Deze week werd een nieuwe naam toegevoegd aan de galerij van ransomwarebendes van cyberdieven nadat een criminele groep genaamd Rhysida de verantwoordelijkheid opeiste voor de aanval op de British Library.
De bibliotheek heeft bevestigd dat persoonlijke informatie die vorige maand bij een cyberaanval was gestolen, online te koop is verschenen.
Hoewel de naam achter de aanval relatief nieuw is, is de criminele techniek dat niet. Ransomwarebendes maken de computers van een organisatie ontoegankelijk door ze te infecteren met malware (malware) en vervolgens betaling te eisen, meestal in cryptocurrency, om de bestanden te ontgrendelen.
De laatste jaren stelen de meeste bendes echter, in een proces dat ‘dubbele afpersing’ wordt genoemd, tegelijkertijd gegevens en dreigen deze online vrij te geven, wat naar zij hopen hun onderhandelingstroef zal versterken.
Rhysida kwam deze week als aanvaller naar voren door afbeeldingen met een lage resolutie van persoonlijke gegevens die bij de aanval waren verzameld online te plaatsen en de gestolen gegevens te koop aan te bieden op haar dataleksite met een startbod van 20 bitcoins, oftewel ongeveer £ 590.000.
Rafe Pilling, directeur dreigingsonderzoek bij cyberbeveiligingsbedrijf Secureworks, zei: “Dit is een klassiek voorbeeld van een ransomware-aanval met dubbele afpersing en ze gebruiken de dreiging van het lekken of verkopen van gestolen gegevens als hefboom om betalingen af te persen.”
Hoewel de British Library een prominent Brits slachtoffer is van Rhysida – genoemd naar een soort duizendpoot – is de groep ook verantwoordelijk voor aanvallen op overheidsinstellingen in Portugal, Chili en Koeweit. In augustus eiste het de verantwoordelijkheid op voor een aanval op de Amerikaanse ziekenhuisgroep Prospect Medical Holdings.
Amerikaanse overheidsinstanties publiceerden vorige week een adviesnota over Rhysida, waarin stond dat er sinds mei een “opkomende ransomware-variant” is ingezet tegen de onderwijs-, productie-, IT- en overheidssectoren. De instanties zeiden dat ze ook zagen dat Rhysida’s bende een “ransomware as a service” (Raas)-operatie leidde, waarbij het malware verhuurde aan criminelen en alle opbrengsten van het losgeld deelt.
Rhysida is nieuw voor het publiek, maar volgens Secureworks kwam het voort uit een criminele operatie die in 2021 werd opgericht. Secureworks noemt de groep Gold Victor en voerde een ransomware-programma uit genaamd Vice Society.
Deze rebranding-oefening is gebruikelijk bij criminele bendes – ze zijn vaak vernoemd naar de variant van ransomware die ze gebruiken – als hun bestaande ‘merk’ te berucht wordt en te veel aandacht van de politie trekt.
Het merk wordt vaak toegevoegd aan het einde van gecodeerde bestandsnamen die na een aanval zijn achtergelaten, in een handeling die Rafe omschrijft als het achterlaten van een ‘visitekaartje’.
De exacte identiteit van de Rhysida-bende is onbekend, maar Spilling gaat ervan uit dat deze een patroon volgt van soortgelijke agenten die meestal uit Rusland komen of lid zijn van het Gemenebest van Onafhankelijke Staten, waarvan de samenstellende delen Rusland, Wit-Rusland en Kazachstan omvatten.
“Ik vermoed dat ze waarschijnlijk Russisch spreken, maar we hebben geen hard bewijs”, zei Pilling.
Volgens Amerikaanse instanties gebruikten de bendes die de Rhysida-ransomware gebruikten de virtuele privénetwerken van organisaties – systemen die door personeel worden gebruikt om op afstand toegang te krijgen tot de systemen van hun werkgevers – om in te breken in systemen, of gebruikten ze een bekende techniek van phishing-aanvallen, waarbij slachtoffers worden misleid. , meestal via e-mail, om op een link te klikken die malware downloadt of hen verleidt om details zoals wachtwoorden te overhandigen.
“Dit zijn algemene toegangstechnieken”, zei Spilling. Eenmaal binnen blijven bendes meestal enige tijd op de loer in het systeem. Volgens Secureworks is die verblijftijd voor aanvallen voor cyberbendes in het algemeen gedaald tot minder dan 24 uur, vergeleken met ruim vier dagen in 2022. Dat helpt detectie te voorkomen.
Volgens een document van Amerikaanse instanties is cryptocurrency een veel voorkomende vorm van losgeld voor Rhysida-aanvallers, in lijn met de rest van de criminele hackersvereniging. Digitale activa zoals bitcoin zijn populair bij ransomware-bendes omdat ze gedecentraliseerd zijn (ze opereren buiten het conventionele banksysteem en omzeilen daarom de standaardcontroles) en transacties kunnen verborgen worden, waardoor ze moeilijker te volgen zijn.
Rhysida-aanvallers sturen hun losgeldbriefjes met de titel “CriticalBreachDetected” in een PDF-bestand. Het briefje geeft elke ontvanger een unieke code en instructies om contact op te nemen met de groep via een gespecialiseerde webbrowser die communicatie onvindbaar maakt.
Het betalen van ransomwareclaims in Groot-Brittannië is ten strengste verboden, maar niet illegaal, tenzij je weet (of vermoedt) dat de opbrengsten in de zakken van terroristen terechtkomen. Volgens het National Cyber Security Center: “Wetshandhaving moedigt, vergoelijkt of tolereert de betaling van losgeldeisen niet aan.”
In de VS ontmoedigt de regering ook losgeldbetalingen, maar in een advies van het Amerikaanse ministerie van Financiën uit 2020 wordt opgemerkt dat dit “slechts een verklaring” is en “niet de kracht van wet heeft”.
Volgens het Britse cyberbeveiligingsbedrijf Sophos nemen de betalingen voor ransomware toe. Het meldt dat de gemiddelde betalingen voor ransomware het afgelopen jaar bijna zijn verdubbeld tot £ 1,2 miljoen. In deze context zullen er steeds nieuwe ‘merken’ ransomware opduiken.