Ransomware maakte de afgelopen jaren een razendsnelle ontwikkeling door. Kwaadwillenden nemen de malware ‘as a service’ af bij een van de vele aanbieders op het dark web. De meest innovatieve en bedreigende vorm van ransomware is op dit moment BlackCat.
1. Wat is BlackCat ransomware?
2. Hoe gaat BlackCat te werk?
3. BlackCat gebruikt meervoudige afpersing
4. Wat is de impact van programmeertaal Rust bij deze malware?
5. Wat is nog meer bijzonder aan BlackCat?
6. Hoe weten mijn klant en ik, als reseller, welke data concreet gestolen zijn?
7. Wat is de rol van msp’s en andere IT-dienstverleners bij BlackCat?
8. Wat betekent BlackCat voor de NIS2 regelgeving?
9. Hoe voorkom je als msp dat jouw klanten getroffen worden door BlackCat?
De software van BlackCat is zo geavanceerd dat mssp’s en andere IT-dienstverleners alles uit de kast moeten halen om hun Advanced Treath Protection (ATP) goed in te vullen. In dit artikel beantwoorden we acht veelgestelde vragen over BlackCat Ransomware. De antwoorden kunnen partners helpen bij het inrichten van hun Security 2.0.
1. Wat is BlackCat ransomware?
BlackCat, ook bekend onder de naam ALPHV, is een ransomware-as-a-service (RaaS) die wereldwijd al veel organisaties aanviel en dat in de nabije toekomst zal blijven doen. Het is een zeer geavanceerde ransomware die zich op veel verschillende omgevingen kan richten vanwege een groot aantal geavanceerde functies. BlackCat verspreidt zich eenvoudig tussen computers. Het infecteert verschillende versies van Windows- en Linux-besturingssystemen en kan ook lopende processen beëindigen en bestanden sluiten die open zijn tijdens de aanval.
2. Hoe gaat BlackCat te werk?
De toegang van BlackCat tot het netwerk van een organisatie begint met het gebruik van gestolen toegangsgegevens. Wat dat betreft wijkt BlackCat niet af van veel andere malware. Dat heeft een reden. Doordat bij veel bedrijven het Identity en Access Management (IAM) niet optimaal is, is op darkweb een grote hoeveelheid gestolen en gelekte wachtwoorden en gebuikersnamen te koop. Toegang tot omgevingen is eenvoudig en goedkoop voor wie kwaads in de zin heeft. Gezien het tempo waarmee beveiligingsinbreuken plaatsvinden, is het moeilijk in te schatten hoeveel inloggegevens er elk jaar worden gestolen. Ongeveer 50% van de bekende beveiligingsincidenten in 2021 werden geïnitieerd door gestolen inloggegevens.
Nadat de eerste toegang is verkregen, verzamelen BlackCat of vergelijkbare ransomware-groepen op de achtergrond informatie, waarbij ze het hele netwerk in kaart brengen en accounts manipuleren voor diepere toegang.
Op basis van de informatie die de aanvallers verzamelen stellen ze de meest effectieve route op voor het verdere verloop van de aanval. Ze schakelen beveiligings- en back-upsystemen uit.
3. BlackCat gebruikt meervoudige afpersing
Zoals bij de meeste grote ransomware-operaties, houdt de groep achter BlackCat zich bezig met meervoudige afpersing, waarbij gestolen gegevens worden gebruikt om te kunnen dreigen met een datalek. Hiermee zetten ze slachtoffers onder druk om te betalen. BlackCat gaat een stap verder in het verminderen van herstelopties bij zijn slachtoffers door Windows Shadow Volume Copies te verwijderen, back-ups te deleten en ook de Prullenbak te legen.
BlackCat is daarmee dit jaar een van de meest geavanceerde varianten van ransomware, vanwege de extreem aanpasbare functies die aanvallen op een uitgebreid scala aan bedrijfsomgevingen mogelijk maken. Deze feature-rijke variant is de eerste die is geschreven in de programmeertaal Rust.
Analyse wijst uit dat cybercriminelen onder meer niet-gepatchte Exchange-servers gebruiken om BlackCat te implementeren en toegang te krijgen tot doelnetwerken. Ze maken misbruik van die kwetsbaarheid om informatie te verzamelen over netwerkapparaten en toegang te krijgen tot accountgegevens. Van hieruit zoeken en exploiteren de ze doelen voor zijwaartse bewegingen.
