Hier zijn een dozijn manieren waarop IT-teams van elke omvang geautomatiseerde waarschuwingen kunnen instellen om ransomware-aanvallen te detecteren voordat het te laat is.
Het is gek om te bedenken dat het in mei van dit jaar vijf jaar geleden is dat de uitbraak van WannaCry ransomware tot een begrip maakte. In sommige opzichten voelt het als een leven geleden (of langer). Bijv.: Vergeleken met de schokkende cijfers die in de rapporten van vandaag worden aangehaald, doen sommige ransomware-gerelateerde statistieken van 2017 nogal ouderwets aan.
- In Q2 2017 lag de gemiddelde geschatte losgeldeis tussen $501 – $2.000. Volgens Coveware werd in het eerste kwartaal van 2022 gemiddeld 211.529 dollar losgeld betaald.
- In 2017 schatte Cybersecurity Ventures dat de totale kosten van door ransomware veroorzaakte schade in dat jaar 5 miljard dollar zouden bedragen. Hun laatste rapport schat de totale kosten in 2021 op 20 miljard dollar.
Er is duidelijk veel veranderd, en met miljarden dollars in het spel, is zeggen dat de ransomware operaties van vandaag volwassener zijn geworden en geëvolueerd een enorm understatement.
Zoals beveiligingsonderzoeker Kevin Beaumont het stelt in een blogpost die iedereen zou moeten lezen:
“Eén ransomware-groep die 40 miljoen dollar ontving voor het aanvallen van een cyberverzekeringsmaatschappij, geeft de aanvallers meer budget om cyberaanvallen uit te voeren dan de meeste middelgrote tot grote organisaties in totaal hebben om zich tegen aanvallen te verdedigen. En dat is slechts één aanval, van één groep, die nauwelijks het nieuws van de meeste mensen haalde.”
– Kevin Beaumont, “De harde waarheid over Ransomware”
Het is een ontnuchterende balans, maar voordat we gaan terugverlangen naar de “eenvoudigere” dagen van 2017, is het ook goed om te bedenken dat er de afgelopen vijf jaar weliswaar veel is veranderd, maar ook heel veel niet.
Ja, het ecosysteem van cybercriminaliteit is geëxplodeerd rond ransomware, en zeker, aanvalsgroepen hebben enorme oorlogskassen vergaard voor het kopen van zero-days en het lanceren van bug bounty programma’s. Maar de waarheid is dat, ondanks dit alles, de meerderheid nog steeds opereert in de laaghangend fruit modus. Waarom zou je ingewikkeld doen als je toch veel mensen kunt krijgen met de basics?
- Colonial Pipeline? Gehackt via een inactieve account zonder MFA.
- Ierse gezondheidsdiensten? Kwaadaardig Excel document.
- De LockBit ransomware bende’s 5-maanden toegang tot een Amerikaanse overheidsinstelling? Exposed RDP.
- Ransomware-aanval voor 50 miljoen dollar op pc-reus Acer? Ongepatcht Microsoft Exchange lek.
Ja, preventie is moeilijk voor de organisaties van vandaag, maar dat is het altijd al geweest, en ik ben er niet helemaal van overtuigd dat het vandaag exponentieel moeilijker is dan vijf jaar geleden. De waarheid is dat het MKB met een sterke basis en elementaire endpoint hardening een heel eind kan komen.
Maar dit bericht gaat over opsporing, toch? Nou, hetzelfde punt geldt. De meeste organisaties zullen nog steeds specifieke middelen nodig hebben (intern of uitbesteed) om de detectiemogelijkheden die we hier gaan behandelen, in te zetten en actief te monitoren, maar de drempel is niet noodzakelijk zo hoog als sommige beveiligingsleveranciers u willen doen geloven.
Een voorbeeld: Hieronder volgen 12 goede, elementaire opsporingsideeën waarmee u resultaten kunt boeken zonder dat het een fortuin kost.
Laten we er op ingaan.
Hoe ransomware te detecteren (of beter nog, wanneer)
Laten we het er om te beginnen over eens zijn dat het een verloren race is om ransomware-activiteiten te detecteren nadat ze zijn uitgevoerd (ransomware executables die actief zijn en gegevens versleutelen). Sommige van de meest productieve ransomware varianten kunnen 100.000 bestanden versleutelen in minder dan vijf minuten.
Pogingen om plotselinge massale veranderingen in bestandsnamen e.d. op te merken en daarop te reageren, zullen vaak te weinig en te laat komen.
