Ransomware is op dark web ruimschoots verkrijgbaar tegen spotprijzen. Dit blijkt uit onderzoek van Venafi. Het bedrijf analyseerde tussen november 2021 en maart 2022 35 miljoen dark web-URL’s van marktplaatsen en forums. Daarbij zijn 475 webpagina’s gevonden waarop geavanceerde ransomwareproducten en -diensten worden aangeboden. En bekende groepen die ‘ransomware-as-a-service’ agressief op de markt brengen.
87% van deze malware die op het dark web wordt gevonden, is geleverd via kwaadaardige macro’s om gericht systemen te infecteren. Veel soorten ransomware die worden verkocht zijn succesvol gebruikt bij spraakmakende aanvallen. Vooral ransomware die zich richt op Macro’s zijn populair.
Macro’s kwetsbaar
Macro’s worden gebruikt om taken in Microsoft Office te automatiseren, waardoor mensen productiever kunnen werken. Aanvallers kunnen echter dezelfde functionaliteit misbruiken om vele soorten malware te leveren, waaronder ransomware. In februari heeft Microsoft een grote verandering aangekondigd om de snelle groei van ransomware-aanvallen die via kwaadaardige macro’s worden uitgevoerd tegen te houden. Die aankondiging heeft echter nog geen concreet gevolg gekregen.
Services en tools
Behalve een groot aanbod van ransomware in verschillende prijsklassen, onthulde het onderzoek ook veel services en tools die het voor aanvallers met minimale technische vaardigheden gemakkelijker maken om ransomware-aanvallen uit te voeren. Services met broncode, buildservices, aangepaste ontwikkelingsservices en ransomware met stapsgewijze zelfstudies werden het meest vermeld.
Voor generieke services om gijzelsoftware te ontwikkelen werden ook hoge prijzen gevraagd, sommige kosten meer dan $ 900. Aan de andere kant van het spectrum zijn veel goedkope opties verkrijgbaar in meerdere lijsten, met prijzen vanaf slechts $ 0,99.
Over het onderzoek
Dit onderzoek is tussen november 2021 en maart 2022 uitgevoerd door Venafi in samenwerking met Forensic Pathways, dat de Dark Search Engine (DSE) heeft ontwikkeld, een geautomatiseerde crawler/scraperversie van de Tor-browser. Deze intelligente tool bevat >35 miljoen URL’s in de index.
Openbaar beschikbare informatie, zoals PC Risk, is gebruikt om te bepalen of kwaadaardige macro’s zijn gebruikt in de eerste aanvalsvector.
