INC Ransom, nieuwe dreiging voor Ahold Delhaize

Op 16 april werd het nieuws bekend dat de cybercriminele groep INC Ransom opnieuw heeft toegeslagen, dit keer met een aanval op de Nederlandse tak van Ahold Delhaize, het moederbedrijf van Albert Heijn. De hackers claimden maar liefst 6 terabyte aan gegevens te hebben gestolen, wat de dreiging nog verontrustender maakt. Deze aanval volgde kort op een eerdere aanval op de Amerikaanse tak van Ahold Delhaize in november 2024. Of de recente aanval verband houdt met die van november of dat het om een nieuwe aanval gaat, is voorlopig onduidelijk. De situatie wordt echter nauwlettend gevolgd, en de incidenten wijzen op de steeds groter wordende dreiging van ransomwaregroepen zoals INC Ransom.

De opkomst van INC Ransom

INC Ransom is een cybercriminele groep die zich sinds juli 2023 richt op het uitvoeren van doelgerichte aanvallen op grote organisaties in Noord-Amerika en Europa. Wat deze groep bijzonder gevaarlijk maakt, is het gebruik van geavanceerde technieken en tools om netwerken binnen te dringen, gegevens te stelen en systemen te versleutelen. De groep volgt het 'double extortion' model, wat betekent dat ze niet alleen de versleutelde gegevens vasthouden en losgeld eisen, maar ook dreigen om gestolen gegevens openbaar te maken op het darkweb als het losgeld niet wordt betaald. Dit maakt de impact van hun aanvallen vaak verwoestend voor de getroffen organisaties.

De gebruikte technieken zijn geavanceerd en stellen de hackers in staat om zowel beveiligingsmaatregelen te omzeilen als om snel toegang te krijgen tot netwerken. Hierdoor is het voor veel bedrijven moeilijk om dergelijke aanvallen tijdig te detecteren en erop te reageren.

De technieken achter de aanvallen

INC Ransom maakt gebruik van verschillende geavanceerde aanvalstechnieken om toegang te krijgen tot de netwerken van hun doelwitten. De eerste stap is meestal het verkrijgen van toegang via spear phishing of het misbruiken van kwetsbaarheden in veelgebruikte software. Zo werd bijvoorbeeld de kwetsbaarheid CVE-2023-3519 in Citrix NetScaler misbruikt om toegang te verkrijgen tot netwerken. Eenmaal binnen het netwerk gebruiken de aanvallers tools zoals netscan.exe en AnyDesk om laterale bewegingen te maken, oftewel zich verder te verspreiden binnen het netwerk. Dit stelt hen in staat om gegevens te exfiltreren en systemen te compromitteren.

Eenmaal in het bezit van de gestolen gegevens, gaan de hackers over tot het versleutelen van de bestanden met behulp van sterke encryptie algoritmen, zoals AES en Curve25519. Dit maakt de bestanden vrijwel onmogelijk toegankelijk zonder de juiste decryptiesleutel. Het gebruik van geavanceerde encryptiemethoden verhoogt de druk op het slachtoffer om losgeld te betalen, aangezien zonder de sleutel de gegevens verloren gaan.

Wat INC Ransom echter bijzonder gevaarlijk maakt, is hun vermogen om legitieme beheertools en cloudservices te gebruiken om hun activiteiten te verbergen. Deze tactiek maakt het moeilijker voor bedrijven om de aanval tijdig op te merken en te stoppen, omdat de tools die de hackers gebruiken vaak niet worden gezien als verdachte activiteiten.

Sectoren die INC Ransom target

INC Ransom richt zich op een breed scala aan sectoren, maar de meeste van hun aanvallen zijn gericht op de gezondheidszorg, het onderwijs en overheidsinstellingen. Het is een goed geoliede strategie om instellingen aan te vallen die vaak minder goed beschermd zijn tegen cyberdreigingen en die gevoelige gegevens bezitten. Zo werd bijvoorbeeld het Alder Hey Children's Hospital in het Verenigd Koninkrijk aangevallen, evenals NHS Dumfries & Galloway.

