Voor het 5e kwartaal op rij vormt ransomware de grootste bedreiging op internet voor organisaties. Wel verschuift de focus van de zorg- en technologiesector naar industriële organisaties.
Dat zijn enkele conclusies die onderzoekers van Cisco Talos Incident Response (CTIR) trekken na het kwartaalonderzoek naar trends in malware.
Ransomware was dus opnieuw verantwoordelijk voor het grootste deel van de bedreigingen die het CTIR heeft waargenomen. Wel zien de onderzoekers een verandering van de inzet van ransomware. Waar tot vorig kwartaal veel ransomware met een Trojan werden uitgezet, gebeurt dat nu veel minder.
In het tweede kwartaal was een toename van het gebruik van Cobalt Strike geconstateerd. 66% van de ransomware-aanvallen in het tweede kwartaal betrof het gebruik van Cobalt Strike. In het verleden was Ryuk ransomware veel prominenter.
Een technisch bedrijf werd bijvoorbeeld slachtoffer van LockBit ransomware. De aanvallers gebruikte Cobalt Strike voor hun command and control (C2) activiteiten. En die werkwijze komt vaker voor. De onderzoekers van Cisco Talos zien zelfs elke 6 minuten verkeer naar een Cobalt Strike C2-server.
De cybcercriminelen maakten ook gebruik van een open-source ‘post-compromise’-tool genaamd “CrackMapExecWin”, die is ontworpen om de ‘assessments’ van grote Active Directory-netwerken te automatiseren. Deze tool werd uitgevoerd om op alle systemen op die netwerken een geforceerde Group Policy update te laten uitvoeren.
Een xml-bestand zet daarbij een dienst op die de ransomware op de server van het geïnfecteerde netwerk uitvoert. Ook maken de criminelen gebruikersaccounts aan op de overgenomen host om RDP-verbindingen op te zetten om zo servers malware te laten uitvoeren. Vervolgens worden de log-bestanden gewist om zo min mogelijk sporen achter te laten. Tot slot wordt Team Viewer geïnstalleerd dat vaak door kwaadwillenden gebruikt wordt om informatie te stelen.