te gebruiken om talent aan te trekken. Himalaya richtte zich rechtstreeks op de portemonnee enpreesop zijn websitede royale beloningen aandie het zijn medewerkers biedt, net als elk ander company op zoek is naar hulp. 

Maar niet elke bende huurt mensen van de straat in. Verschillende van de grootste ransomware-exploitanten werven helemaal niet publiekelijk. In plaats daarvan moet je iemand in de organisatie kennen om een voet tussen de deur te krijgen, net als bij een traditionele misdaadoperatie. Je zult geen vacatures zien van een organisatie als REvil. Experts merken op dat de REvil-bende er de voorkeur aan geeft om discreet te opereren en te vertrouwen op haar netwerk van filialen en connecties voor vers bloed als dat nodig is. Sommige andere cybercriminelen houden zich ook liever gedeisd en werken in de schaduw. Groepen die ook operaties uitvoeren zoals het compromitteren van zakelijke e-mails als onderdeel van hun ransomware-operatie willen vooral onzichtbaar blijven. In de nasleep van de internationale jacht op de hackers die betrokken waren bij de DarkSide-aanval op Colonial Pipeline, gingen veel bendes, hackers en gegevensmakelaars nog verder ondergronds. Nationale groepen huren ook nooit mensen in, maar vertrouwen in plaats daarvan op een vertrouwd netwerk van geallieerde dreigingsactoren om hun werk te doen.  

Geldstromen op het donkere web 

Er is veel vraag naar allerlei soorten gespecialiseerde cybercriminaliteit – experts schatten dat 90% van de berichten op populaire dark web-forums afkomstig is van kopers die iemand willen inhuren voor hackdiensten. Naar schatting 69% van die vacatures op dark web-forums was op zoek naar cybercriminelen om websites te hacken, terwijl nog eens 21% op zoek was naar kwaadwillenden die specifiek gerichteuser klantendatabases konden verkrijgen. Niet alle "hackers" zijn ook daadwerkelijk hackers. Sommigen hebben gespecialiseerde expertise op zeer specifieke gebieden, zoals social engineering of spear phishing. Vermoedelijke cybercriminelen kunnen ook profiteren van de verkoop van hun eigen technologie. Iets meer dan 2% van de door de onderzoekers gemeten forumberichten was afkomstig van cybercriminele ontwikkelaars die de tools van het vak verkochten, zoals wachtwoordkrakers, betalingsskimmers, malware, ransomware en andere hackprogramma's. Hackers gebruiken deze forums ook om mensen te ontmoeten die geïnteresseerd zijn in het plannen van of deelnemen aan cyberaanvallen. Ongeveer 1% van de onderzochte berichten op dark web-forums was afkomstig van hackers die op zoek waren naar andere hackers om een team te vormen.    

Cybercriminele organisaties zijn ook bereid om veel te betalen voor toegang. Populaire dark web fora zijn de cybercriminelen versie van LinkedIn. Ruwweg 40% van de advertenties die onderzoekers bekeken in een onderzoek uit 2020 werden gemaakt door spelers in de Ransomware-as-a-Service (RaaS) ruimte. Bendes boden tot $100.000 voor initiële toegangsdiensten, waarbij de meeste actoren hun topprijs vaststelden op iets meer dan de helft daarvan, $56.250. In andere advertenties die op een populair forum werden geplaatst, waren dreigingsactoren specifiek op zoek naar doelwitten in de VS, Canada, Australië en Groot-Brittannië met een omzet van $100 miljoen of meer. Voor deze toegang waren ze bereid $3.000 tot $100.000 te betalen - en dat is genoeg om werknemers te verleiden, vooral in moeilijke economische omstandigheden.   

Een kijkje in de Colonial Pipeline Ransomware-aanval 

De meeste ransomware-aanvallen zijn complexe, schimmige operaties en de exacte details komen zelden aan het licht. Maar het Colonial Pipeline ransomware-incident is uitgebreid onderzocht, onderzocht en gerapporteerd, waardoor iedereen een zeldzame blik kreeg op hoe een ransomware-aanval die schade toebrengt aan de infrastructuur precies in zijn werk gaat. Dit incident heeft ransomware nog meer in de schijnwerpers gezet en heeft overheden over de hele wereld, waaronder de Amerikaanse, aangezet tot actie om infrastructuur te beschermen tegen ransomware en cybercriminelen te straffen. De Amerikaanse overheid heeft onlangs een Ransomware One-Stop geopend om Amerikaanse bedrijven te helpen terug te vechten tegen het probleem. 

DeDarkSide-ransomwarebende verwierf bekendheid door een succesvolle aanval op Colonial Pipeline, waarmee ze naar schatting iets meer dan 4 miljoen dollar verdienden. Maar die operatie werd niet rechtstreeks uitgevoerd door de ontwikkelaars en operators van DarkSide. In plaats daarvan werd de hack op Colonial Pipeline uitgevoerd door een partner van de grotere operatie, die gebruikmaakte van de eigen malware van DarkSide. Die partner huurde via dark web-forums zijn eigen onderaannemers in en verzamelderesources dark web-datamarkten en -dumps om de daad te verrichten. 

Toen sloeg de satellietbende toe en haalde Colonial Pipeline binnen met een verwoestende aanval die de grootste brandstofpijpleiding in de VS stillegde. Het toegangspunt voor de bende was een enkel gecompromitteerd werknemerswachtwoord dat hen de sleutels tot het koninkrijk gaf, waarschijnlijk verkregen via spear phishing. De DarkSide-partner kon vervolgens gemakkelijk binnensluipen in security toegegeven lakse security van Colonial Pipeline security hun giftige lading afleveren: DarkSide's eigen ransomware, om de systemen en gegevens van Colonial Pipeline te versleutelen. Daarna kwam het makkelijke gedeelte: de affiliate stelde een timer in voor de malware, stelde een losgeld eis en leunde achterover om op hun geld te wachten.  

