Shutterstock
British Airways (BA), de BBC, Ofcom en Boots behoorden tot een aantal organisaties die naar verluidt het slachtoffer zijn geworden van een grote recente cyberaanval, waarbij talrijke personeelsgegevens zijn geschonden.
De gestolen gegevens bevatten naar verluidt namen van medewerkers, ID-nummers van medewerkers en nationale verzekeringsnummers (maar, belangrijk, geen bankgegevens). Maar behalve voor de persoonlijk getroffenen, is het echte probleem wat deze aanval onthult over de evolutie van cybercriminaliteit.
Meer cybercriminelen realiseren zich dat als ze een vertrouwde leverancier kunnen compromitteren, dit zal leiden tot het compromitteren van de klanten van die organisatie. De hackers kunnen dan de gegevens stelen en mogelijk zowel individuen als bedrijven losgeld laten betalen.
Tot nu toe is dit een moeilijkere manier gebleken om veel geld te verdienen. Maar het is waarschijnlijk slechts een kwestie van tijd.
De recente aanval was gericht tegen een stuk software genaamd Moveit, dat wordt gebruikt om computerbestanden van de ene locatie naar de andere te verplaatsen. Het ging om wat een “zero-day exploit” wordt genoemd, een stuk computercode dat gebruik maakt van een voorheen onbekende kwetsbaarheid.
Hierdoor konden hackers Zellis, een vertrouwde leverancier van diensten aan BA, de BBC, Boots en anderen, compromitteren. Zellis bevestigde dat een “klein aantal” klanten was getroffen en voegde eraan toe dat het de server met Moveit had losgekoppeld zodra het op de hoogte was van het incident.
Aangezien Zellis de belangrijkste payroll service provider is voor deze organisaties, is het eenvoudig te achterhalen hoe dit incident is begonnen. De verantwoordelijkheid voor de aanval werd opgeëist door de aan Rusland gelinkte “cl0p” groep, die sindsdien een ultimatum heeft gesteld aan de getroffen organisaties – ze vragen om geld tenzij ze willen dat de gestolen gegevens worden vrijgegeven op het dark web.
Toekomst van cybercriminaliteit
In tegenstelling tot veel eerdere soorten aanvallen, met name die waarbij gebruik werd gemaakt van ransomware, lanceerde de criminele groepering in dit geval een massale aanval en wachtte ze tot individuele organisaties ten prooi vielen, waarna ze probeerden elke organisatie op haar beurt uit te buiten.
Dit suggereert dat deze cybercriminelen hebben geleerd van eerdere aanvallen op de toeleveringsketen en experimenteren om de strategie commercieel haalbaar te maken. Bij supply chain-aanvallen richten cybercriminelen zich op één organisatie door een externe provider aan te vallen die zij gebruiken.
De BBC was één van de organisaties die met succes gehackt werd.
Nigel J. Harris / Shutterstock
Groepen zoals cl0p lijken te hebben gekeken en geleerd, vooral van de SolarWinds aanval van eind 2020, waar het systeem voor het “patchen” – snel repareren – van een bijna alomtegenwoordige software tool werd gecompromitteerd.
Deze software werd op grote schaal gebruikt door de Amerikaanse overheid en industrie, waardoor tienduizenden klanten van SolarWinds het slachtoffer werden, waaronder het Ministerie van Defensie, Nasa, TimeWarner en AT&T. SolarWinds werd toegeschreven aan de militaire inlichtingendienst van Rusland, de GRU, en werd gezien als voornamelijk gemotiveerd door staatsspionage.
En in het geval van Moveit lijkt de cl0p groep de logica van supply chain aanvallen – die zo effectief bleken tegen SolarWinds – te hebben gebruikt tegen bedrijfsdoelen.
Evolutionaire stap
Dit was waarschijnlijk altijd al een evolutionaire stap voor cybercriminelen. Eerst verifiëren geavanceerde door de staat gesponsorde hackers een innovatieve methode om computers aan te vallen, zoals in het geval van SolarWinds. Later passen criminele copycats zoals cl0p dezelfde strategie toe, waarbij ze de pijn van het uitvinden van nieuwe methoden vermijden.
Het ultimatum van cl0p is ook veelzeggend over het gedrag en de motivatie van cybercriminelen. Het is een vreemde ommezwaai ten opzichte van traditionele ransomware-campagnes, waarbij de betalingsgegevens van de slachtoffers werden gestolen.
In het geval van Moveit is het leerzaam dat cl0p een publiek ultimatum heeft gesteld en slachtofferorganisaties heeft verteld contact op te nemen, tenzij ze willen dat hun gegevens in het wild worden vrijgegeven – waardoor ze kunnen worden uitgebuit door scammers, fraudeurs en andere criminelen.
De betrokken organisaties, waaronder BA, gebruikten Zellis voor payroll services.
Jarek Kilian / Shutterstock
In feite vertrouwt cl0p op een paniektactiek om organisaties zover te krijgen dat ze de verantwoordelijkheid nemen voor de gestolen gegevens en de identiteit van hun personeel beschermen, door zichzelf aan te bieden aan de criminelen voor onderhandeling – vermoedelijk over het onderwerp betaling.
Dit onthult een duidelijk gebrek aan middelen – buiten de technische “aanvalsteams” – aan de kant van cl0p om zijn schijnbare succes in het compromitteren van Moveit volledig uit te buiten.
Dit is een potentiële fout in het gedrag van dergelijke criminele groepen. Het laat zien dat een verschuiving van ransomware-gestuurde campagnes naar aanvallen via de toeleveringsketen moeilijker te gelde te maken is.
De laatste stap in het maximaliseren van de opbrengst van de aanval, door alle slachtoffers te laten betalen, is duidelijk moeilijker dan bij eenvoudige ransomware, waarbij de focus ligt op één doelorganisatie en één route naar de uitbetaling van de misdaad.
Kortom, cybercriminele groepen hebben de aanvalsstrategie van de toeleveringsketen gekopieerd en experimenteren er nu mee. Maar ze hebben moeite om de successen die ze ermee boeken volledig te benutten en te gelde te maken.
Waar ransomware al meer dan een half decennium de voorkeurscampagne is, moeten we ons echter zorgen maken dat de Moveit-aanval een verandering van strategie inluidt. Aanvallen via de toeleveringsketen zijn effectief en de criminelen werken nu aan het verfijnen van hun methoden om deze volledig uit te buiten. Het is dan ook zeer waarschijnlijk dat deze aanvallen alleen maar wijdverspreider zullen worden.
De auteurs werken niet voor, adviseren niet, bezitten geen aandelen in en ontvangen geen financiering van bedrijven of organisaties die baat zouden hebben bij dit artikel en hebben geen relevante banden bekendgemaakt buiten hun academische aanstelling.