De gezondheidszorg is een aantrekkelijke sector voor ransomwaregroepen omdat de gestolen gegevens, zoals medische dossiers, bijzonder waardevol kunnen zijn op het darkweb. Hetzelfde geldt voor gegevens van overheidsinstellingen, die vaak gevoelige informatie bevatten die kan worden misbruikt. Daarnaast heeft INC Ransom wereldwijd al meer dan 120 slachtoffers geëist, wat de omvang van hun dreiging aantoont.

De gestolen gegevens worden vaak openbaar gemaakt op darkweb leksites, waar de groep hun slachtoffers onder druk zet om losgeld te betalen. De dreiging van het publiceren van vertrouwelijke informatie vergroot de druk op bedrijven en instellingen om snel te voldoen aan de eisen van de hackers.

De aanwezigheid van INC Ransom op het darkweb

Een belangrijk kenmerk van INC Ransom is hun aanwezigheid op het darkweb, waar ze hun gestolen gegevens publiceren en communiceren met slachtoffers. De groep onderhoudt meerdere Tor gebaseerde leksites waar ze gestolen gegevens delen en onderhandelen met slachtoffers. Deze sites zijn vaak bereikbaar via .onion adressen, wat hen in staat stelt om anoniem te blijven en hun activiteiten te verbergen voor wetshandhavers.

De hackers gebruiken het darkweb als een platform om hun eisen te communiceren en om slachtoffers onder druk te zetten. Door gebruik te maken van anonieme netwerken kunnen ze moeilijker getraceerd worden, wat hun activiteiten extra complex maakt voor de autoriteiten die proberen hen te stoppen. De mogelijkheid om gestolen gegevens te verhandelen op het darkweb maakt het voor de hackers lucratief om hun aanvallen voort te zetten.

De evolutie naar Lynx ransomware

In juli 2024 werd er een nieuwe variant van de ransomware van INC Ransom ontdekt, genaamd Lynx. Dit wordt beschouwd als een evolutie van de oorspronkelijke ransomware en kan duiden op een rebranding van de groep. Het kan ook wijzen op de verkoop van de broncode van INC Ransom op hackingforums, wat aangeeft dat de groep zich mogelijk verder uitbreidt en haar technieken verfijnt.

De verschijning van Lynx suggereert dat INC Ransom zich aanpast aan de veranderende omgeving van de cybercriminaliteit, mogelijk om hun activiteiten verder te professionaliseren en winstgevender te maken. Door deze aanpassing kan de groep nog effectiever worden in het uitvoeren van aanvallen en het aantrekken van nieuwe leden.

Het gevaar voor bedrijven en de reactie

De recente aanval op Ahold Delhaize benadrukt de steeds groter wordende dreiging die ransomwaregroepen zoals INC Ransom vormen voor bedrijven wereldwijd. Naast de directe schade door gegevensverlies en verstoring van bedrijfsactiviteiten, kunnen de reputatieschade en de juridische gevolgen van een datalek verwoestend zijn voor de getroffen organisaties.

Het is dan ook van cruciaal belang dat bedrijven hun cyberbeveiliging blijven verbeteren en zich voorbereiden op mogelijke ransomware aanvallen. Hoewel het onmogelijk is om een aanval volledig te voorkomen, kunnen organisaties zich wapenen door maatregelen te nemen zoals het regelmatig updaten van software, het implementeren van sterke authenticatieprotocollen en het monitoren van netwerken op verdachte activiteiten.

Een andere belangrijke stap is het maken van regelmatige backups van gegevens, zodat in het geval van een aanval de gegevens snel kunnen worden hersteld zonder dat er losgeld hoeft te worden betaald. Bedrijven moeten ook voorbereid zijn op een snelle en effectieve reactie wanneer een aanval plaatsvindt. Het hebben van een goed gedefinieerd incidentresponseplan kan de impact van een aanval aanzienlijk verminderen.

Preventie en het belang van bewustwording

Naast technische maatregelen is het ook van belang dat bedrijven hun medewerkers trainen in het herkennen van phishing aanvallen en andere vormen van social engineering. De aanvallen van INC Ransom beginnen vaak met een goed geplaatste spear phishing email, dus het is essentieel dat medewerkers leren hoe ze verdachte berichten kunnen identificeren en hoe ze moeten reageren.

