De vervaging van de grens tussen cybercriminaliteit en door staten gesponsorde aanvallen benadrukt de steeds meer complexe en veelzijdige aard van de hedendaagse cyberdreigingen.
Er was een tijd dat het onderscheid tussen cybercriminaliteit en activiteiten van door staten gesteunde dreigingsactoren vrij eenvoudig te maken was. Cybercriminelen werden uitsluitend gedreven door winst. Hun tegenhangers in overheidsdienst voerden vooral cyberspionagecampagnes uit, aangevuld met af en toe een destructieve aanval om de geopolitieke doelstellingen van hun werkgevers te bevorderen. In de afgelopen maanden is deze scheidslijn echter aan het vervagen, ook als het gaat om ransomware – een trend die ook is opgemerkt in het meest recente Threat Report van ESET.
Dit heeft mogelijk grote gevolgen voor IT- en beveiligingsverantwoordelijken. Niet alleen neemt het risico op aanvallen toe, maar ook verandert de manier waarop men dit risico kan mitigeren.
Vervagende grenzen in cyberspace
Je zou kunnen stellen dat ransomware-aanvallen door door staten gesponsorde hackers niet nieuw zijn. In 2017 lanceerden vermoedelijk Noord-Koreaanse operatives WannaCry (ook bekend als WannaCryptor), de eerste wereldwijde ransomworm. Deze werd alleen gestopt nadat een beveiligingsonderzoeker per ongeluk een “kill switch” in de schadelijke code activeerde. In hetzelfde jaar voerden door staten gesponsorde hackers de NotPetya-campagne uit tegen Oekraïense doelwitten. Dit bleek destructieve malware te zijn die zich voordeed als ransomware om onderzoekers op een dwaalspoor te zetten. In 2022 observeerde ESET hoe de Russische Sandwormgroep ransomware op een vergelijkbare manier gebruikte, namelijk als een datawiper.
De scheidslijn tussen door staten gesteunde operaties en financieel gemotiveerde misdaad vervaagt sindsdien steeds meer. Zoals eerder opgemerkt, verkopen veel aanbieders op het dark web exploits en malware aan staatsactoren, terwijl sommige regeringen freelance hackers inhuren om bepaalde operaties uit te voeren.
Wat zien we vandaag?
Deze trends lijken te versnellen. In de recente geschiedenis hebben ESET en anderen verschillende duidelijke motieven waargenomen:
Ransomware om staatskas te vullen
Overheidshackers gebruiken ransomware bewust als een inkomstenbron voor de staat. Dit is het duidelijkst in Noord-Korea, waar dreigingsgroepen ook cryptobedrijven en banken aanvallen met grootschalige diefstallen. Men vermoedt dat zij tussen 2017 en 2023 ongeveer 3 miljard dollar aan illegale winsten hebben behaald met dergelijke activiteiten.
In mei 2024 ontdekte Microsoft dat de aan Pyongyang gelieerde groep Moonstone Sleet een op maat gemaakte ransomware genaamd “FakePenny” gebruikte om netwerken van organisaties in de lucht- en ruimtevaartsector te infecteren, nadat zij eerst gevoelige informatie hadden gestolen. “Dit gedrag suggereert dat de actor zowel inlichtingen wilde verzamelen als zijn toegang wilde monetariseren,” aldus Microsoft.
De Noord-Koreaanse groep Andariel wordt ook verdacht van het leveren van initiële toegang en/of diensten aan de ransomwaregroep Play, omdat Play-ransomware werd waargenomen in een eerder door Andariel gecompromitteerd netwerk.
Bijverdienen voor hackers
Een ander motief voor staatsbetrokkenheid bij ransomware-aanvallen is om overheidsacteurs extra inkomsten te laten verdienen via bijverdiensten. Een voorbeeld is de Iraanse groep Pioneer Kitten (ook bekend als Fox Kitten, UNC757 en Parisite). De FBI heeft vastgesteld dat deze groep “rechtstreeks samenwerkt met ransomware-affiliates om versleutelingsoperaties mogelijk te maken in ruil voor een percentage van de losgeldbetalingen.”