4. Wat is de impact van programmeertaal Rust bij deze malware?
De ontwikkelaars proberen beveiligingsprogramma’s te misleiden omdat sommige niet controleren op de op dit moment nog tamelijk ongebruikelijke programmeertaal Rust. Het hoge aantal slachtoffers suggereert dat de poging behoorlijk succesvol is. Dit voordeel zal minder groot worden, omdat Rust in snel tempo de traditionele programmeertalen C en C++ vervangt. Microsoft riep onlangs nog op vooral Rust te gebruiken. BlackCat ontwikkelt zijn tools met de programmeertaal Rust ook omdat dit zorgt voor meer stabiliteit en integratiemogelijkheden. Zo brengt BlackCat een hoger configuratieniveau.
5. Wat is nog meer bijzonder aan BlackCat?
Het bijzondere is, dat deze malware de originele data niet versleutelt, maar de direct vernietigt bij het slachtoffer. Dat is om verschillende redenen effectiever voor de cybercriminelen:
- Het versleutelen van bestanden, dat ransomware-groepen ’traditioneel’ doen kost veel tijd. Dat maakt de kans op een succesvolle aanval kleiner. Daarnaast geldt ook hier: tijd is geld.
- Bovendien is de ransomware-code in de nieuwe vorm eenvoudiger. Dat maakt de software, die ook ‘as a service’ wordt aangeboden aan derden die wellicht niet heel technisch onderlegd zijn, minder foutgevoelig. Er zijn dan ook sneller nieuwe varianten te maken.
- Nog belangrijker is, dat de nieuwe methode de aanvallers meer zekerheid geeft dat het slachtoffer wil betalen. Als alleen de aanvallers nog een werkende kopie hebben van de originele bestanden, neemt de kans toe dat het slachtoffer met geld over de brug komt.
6. Hoe weten mijn klant en ik, als reseller, welke data concreet gestolen zijn?
Hele goede vraag. Die stelden de cybercriminelen die BlackCat ontwikkelden zichzelf ook en hun antwoord blijkt een ‘zoekfunctie‘ te zijn. Bedrijven die getroffen zijn door de gijzelsoftware van de BlackCat-groep en weigeren het gevraagde losgeld te betalen, kunnen deze tool gebruiken om te achterhalen welke data de aanvallers hebben gestolen. Alle gegevens zijn keurig geïndexeerd en afkomstig van het Collections-gedeelte van de dataleksite van de hackersgroep. Gedupeerden hebben hierbij de mogelijkheid om te zoeken op bestandsnaam en -extensie.
De zoekfuctie heeft impact op verschillende manieren. Het slachtoffer zal schrikken van de hoeveelheid gestolen gegevens. Om publicatie op internet of massaclaims van gedupeerden te voorkomen, kan het bedrijf alsnog besluiten te betalen.
Een claim van gedupeerden kan zich ook richten op de security-partner
De andere optie is dat relaties van het slachtoffer de zoektool gebruiken om te kijken of hun privégegevens zijn buitgemaakt. In dat geval kunnen ze bij het getroffen bedrijf aankloppen en vragen om het losgeld te betalen. Of het bedrijf aanklagen. Let op: die claim kan zich ook richten op de partner van het getroffen bedrijf!
Dat is echter nog niet alles. De tool is ook heel handig voor andere hackers, die zich specialiseren in afpersing. De zoek-tool maakt het voor hen eenvoudiger om wachtwoorden en andere vertrouwelijke informatie over de aangevallen bedrijven en organisaties te vinden.
7. Wat is de rol van msp’s en andere IT-dienstverleners bij BlackCat?
Die is groter dan je zou denken. Op de eerste plaats zijn het mssp‘s, service partijen die zich onder meer met het beperken van de impact van ransomware-aanvallen bezighouden, die BlackCat ontdekten. In eerste instantie waren het de bedrijven Cyderes en Stairwell die een nieuwe vorm van ransomware zagen opkomen. Vervolgens was het Blackpoint Cyber, een dienstverlener voor beheerde detectie en respons (MDR) die nauw samenwerkt met msp’s, die meer details gaf. Blackpoint ontdekte nieuwe tactieken, technieken en procedures (TTP’s) die ze linkten aan BlackCat ransomware-as-a-service-bedreigingen.
