Cybersecurity-onderzoekers van het in Californië gevestigde bedrijf Qualys publiceerden een rapport waarin ze Common Vulnerabilities and Exposures analyseerden (CVE's). De resultaten toonden vooral die welke werden gebruikt bij ransomware-aanvallen in de afgelopen jaren. Het interessante was dat de meeste van de vaak gebruikte kwetsbaarheden de kwetsbaarheden waren ongepatcht gelaten.
“De snelheid waarmee kwetsbaarheden toenemen, is exponentieel hoger dan de snelheid waarmee operationele teams patchen. Dit is de belangrijkste reden waarom kwetsbaarheden niet worden gepatcht,” Shailesh Athálye, SVP productmanagement bij Qualys, verteld in een interview met ZDNet.1
Verouderde kwetsbaarheden blijven ongepatcht
Eigenlijk, beveiligingsteams hebben vaak geen tijd voor veel kwetsbaarheden tegelijk. Ze worden gewoon overweldigd door de hoeveelheid werk, vooral als het een groot bedrijf is. Cyberaanvallers weten dit en gaan actief op zoek naar dergelijke oude niet-gepatchte kwetsbaarheden. Nog steeds, cyberbeveiligingsspecialisten stellen dat die algemeen bekende kwetsbaarheden eerst moeten worden bereikt om:.
Volgens het rapport, de grootste kwetsbaarheid met de langste geschiedenis van uitbuiting is: CVE-2012-1723. Cyberbeveiligingsspecialisten vonden het in de Java Runtime Environment (JRE) component in Oracle Java SE 7. Voor het eerst gedetecteerd in 2012 hackers gebruikten het om de Urausy-ransomware te verspreiden. Hoewel deze specifieke ransomware niet zo veel kwaad kan doen, sommige organisaties zijn hier nog steeds kwetsbaar voor.
Twee andere gedetecteerde kwetsbaarheden dateren uit: 2013. Zij zijn CVE-2013-0431 En CVE-2013-1493. De eerste werd uitgebuit op de JRE door Reveton ransomware, de tweede is op Oracle Java by Exxroute ransomware. Voor beide kwetsbaarheden zijn patches om ze te repareren al meer dan acht jaar klaar. CVE-2018-12808 is een andere kwetsbaarheid die al drie jaar aanwezig is in Adobe Acrobat. Hackers gebruikten het om ransomware te verspreiden via phishing-e-mails en kwaadaardige pdf-bestanden. Conti en Ryuk ransomware hebben beide misbruik gemaakt van deze kwetsbaarheid.
Recente kwetsbaarheid CVE-2019-1458 privilege-escalatie gemaakt in Windows. Cybersecurity-specialisten ontdekten het in december 2019 en koppelde de exploitatie ervan aan de NetWalker ransomware-groep.
Hoe gebruiken ransomware-distributeurs oude exploits??
Zonder twijfel, het criminele ecosysteem van ransomware neemt toe 2021. In het rapport van de 2020 CrowdStrike Global Security Attitude Survey, 56% van organisaties wereldwijd werd slachtoffer van een ransomware-aanval in 2020. Van deze organisaties, 27% van hen koos ervoor om hun losgeld te betalen en het bedraagt gemiddeld $1.1 miljoen per geval. Ransomware is nog steeds een van de bedreigingen met hoge prioriteit in 2021. De luidste gevallen in het eerste kwartaal van het jaar rapporteren tot $50 miljoen – en ze kregen dit bedrag. Een ander gezin vroeg 70 miljoen euro, maar het slachtofferbedrijf negeerde hun eisen.
Cyberbeveiligingsspecialisten merkten ook op dat hackers a “dubbele afpersing” model-. Ze versleutelen de gegevens van het slachtoffer en eisen ook extra betalingsprikkels om druk uit te oefenen. Sommige hackers dreigen de gegevens te publiceren of te veilen, tenzij er wordt betaald.
