Via advertenties op cybercrime-marktplaatsen zoeken ransomware-groepen naar pentesters. Het is een volgende stap in de professionalisering van cyberaanvallers.
Dat blijkt uit onderzoek van Cato’s Cyber Threats Research Lab (CTRL). Naast het controleren van 1,46 biljoen instanties van netwerkverkeer van 2.500 klanten keek het team tevens naar activiteiten op criminele marktplaatsen. Eén daarvan is RAMP (Russian Anonymous Marketplace), waaruit bleek dat meerdere ransomware-varianten tegen betaling te pentesten waren. Het betreft in ieder geval Apos, Lynx en Rabbit Hole.
Nog verder weg van de ‘script kiddies’
De professionalisering van cybercrime is toegenomen naarmate de potentiële winsten zijn gegroeid. Ook is de cyberdreiging steeds vaker gecoördineerd vanuit overheidsdiensten, met name in Rusland en China. Nu is de gelijkenis met legitieme softwaremakers echter nog duidelijker. Pentests moeten nu voorkomen dat ransomware dat ‘in productie’ is ingezet (lees: bij een slachtoffer geïnstalleerd), zomaar gekraakt kan worden.
“Ze willen er absoluut zeker van zijn dat alle moeite die ze in hun software stoppen, niet verloren gaat als iemand een kwetsbaarheid vindt,” stelt chief security strategist bij Cato Networks Etay Maor. “Ze zijn echt aan het verbeteren als het gaat om hun development-aanpak.” Dit leidt ertoe dat ransomwaregroepen steeds meer zich gaan gedragen als een legitieme organisatie, ook al is hun verdienmodel illegaal.
Onderzoek
Het onderzoek van Cato Networks draait om zowel AI-algoritmen als menselijk onderzoek en richt zich op zowel verdedigers als aanvallers. Deze holistische blik wordt elk kwartaal gepresenteerd in een SASE Threat Report. Het onderzoek stipt de professionalisering van cybercriminelen aan, maar ook het gevaar van ‘Shadow AI’ ofwel onbekende of onderbelichte situaties waarin AI zonder toestemming wordt ingezet en kan leiden tot datalekken.
Omdat Cato zich richt op traffic flows, heeft het een duidelijk beeld van waar verbetering mogelijk is op dat gebied. Zo is gebleken dat TLS-inspectie nog niet vaak genoeg wordt toegepast. Deze methodiek staat organisaties toe om hun traffic te decrypten, te inspecteren en vervolgens weer te versleutelen. Dit doet slechts 45 procent van de organisaties die deelnamen aan het Cato-onderzoek. En dit terwijl 60 procent van pogingen tot CVE-exploitatie worden geblokkeerd via TLS-traffic.
Lees ook: Vrijwel elk industrieel bedrijf getroffen door cyberaanval: hoe nu verder?