Zo detecteerde Blackpoint de zijdelingse beweging van BlackCat over onbeschermde apparaten. De criminelen gebruiken Remote Desktop Protocol (RDP) en Windows Admin Shares om apparaten te infiltreren en hun kwaadaardige software te implementeren.
BlackCat-aanvallers gebruiken daarnaast vooral ook Total Software Deployment (TSD). Dit is een tool voor beheer op afstand die vaak wordt gebruikt door mssp’s, msp’s en IT service providers. Het is voor partners vooral van belang geen gratis versies van TSD in te zetten, want de crimelen gebruiken juist die versie graag. Hezelfde geldt overigens voor het programma ScreenConnect.
Hiermee komt meteen ook een andere connectie met IT-partners aan het licht. BlackCat maakt intensief gebruik van tools die service providers dagelijks hanteren voor bijvoorbeeld het deployen van software-updates.
8. Wat betekent BlackCat voor de NIS2 regelgeving?
De NIS2-regelgeving is bedoeld om te zorgen dat bedrijven hun weerbaarheid op orde hebben. De voorganger NIS richtte zich alleen op de essentiële bedrijven, zoals netwerken, energie en watervoorziening. Met NIS2 wordt dit uitgebreid naar een tweede schil van iets minder essentiële industrieën. Maar omdat er steeds vaker sprake is van ketelaanvallen, is het voor álle bedrijven een goed idee om te voldoen aan de NIS2 richtlijn.
In het verlengde daarvan is ketenaansprakelijkheid ook een belangrijk issue. Ransomware-aanvallen, zoals die welke BlackCat gebruiken, kunnen soms bij een bedrijf binnenkomen met informatie die ze bij een toeleverancier of afnemer hebben gevonden. Dat maakt dat ook de ms(s)p een veel grotere rol krijgt: als adviseur over veiligheid kun je aansprakelijk worden gesteld voor inbreuken bij je klanten.
En natuurlijk moet je als IT-dienstverlener ook zelf goed beschermd zijn. Anders loop je de kans dat ze met informatie die bij jóu gestolen wordt bij je klanten weten binnen te dringen.
9. Hoe voorkom je als msp dat jouw klanten getroffen worden door BlackCat?
Allereerst moeten we altijd melden dat absolute veiligheid niet bestaat. Niet voor de klanten van de msp. Maar ook niet voor de msp zelf. De IT-partner kan er wel voor zorgen dat de kans dat een opdrachtgever een incident meemaakt zo klein mogelijk wordt. Dit zijn onze tips:
- Om te voorkomen dat opdrachtgevers gegijzeld worden door BlackCat of andere soorten ransomware en malware, is het cruciaal om recente offline back-ups van de belangrijkste bestanden en gegevens te bewaren. Liefst in tweevoud en op verschillende locaties. En elk met een eigen unieke beveiliging.
- Kies voor een ‘defense-in-depth’-benadering waarbij je verdedigingslagen gebruikt met verschillende mitigaties op elke laag. Dit betekent dat je meer mogelijkheden hebt om malware te detecteren. En om die vervolgens te stoppen voordat het schade toebrengt.
- Controleer regelmatig domeincontrollers, servers, werkstations en actieve mappen op nieuwe of niet-herkende gebruikersaccounts in de IT-omgeving van de klant.
- Gebruik netwerksegmentatie. Altijd.
De msp moet met de klant een herstelplan opstellen
- De belangrijkste actie is de handeling die het vaakst vergeten wordt: update en patch regelmatig besturingssystemen, software en firmware.
- Gebruik multi-factor authenticatie (MFA), ook bij virtuele privé-netwerken.
- ‘Dwing’ de klant regelmatig nieuwe, sterke, niet eerder gebruikte wachtwoorden in te stellen. Automatiseer dit.
- Gebruik geen gratis tooling.
- Deploy goede antivirus-programma’s bij de klant.
- Voer maandelijks een professionele penetratietest uit.
- En, helaas absoluut noodzakelijk: stel met de opdrachtgever een herstelplan op. En bewaar daarvan meerdere kopieën op fysiek gescheiden, gesegmenteerde en veilige locaties. Ook offline! Werk dit plan regelmatig bij. Of overweeg een business continuity & disaster recovery oplossing.