Iets meer dan een week na de eerste inbraak begon de ransomware-infectie, waarmee het eindspel van de operatie van het filiaal werd ingeluid. Een werknemer die aan zijn werkdag begon in de centrale controlekamer van Colonial Pipeline zag een losgeldbrief met cryptocurrency op zijn computer verschijnen en belde zijn supervisor. Toen begon de race voor Colonial Pipeline om de infectie te slim af te zijn en hun systemen en gegevens te beschermen. Na het afsluiten van de pijpleiding om te proberen de schade te beperken en te voorkomen dat de hackers verder zouden binnendringen, had Colonial geen andere keuze dan experts in te schakelen om te helpen - de situatie was veel te moeilijk om intern aan te pakken.  

De aanvallers vergrendelden Colonial Pipeline met verwoestend effect. Ze stalen ook bijna 100 gigabyte aan gegevens. Uiteindelijk was de aanval van de DarkSide-partner een doorslaand succes. Colonial Pipeline betaalde de aanvallers in korte tijd 4,4 miljoen dollar losgeld. Volgens onderzoekers van FireEye zijn DarkSide-partners verplicht om 25% van de losgeldbetalingen onder de 500.000 dollar aan de baasgroep te betalen en 10% van alle succesvolle losgeldincasso's boven de 5 miljoen dollar. 

Ransomware is erg winstgevend, vooral de dubbele versleuteling waar DarkSide de voorkeur aan gaf. Voordat de bende op zwart ging na het Colonial Pipeline incident, had DarkSide volgens blockchain analisten van Elliptic$90 miljoen aan bitcoin losgeldbetalingen ontvangen in de loop van zijn korte bestaan. Zij schatten verder dat de gemiddelde ransomware betaling in een DarkSide operatie ongeveer $1,9 miljoen was. Van de totale buit die DarkSide operaties binnenhaalden, schatten deze experts dat $15,5 miljoen naar de ontwikkelaar van DarkSide ging, terwijl $74,7 miljoen naar zijn filialen ging. 

Stop Ransomware door Phishing te stoppen 

Een van de beste manieren om een company ransomware te beschermen, is door het tegen phishing te beschermen. Naar schatting 94% van de ransomware komt via e-mail bij bedrijven terecht. Deze berichten maken vaak gebruik van geavanceerde social engineering-technieken om werknemers te verleiden een bijlage te downloaden, een kwaadaardige website te bezoeken of hun inloggegevens aan cybercriminelen te verstrekken. Het stoppen van ransomware begint met het voorkomen dat phishingberichten in de inbox van werknemers terechtkomen. 

Uw bedrijf heeft krachtige, geautomatiseerde e-mailbeveiliging nodig die u geavanceerde bescherming biedt tegen kwaadaardige berichten die bedreigingen zoals ransomware bevatten, zonder dat dit veel geld kost.Graphus de oplossing.  

  • Geavanceerdesecurity biedt drie beschermingslagen tussen uw bedrijf en phishingberichten. 
  • Geautomatiseerde e-mailoplossingen zoalsGraphus 40% meer schadelijke berichtenGraphus dan conventionele oplossingen of een SEG. 
  • Smart AI heeft nooit bedreigingsrapporten nodig en gebruikt in plaats daarvan meer dan 50 vergelijkingspunten om gerichte spear phishing, ransomware, 'zero-day'-aanvallen en andere complexe bedreigingen op te sporen. 

Wacht niet tot u de rekening moet betalen voor een ransomware-aanval om uw e-mailbeveiliging te verbeteren – 60% van de bedrijven die door een cyberaanval worden getroffen, gaan failliet. Stop phishing onmiddellijk metGraphus de meest eenvoudige, geautomatiseerde en betaalbare phishing-beveiliging die momenteel beschikbaar is. Neem vandaag nog contact op met een van onze oplossingsspecialisten en zorg voor bescherming die nooit een dag vrij neemt voor uw bedrijf. 

Eén compleet platform voor IT- en Security

Kaseya is de alles-in-één oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya

Eén platform. Alles omtrent IT.

Klanten van Kaseya profiteren van de voordelen van de beste IT-beheer- en beveiligingstools in één enkele oplossing.

Ontdek Kaseya

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeelde risico's en toegewijde support voor uw bedrijf.

Ontdek Partner First Pledge

Wereldwijd MSP rapport 2025

Het Global MSP Report 2025 van Kaseya is uw onmisbare bron van informatie om te begrijpen waar de sector naartoe gaat.

Nu downloaden

Ontdek categorieën

Van phishing tot ransomware: hoe Kaseya 365 User uw SaaS-apps beschermt

SaaS-applicaties, zoals Microsoft 365 en Google Workspace, ondersteunen bijna elk aspect van de digitale activiteiten van vandaag. Echter, aangezien bedrijvenMeer lezen

Lees blogbericht

Wat is Ransomware-as-a-Service (RaaS)?

Ransomware-as-a-service is een bedrijfsmodel waarbij cybercriminelen ransomware ontwikkelen en deze verkopen of verhuren aan partners. Leer hoe het werkt en hoe u het kunt tegenhouden.

Lees blogbericht

Voorkom IT-hartzeer deze Valentijnsdag met Ransomware-detectie

Deze Valentijnsdag willen cybercriminelen van over de hele wereld je hart breken. Hun doel is om in te breken inMeer lezen

Lees blogbericht