AV / EDR is uiteraard ontworpen om uitvoerbare bestanden van ransomware te blokkeren, maar de detectie/blokkeringspercentages zijn niet perfect, en zelfs als ze erin slagen een uitvoerbaar bestand te blokkeren, biedt dit geen oplossing voor het probleem dat aanvallers toegang hebben gekregen. Als ze een keer falen, zullen ze het opnieuw proberen.
Het is ook gebruikelijk dat aanvallers gebruik maken van tools en playbooks die zijn ontworpen voor het verkrijgen van verhoogde rechten, zodat ze beveiligingstools (en back-ups) kunnen uitschakelen.
Daarom is het beste moment om aanvallen op te sporen en te verstoren een vroeg stadium, idealiter wanneer u te maken krijgt met vaak geautomatiseerde pogingen om te landen en zich op uw systemen te vestigen. Aanvallen in de kiem smoren is veel gemakkelijker dan de volgende fase, wanneer je te maken hebt met een echte menselijke hacker die werkt met een beproefd en werkend spelboek en tal van tools die ontworpen zijn om je netwerk snel in kaart te brengen en volledig te beheersen.
Dus als we het hebben over het detecteren van ransomware, is de betere vraag misschien: “Hoe detecteren we de vroege waarschuwingssignalen van een compromis dat snel tot ransomware kan leiden? “
En de nadruk ligt heel erg op “snel.” Uit rapporten blijkt dat ransomware, na de eerste toegang, dagen tot zelfs slechts enkele uren later kan worden ingezet. Zie de uitsplitsingen van The DFIR Report van “IcedID tot XingLocker ransomware in 24 uur” en “Netwalker Ransomware in 1 uur”
Omdat er zo weinig tijd is om de bedreiging te identificeren en te reageren, is het van cruciaal belang om tools en ervaren professionals te hebben die systemen actief bewaken en klaar staan om te reageren (idealiter door gebruik te maken van automatisering).
Ok, slimme jongen, dus wat zijn vroege waarschuwingssignalen van ransomware en goede detectiemogelijkheden?
Het goede nieuws is dat er weliswaar een groot aantal aanvalsgroepen en -varianten zijn, maar dat de meerderheid zich nog steeds baseert op gemeenschappelijke draaiboeken en hulpmiddelen. Dankzij het werk van onderzoekers zoals die van The DFIR Report en elders, kunnen verdedigers de meest voorkomende TTP’s leren kennen en dienovereenkomstig opsporingsmechanismen bouwen.
Hieronder volgt een lijst van detectiemogelijkheden die in kaart zijn gebracht met veelvoorkomende aanvalspatronen voor ransomware (met een flinke fooi aan The DFIR Report’s 2021 Year in Review). Het is zeker geen allesomvattende lijst, maar het zou u een goede leidraad moeten geven om te beginnen.
Als u een oplossing voor eindpuntbeheer of RMM zoals NinjaOne gebruikt, kunt u voor veel van deze detecties bewakings- en waarschuwingscondities creëren die u vervolgens eenvoudig naar eindpunten kunt uitrollen, waardoor u en uw team handmatig werk wordt bespaard. U kunt ook geautomatiseerde acties uitwerken die u wilt laten activeren door waarschuwingen, zoals het automatisch opnieuw installeren/opstarten van AV/EDR-processen als wordt vastgesteld dat ze ontbreken/uitgeschakeld zijn.
Als je nog een stapje verder wilt gaan, de mensen van The DFIR Report hebben ook een bootlading uiterst nuttige Sigma regels gedeeld die je kunt gebruiken met Chainsaw, een gratis open-source tool van F-Secure Labs dat een snelle manier biedt om event logs door te kammen en verdachte tekenen van een aanval te detecteren.
Soorten ransomwaretactieken en hoe die te detecteren – detectiemogelijkheden per aanvalsfase
Eerste toegang
Meldingen van verdachte e-mails van eindgebruikers: Ze krijgen niet de krantenkoppen die zero-day kwetsbaarheden wel halen, maar gewone kwaadaardige e-mails die zijn ontworpen om gebruikers te verleiden malware te downloaden en uit te voeren, blijven een van de meest voorkomende aanvalsvectoren. Waarom? Omdat ze nog steeds werken.
- Hoe verdachte e-mails op te sporen: Het is belangrijk dat organisaties hun werknemers veiligheidsbewustzijnstraining geven, maar ook een cultuur creëren waarin ze actief worden aangemoedigd en beloond voor het melden van verdachte e-mails EN mogelijke fouten zonder bang te hoeven zijn om gestraft te worden.
