Cyberspionagegroepen gebruiken ransomware-aanvallen steeds vaker als methode om hun pogingen tot sabotage en diefstal op ‘gewone’ criminaliteit te laten lijken. Dat stelt landen die achter dergelijke aanvallen zitten, in staat zich in te dekken tegen beschuldigingen van spionage, aldus cybersecuritybedrijf SentinelOne in een recent onderzoek.
Zo zou ChamelGang, een door China aangestuurde APT (Active Persistent Threat)-groepering, de afgelopen jaren de pijlen hebben gericht op een grote Indiase gezondheidsorganisatie, evenals een luchtvaartmaatschappij in dezelfde regio. Ook het bestuurlijke huishouden van de Braziliaanse president was niet veilig voor een aanval van deze groep met CatB-ransomware.
Het rapport van SentinelOne is de eerste officiële publicatie die expliciet naar deze Chinese threat group wijst als mogelijke uitvoerder van deze aanvallen. Daarbij stelt het bedrijf dat geld in deze gevallen niet het hoofdmotief moet zijn geweest en dat het niet per se om criminele activiteiten gaat, maar spionage betreft door statelijke actoren.
Financieel gewin niet het hoofddoel
Slachtoffers hebben bij ransomeware-als-spionage vaak geen idee dat het financiële gewin niet het hoofddoel is, maar dat het juíst gaat om het stelen van gevoelige informatie en ontregelen van infrastructuur. Soms is zo’n aanval op zichzelf een afleidingsmanoeuvre voor andere ondermijnende activiteiten. Ransomware leent zich hier uitstekend voor, omdat het ontregelende effect zo breed is dat het lastig is te achterhalen wat nu eigenlijk het ware motief is achter een aanval.
Volgens SentinelOne stelt deze aanpak landen die achter dergelijke aanvallen zitten —in de onderzochte gevallen vermoedelijk China en Noord-Korea—, in staat te ontkennen dat het om spionage gaat. In plaats daarvan leggen ze de verantwoordelijkheid bij criminele groepen waarover ze zogezegd geen autoriteit hebben. Als voorbeeld noemt het securitybedrijf de groepering Volt Typhoon: een ransomware-club volgens China, een Chinees spionageonderdeel volgens SentinelOne.
Verkeerde strategische keuzes
Wanneer gevallen van cyberspionage ten onrechte worden gezien als ‘gewone’ criminaliteit, kan dat leiden tot verkeerde strategische keuzes, stelt het securitybedrijf. Daarom is het van belang dat politie- en inlichtingendiensten die zich met ransomware bezig houden, hun informatie met elkaar delen om de juiste conclusies te kunnen trekken wat betreft opsporing én beleidsadvies.
Een afzonderlijke reeks aan inbraken waar het rapport aandacht aan besteedt, betreft kwaadwillenden die misbruik maakten van de BestCrypt en BitLocker-securitytools. Hun aanvallen troffen de afgelopen jaren industrieën in zowel Europa als Noord- en Zuid-Amerika. Hoewel het lastig blijft definitief te zeggen wie voor deze aanvallen verantwoordelijk is, overlappen de gebruikte methoden en tools met eerdere inbraken die verband houden met vermoedelijk Chinese en Noord-Koreaanse APT-clusters.
Lees ook: Geëiste losgeldbedrag bij ransomware gemiddeld vijf keer hoger dan vorig jaar