Ze werkten nauw samen met NoEscape, Ransomhouse en ALPHV (ook bekend als BlackCat), waarbij ze niet alleen initiële toegang verschaften, maar ook hielpen met het vergrendelen van netwerken en samenwerken aan manieren om slachtoffers af te persen.
Onderzoekers misleiden
Staatsgelieerde APT-groepen gebruiken ook ransomware om de ware intentie van aanvallen te verbergen. Dit is wat de aan China gelieerde ChamelGang (ook bekend als CamoFei) naar verluidt heeft gedaan in meerdere campagnes gericht op organisaties in kritieke infrastructuur in Oost-Azië en India, evenals de VS, Rusland, Taiwan en Japan. Het gebruik van CatB-ransomware op deze manier biedt niet alleen een dekmantel voor deze cyberspionageoperaties, maar stelt de operatives ook in staat bewijsmateriaal van gegevensdiefstal te vernietigen.
Heeft attributie betekenis?
Het is duidelijk waarom door staten gesponsorde groepen ransomware gebruiken. Het biedt hen op zijn minst een nuttige dekmantel van plausibele ontkenning, wat onderzoekers in verwarring kan brengen. En in veel gevallen verhoogt het de staatsinkomsten en motiveert het overheidsmedewerkers die vaak weinig meer zijn dan slecht betaalde ambtenaren.
De grote vraag is of het echt uitmaakt wie de aanval uitvoert. Microsoft heeft zelfs bewijs gevonden dat overheidsinstanties werk volledig uitbesteden – hoewel in het geval van Storm-2049 (UAC-0184 en Aqua Blizzard) geen ransomware werd gebruikt.
Er zijn twee denkwijzen. Enerzijds blijft best practice-beveiligingsadvies relevant en effectief om veerkracht op te bouwen en incidenten snel te beantwoorden – ongeacht wie de aanval uitvoert. In feite kunnen door staten gesteunde APT-groepen die cybercriminaliteitstactieken gebruiken, netwerkbeheerders zelfs in het voordeel stellen, omdat deze vaak gemakkelijker te detecteren en te verdedigen zijn dan geavanceerde op maat gemaakte tools.
Anderzijds is er een argument dat zegt dat het begrijpen van je tegenstander een essentiële eerste stap is in het beheren van het risico dat zij vormen.
Terugvechten
Als je de identiteit van je tegenstander niet kent, zijn er toch manieren om de impact van hun ransomware-aanvallen te beperken. Hier zijn 10 best practices:
- Neem sociale engineering aan via actuele beveiligingstrainingen en bewustwordingsprogramma’s.
- Zorg voor lange, sterke en unieke wachtwoorden en multifactor-authenticatie (MFA). • Segmenteer netwerken om de “blast area” van aanvallen te beperken.
- Implementeer continue monitoring (EDR/MDR) om verdachte activiteiten vroegtijdig te detecteren.
- Test regelmatig de effectiviteit van beveiligingsmaatregelen.
- Gebruik geavanceerde tools voor kwetsbaarheidsbeheer en patchbeheer.
- Bescherm gevoelige gegevens met multilayered beveiligingssoftware van een gerenommeerde leverancier.
- Investeer in threat intelligence van een vertrouwde partner.
- Maak regelmatig back-ups volgens de best practices.
- Ontwikkel een effectief incidentresponsplan en oefen dit periodiek.
Volgens schattingen was georganiseerde misdaad verantwoordelijk voor 60% van de datalekken vorig jaar, tegenover slechts 5% door staten. Maar dat laatste aandeel groeit, en de impact van dergelijke incidenten kan groot zijn. Voortdurend bewustzijn en proactief risicobeheer blijven essentieel.