Verdachte RDP verbindingen: Blootgestelde RDP is een andere aanvalsvector waar sommige IT- en beveiligingsmensen misschien hun ogen over zullen uitsteken, maar het blijft een van de belangrijkste punten van initiële compromittering voor ransomware incidenten.
- Hoe verdachte RDP verbindingen te detecteren: Dit bericht van NCCGroup laat zien hoe je log-events kunt vastleggen met betrekking tot pogingen en succesvolle RDP sessies. Daarnaast gaat dit script van PowerShell-expert Kelvin Tegelaar nog een stap verder door te documenteren of een aantal tools voor toegang op afstand zijn geïnstalleerd (Remote Desktop, Teamviewer, Connectwise ScreenConnect, en andere) en te loggen wanneer er een succesvolle verbinding is geweest.
Volharding
Verdachtegeplande taak creatie: Een van de meest voorkomende manieren waarop aanvallers persistentie krijgen op een systeem.
- Hoe verdachte geplande taken te detecteren: Monitor en waarschuw hiervoor door Windows Event ID’s 4698 en 4700 te volgen of door gebruik te maken van Kelvin Tegelaar’s PowerShell script hier.
Onverwachte software voor toegang op afstand: Een andere tactiek die steeds meer ingang vindt, is dat aanvallers software van derden installeren, zoals AnyDesk (veruit de populairste), Atera, TeamViewer, en Splashtop.
- Hoe detecteer je onverwachte remote access software: Dit zijn populaire tools onder MSP’s, maar als u er GEEN gebruik van maakt, is het een goed idee om regelmatig te controleren of ze aanwezig zijn en ze te markeren. Ook hier kan Kelvin’s script voor gebruikt worden (zie de opmerking van Luke Whitlock voor een aanpassing die controleert voor AnyDesk).
Bovendien kunt u ook Windows Event ID 7045 controleren.
Privilege escalatie / credential toegang
Het extraheren van geloofsbrieven uit het Windows local security authority subsystem (LSASS): Hoewel er andere manieren zijn waarop aanvallers geloofsbrieven kunnen schrapen, is dit veruit een van de meest voorkomende.
- Hoe kan je LSASS misbruik opsporen: Een goede manier om pogingen om credentials van LSASS te stelen te controleren of te blokkeren, is door gebruik te maken van Microsofts Attack Surface Reduction (ASR)-regels (Windows 10 build 1709 / Windows Server build 1809 of hoger vereist).Kanttekening: Andere ASR regels zijn ook zeer geschikt voor het blokkeren van een verscheidenheid aan veel voorkomende pogingen om kwaadaardige code uit te voeren en initiële toegang te verkrijgen (bijv. het blokkeren van Office programma’s voor het aanmaken van kindprocessen, het blokkeren van JavaScript of VBScript voor het starten van gedownloade uitvoerbare inhoud, etc.). Zie dit bericht van het beveiligingsteam van Palantir waarin zij hun beoordeling van de impact van ASR-regels en aanbevolen instellingen delen.Veel EDR-tools bieden ook soortgelijke blokkerings- en detectiemogelijkheden om LSASS te beschermen.
Verdediging ontwijking
Uitschakelen / verwijderen van antivirus en andere beveiligingsprogramma’s: Waarom zou je op je tenen langs beveiligingstools lopen als je ze ook gewoon kunt uitschakelen?
- Hoe antivirus geknoei te detecteren: Kijk eens naar dit script van Kelvin Tegelaar of, als je er een hebt, maak gebruik van uw RMM om regelmatig te waarschuwen of beveiligingstools zijn geïnstalleerd en/of worden uitgevoerd.
Ontdekking
Onverwacht gebruik van port scan en netwerk discovery tools: Zodra een landingspunt is gevestigd, moeten aanvallers rondkijken om te zien waar zij zijn geland en de beste mogelijkheden voor zijwaartse verplaatsing vaststellen. Velen zullen gebruik maken van ingebouwde Windows-hulpprogramma’s zoals nltest.exe, ipconfig, whoami, enz. en ADFind. Anderen gebruiken port-scanning tools zoals Advanced IP Scanner.
- Hoe verdachte poortscanners en verkenningstools op te sporen: Net als bij tools voor toegang op afstand kunt u, als u deze tools niet regelmatig gebruikt, testen of u ze kunt monitoren en waarschuwingen en automatiseringsregels kunt aanmaken om ze proactief te blokkeren.