Door deze preventieve maatregelen te nemen, kunnen bedrijven de kans op een succesvolle aanval verkleinen en hun vermogen vergroten om snel te reageren wanneer er zich een dreiging voordoet.

Wat is?

• Double extortion

Double extortion is een methode die door sommige ransomwaregroepen wordt gebruikt, waarbij ze niet alleen de bestanden van een slachtoffer versleutelen en losgeld eisen voor het ontsleutelen, maar ook dreigen om de gestolen gegevens openbaar te maken (bijvoorbeeld op het darkweb) als het slachtoffer niet betaalt. Dit vergroot de druk op de organisatie om te betalen.

• Spear phishing

Spear phishing is een gerichte vorm van phishing, waarbij de aanvaller zich voordoet als een vertrouwd persoon of organisatie om gevoelige informatie van het slachtoffer te verkrijgen. Dit wordt meestal gedaan via email en is specifieker dan gewone phishing, omdat de aanval gericht is op een specifieke persoon of organisatie, vaak met gepersonaliseerde informatie.

• Laterale beweging

Laterale beweging verwijst naar het proces waarbij een hacker zich binnen een netwerk verplaatst van het ene systeem naar het andere om meer systemen te infecteren of toegang te krijgen tot nog meer gevoelige gegevens. Dit gebeurt vaak nadat de aanvaller al toegang heeft gekregen tot één systeem.

• Exfiltratie

Exfiltratie betekent het stelen of wegleiden van gegevens uit een systeem of netwerk. Dit kan bijvoorbeeld gebeuren door het kopiëren van bestanden naar een externe locatie of het versturen van gegevens naar een andere server zonder toestemming.

• AES en Curve25519

AES (Advanced Encryption Standard) en Curve25519 zijn beide cryptografische algoritmes die worden gebruikt om gegevens te versleutelen. AES is een zeer veilig algoritme dat veel gebruikt wordt voor het versleutelen van bestanden, terwijl Curve25519 een elliptische curve is die in versleuteling wordt gebruikt vanwege zijn efficiëntie en veiligheid.

• Darkweb

Het darkweb is een deel van het internet dat niet toegankelijk is via traditionele zoekmachines zoals Google. Het wordt vaak geassocieerd met illegale activiteiten, zoals de handel in gestolen gegevens, drugs of wapens. Het darkweb kan alleen worden bereikt via specifieke software zoals Tor, die de anonimiteit van gebruikers waarborgt.

• Tor

Tor is een netwerk dat gebruikt wordt om anonimiteit te bieden bij het internetgebruik. Het verbergt het IP adres van gebruikers door internetverkeer via meerdere servers te leiden. Hierdoor wordt het voor anderen moeilijker om te traceren waar de gebruiker zich bevindt en wat hij of zij online doet.

• CVE-2023-3519

CVE (Common Vulnerabilities and Exposures) is een systeem dat gebruikt wordt om beveiligingskwetsbaarheden in software en hardware te identificeren. CVE-2023-3519 is een specifieke kwetsbaarheid in Citrix NetScaler software die door hackers wordt misbruikt om toegang te krijgen tot netwerken. Kwetsbaarheden CVE's

• Incidentresponseplan

Een incidentresponseplan is een set van procedures die een organisatie volgt wanneer ze getroffen wordt door een cyberaanval. Het doel is om snel en effectief te reageren om de schade te beperken en het herstel te versnellen.

• Encryptie algoritmes

Encryptie algoritmes zijn wiskundige formules die worden gebruikt om gegevens te versleutelen, zodat alleen bevoegde personen toegang kunnen krijgen tot de oorspronkelijke, leesbare gegevens. AES en Curve25519 zijn voorbeelden van encryptie algoritmes die worden gebruikt om bestanden veilig te maken tijdens een aanval.

▷ Actuele cyberaanvallen in België en Nederland
▷Alle slachtoffers België en Nederland blootgesteld op darkweb
▷ Screenshot darkweb Belgische en Nederlandse slachtoffers

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.