Meeste ransomware verspreidt via brute force en remote desktop-aanvallen

Cybercriminelen verspreiden ransomware het meest via brute force en remote desktop aanvallen voor het uitvoeren van cryptomalware-campagnes. Lange tijd waren phishing-e-mails en spam het meest populair onder aanvallers.

Dit blijkt uit het onderzoek The Attack Landscape H1 2019 report van F-Secure, waarbij onderzoekers in de loop van zes maanden aanvallen analyseerden, aldus ZDnet. Vokgens het rapport zijn bruto forse-aanvallen goed voor 31 procent van de pogingen om file-encrypting malware campagnes af ​​te leveren.

Voor het onderzoek zette F-Secure meerdere honeypots op. Dat zijn op het internet gerichte lokservers, die aantrekkelijk zijn gemaakt voor hackers. De honeypots hebben cyberaanvallen en andere cybercriminele activiteiten in de eerste helft van 2019 getraceerd. 

Toename ransomware in 2019

De verschuiving naar brute force en remote desktop aanvallen als aanvalstechniek volgt op een toename van ransomware in 2019. Het afgelopen jaar is geteisterd door een aantal spraakmakende incidenten, die de schadelijkheid aantonen wanneer hele netwerken worden gecodeerd.

Dat is dan ook vaak de reden waarom zoveel ransomware-slachtoffers ervoor kiezen toe te geven aan hackers en het geëiste losgeld betalen. Bij grote aanvallen gaat het vaak om honderdduizenden dollars, meestal te betalen in Bitcoin of andere cryptocurrency.

Brute force-aanval

Bij een brute force-aanval, ook wel bekend als een credential-stuffing-aanval, proberen hackers servers en endpoints te compromitteren door zoveel mogelijk wachtwoorden in te voeren. Dat gebeurt meestal met behulp van bots. De aanvallen zijn vaak succesvol vanwege het aantal systemen dat gebruik maakt van standaardreferenties of extreem vaak gebruikte wachtwoorden. Een brute force-aanval is een pure gok met de hoop dat een van de ingevoerde wachtwoorden de juiste is.

“Het is vrij simpel. Brute-force aanvallen zijn de primaire keuze voor hackers omdat het werkt. We zien dat er een overvloed aan accounts is, die veel te veel zwakke wachtwoorden hebben. Hierdoor is het te gemakkelijk voor hackers om ze te omzeilen”, stelt Jarno Niemela, hoofdonderzoeker bij F-Secure.

Remote Desktop Protocol (RDP) -aanval

Bovendien kunnen Remote Desktop Protocol (RDP) -aanvallen op dezelfde manier worden uitgevoerd. Aanvallers proberen wachtwoorden te raden om op afstand controle te krijgen over op internet gerichte endpoints. Het is ook mogelijk voor hackers om ondergrondse forums te gebruiken om de gebruikersnamen en wachtwoorden te kopen die nodig zijn om eerder gecompromitteerde eindpunten aan te vallen.

Ondanks de toename van brute force-aanvallen blijven ook phishing-e-mails en spam veel voorkomende aanvalsvector voor ransomware. Volgens het onderzoek probeerden bijna een kwart van de ransomware-aanvallen die zich richten op de honeypots van F-Secure, ransomware via e-mail afleveren.

Andere methoden

Verder zijn er nog een aantal andere methoden die aanvallers gebruiken bij pogingen om ransomware te leveren. Denk dan aan gecompromitteerde firmware, nepsoftware, malvertising en speciaal geconstrueerde exploitkits. Dat zijn gereedschapskisten met verschillende exploitaties waar aanvallers voordeel uit kunnen halen. Deze methoden waren goed voor zo’n 10 procent van de aanvallen op de honeypots.

“Gebruikers kunnen zichzelf beschermen door sterke wachtwoorden voor accounts in te stellen, ervoor te zorgen dat RDP alleen wordt gebruikt wanneer dat nodig is en over de juiste eindpuntbeveiliging beschikken”, aldus Niemela.

Gerelateerd: Fileless malware-aanvallen met 265 procent gestegen