Zijwaartse beweging
Vermoedelijk Cobalt Strike gebruik: Cobalt Strike is “adversary simulation software” die helaas net zo populair is geworden bij aanvallers als bij zijn beoogde doelgroep van penetratietesters. Het maakt een brede waaier van post-exploit tactieken ongelooflijk gemakkelijk uit te voeren, en duikt routinematig op als een misbruikt middel in ransomware incidenten.
- Hoe Cobalt Strike op te sporen: Veel EDR-tools en beveiligingsonderzoekers hebben hun sites gericht op het opsporen van Cobalt Strike gebruik. Bekijk hier een geweldige verzameling hulpmiddelen om u te helpen hetzelfde te doen.
Onverwachte software voor toegang op afstand: Zie het gedeelte over toegang op afstand onder “Persistentie” hierboven.
Verdachte verbindingen met toegang op afstand: Kan het gebruik van RDP, SMB, VNC, en meer omvatten
- Hoe verdachte verbindingen voor toegang op afstand te detecteren: Zie deze lijst met ideeën voor monitoring van MITRE (bijv. netwerkverbinding maken, toegang tot netwerkshares, enz.) en ga dieper in op de subtechnieken voor specifieke informatie over het misbruik van RDP, SMB, VNC, SSH, enz.
Verdacht gebruik van PsExec: PsExec is een ander ingebouwd Microsoft hulpprogramma dat aanvallers zijn gaan misbruiken. Hiermee kunt u op afstand commando’s of scripts uitvoeren als SYSTEM.
- Hoe PsExec misbruik op te sporen: Onze man Kelvin heeft hier ook een script voor (want natuurlijk heeft hij dat). U kunt hier ook aanvullende Windows Event ID’s en registerwijzigingen vinden om te controleren.
Exfiltratie van gegevens
Verdachte uitgaande verbindingen en pieken in het verkeer: Om meer invloed op slachtoffers te krijgen, gebeurt het steeds vaker dat aanvallers gegevens niet alleen versleutelen, maar ze ook eerst exfiltreren. Dat geeft hen de extra dreiging om de gegevens te verkopen of live te plaatsen
- Hoe exfiltratie van gegevens te detecteren: Indicatoren van mogelijke exfiltratie van gegevens kunnen zijn: grote pieken in uitgaand verkeer, onverwachte verbindingen met openbare IP-adressen, ongebruikelijk gebruikte poorten, grote hoeveelheden DNS-query’s, verdachte bronbestandsextensies (.rar, .7z, .zip, enz.), en meer. Netwerkbewaking en firewallregels kunnen hier het zware werk doen. Voor meer ideeën, zie de “Exfiltratie” sectie van MITRE ATT&CK.
Misbruik van ingebouwde en open source file-transfer tools: Aanvallers maken graag gebruik van anderszins legitieme hulpmiddelen die hen kunnen helpen zich te vermengen. Voor gegevensverwijdering zijn dat onder meer Microsoft BITS, curl.exe, Rclone, Mega (MegaSync en MegaCmd), en meer.
- Hoe verdachte bestandsoverdracht op te sporen: Hoewel aanvallers de moeite kunnen nemen om deze programma’s een andere naam te geven, doen sommigen dat gewoon niet, dus blokkeren en/of controleren op en waarschuwen voor het gebruik ervan is een goed beginpunt. Voor meer geavanceerde/granulaire detectie-ideeën, zie het volgende: detecteren van Rclone, detecteren van Mega en Rclone, en MITRE ATT&CK ID T1197.
Een beheerbare en schaalbare detectielaag voor ransomware toevoegen
Het actief monitoren van en waarschuwen voor dit soort activiteiten kan een uitdaging zijn voor organisaties die niet beschikken over speciaal daarvoor opgeleide en getrainde medewerkers. In veel gevallen kan samenwerking met de juiste uitbestede deskundigen de beste oplossing zijn
Voor meer voorbeelden van automatiseringen die IT-teams kunnen toepassen met Ninja, zie “Wat moet u monitoren met uw RMM? 28 Aanbevelingen.”
NinjaOne werkt ook samen met Bitdefender om een geïntegreerde anti-ransomware oplossing te bieden als onderdeel van haar Unified IT Management (UITO) platform. Door de integratie van Ninja + Bitdefender GravityZone + Ninja Data Protection helpt het NinjaOne Protect-pakket ransomware-aanvallen te voorkomen, te detecteren en erop te reageren, waardoor de impact van ransomware op uw bedrijf mogelijk wordt beperkt
Meld u aan voor een gratis trial van NinjaOne Protect vandaag nog